Aufrufe
vor 4 Jahren

RISIKO MANAGER 09.2019

  • Text
  • Beispielsweise
  • Diir
  • Risikomanagements
  • Bewertung
  • Insbesondere
  • Banken
  • Entscheidungen
  • Risiken
  • Risiko
  • Risikomanagement
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

44

44 RISIKO MANAGER 09|2019 erfüllt teilweise erfüllt nicht erfüllt Tab. 01 Checkliste wesentlicher Anforderungen der BJR und des DIIR RS Nr. 2 im Hinblick auf die „Entscheidungsorientierung” des Risikomanagements 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Ist präzise definiert, was unter einer „unternehmerischen Entscheidung“ zu verstehen ist (und was nicht)? Ist organisatorisch sichergestellt, dass keine „unternehmerischen Entscheidungen“ getroffen werden ohne adäquate Entscheidungsvorlagen? Ist definiert, welche Inhalte in einer Entscheidungsvorlage enthalten sein müssen, um von „angemessenen Informationen“ (§93 AktG) ausgehen zu können? Sind die Kerninhalte von Entscheidungsvorlagen grundsätzlich verfügbar (z. B. Aussagen zu Ziel, Beurteilungsmaßstab, Handlungsmöglichkeiten, Ausgangssituation, Annahmen, Prognosen, Risiken, möglichen „bestandsgefährdenden Entwicklungen“ (Rating)? Ist festgelegt, mit welcher Methode die Auswirkung einer „unternehmerischen Entscheidung“ auf zukünftigen (1) Ertrag und (2) Risiko gegeneinander abgewogen wird (risikogerechte Bewertung)? Werden zur Vorbereitung von Entscheidungen des Vorstands insbesondere dokumentierte Risikoanalysen durchgeführt, die zeigen, welche Änderungen des Risikoumfangs durch die Entscheidungen bedingt sind (§93 AktG)? Ist sichergestellt, dass das Risikomanagement bei wesentlichen unternehmerischen Entscheidungen durch geeignete Prozesse in die Entscheidungsvorbereitung involviert wird (und bei anderen unternehmerischen Entscheidungen gegebenenfalls Risikoanalysen entsprechend den methodischen Vorgaben des Risikomanagements durchgeführt werden)? Sind bei Bedarf bestehende (Management-) Systeme, bspw. Controlling, Treasury, QM, in die Risikoanalyse eingebunden (z. B. um alle unsicheren Planannahmen zu erfassen, die diese Risiken zeigen)? Wird bei wichtigen unternehmerischen Entscheidungen eine Risikoaggregation durchgeführt, um die Wirkung auf den Gesamtrisikoumfang (Eigenkapitalbedarf) zu bestimmen? Wird die Wirkung der Entscheidung auf Risikotragfähigkeit und Risikotoleranz durch geeignete Kennzahlen gemessen? Ist gewährleistet, dass bei der für die entscheidungsvorbereitenden Risikoanalysen die im Risikomanagement allgemein gültigen Methoden für Risikoidentifikation und Risikoquantifizierung beachtet werden? Werden auch strategische Risiken erfasst und in der Unternehmensführung regelmäßig diskutiert, insbesondere Bedrohungen der Erfolgspotenziale? Werden insbesondere die in den Entscheidungsvorlagen notwendigen Risikoanalysen strukturiert durch eine neutrale Instanz (die also die Risikoanalyse nicht selbst erstellt hat) geprüft? Gibt es Regelungen für eine angemessene „informationelle Fundierung“, also einen in Anbetracht der Bedeutung einer Entscheidung (Risikogehalt, Investitionsvolumen) angemessenen Einsatz an Ressourcen (Zeit und Geld)? Werden Eigenkapitalbedarf und Kapitalkosten risikogerecht aus der Risikosituation (Ertragsrisiko aus Risikoaggregation) abgeleitet? Werden in Entscheidungsvorlagen für die Unternehmensführung Ertrag und Risiko nachvollziehbar abgewogen (z. B. durch die Ableitung von Kapitalkosten als Renditeanforderung aus der Risikoanalyse)? Ist klargestellt, welche Stelle die Entscheidungsvorlagen bei Vorstand/Geschäftsführung einbringt (und diese später – mit der getroffenen Entscheidung – archiviert)? Sind Verfahren für eine „Qualitätssicherung der Entscheidungsvorlagen“ sowie zugehörige Prüfkriterien festgelegt? 19 Gibt es geeignete Mechanismen, um die Neutralität von Entscheidungsvorlagen zu gewährleisten? 20 21 Sind die Vorlagen für „unternehmerische Entscheidungen“ tatsächlich neutrale Entscheidungsvorlagen (und nicht etwa Anträge eines interessierten Antragstellers)? Werden alle Vorlagen für „unternehmerische Entscheidungen“, inklusive der getroffenen Entscheidung, erfasst und archiviert?

OpRisk 45 ergänzender Standard bezogen auf die neuen Anforderungen aus § 93 AktG fehlt noch). Der DIIR RS Nr. 2 ist klar fokussiert auf die Erfüllung der gesetzlichen Kernanforderungen (wie die frühe Identifikation möglicher „bestandsgefährdender Entwicklungen“ im Sinne § 91 Abs. 2 AktG). Die Anwendung des DIIR Revisionsstandard Nr. 2 durch die Interne Revision (oder Berater oder auch Wirtschaftsprüfer, denen ein vergleichbarer Standard noch fehlt), kann dazu beitragen, bestehende Lücken im Risikomanagement aufzudecken und diese zu schließen. Dies ist in vielen Unternehmen auch notwendig [wie eine Vielzahl empirischer Studien zeigt, vgl. beispielsweise Berger/Gleißner 2007, Link/Scheffler/Oehlmann 2018 sowie Ulrich/Barth/Lehmann 2018). Hervorzuheben ist, dass der neue DIIR Revisionsstandard Nr. 2 nun erstmals zwei große Prüfungsfelder deutlich getrennt aufzeigt: 1. Die Prüfung von Organisation und Prozessen im Risikomanagement; 2. die Prüfung der im Risikomanagement eingesetzten betriebswirtschaftlichen Methoden (beispielsweise zur Risikoquantifizierung und Risikoaggregation). Ein in vielen Studien zum Risikomanagement aufgezeigtes Problem besteht bisher darin, dass die Prüfung des Risikomanagements bisher primär auf Organisation und Prozesse ausgerichtet war (beispielsweise die Prozesse für Risikoanalyse, Risikoüberwachung oder Risikoreporting). Ob die hier genutzten Methoden aber überhaupt geeignet sind, um den (gesetzlichen) Anforderungen und Zielen des Risikomanagements gerecht zu werden, wurde mit deutlich weniger Intensität betrachtet. Eine Konsequenz ist, dass in vielen Unternehmen trotz oft scheinbar ordentlichen Risikomanagement-Prozessen und einer sachgemäßen Organisation zugleich gravierende methodische Defizite bestehen, beispielsweise dergestalt, dass durch das Fehlen einer adäquaten Methode für die Risikoaggregation gar nicht beurteilt werden kann, ob „bestandsgefährdende Entwicklungen“ aus Kombinationseffekten von Einzelrisiken auftreten können. Von besonderer Bedeutung sind zudem folgende Aspekte des DIIR RS Nr. 2 [in Anlehnung an Gleißner/Kimpel 2019]: 1. Risiko wird verstanden als Überbegriff zu möglichen positiven Abweichungen (Chancen) und negativen Abweichungen (Gefahren, Risiken im engeren Sinn). 2. Mit Bezug auf die gesetzliche Anforderung aus § 91 Abs. 2 AktG im Hinblick auf die Erkennung möglicher „bestandsgefährdender Entwicklungen“ wird die Methode zur Risikoaggregation zum zentralen Prüfungsfeld, weil nur durch diese erreicht werden kann, dass auch mögliche bestandsgefährdende Entwicklungen aus Kombinationseffekten von Einzelrisiken erfasst werden (siehe RZ 19 und RZ 58). 3. Der DIIR Revisionsstandard Nr. 2 betont zudem die Notwendigkeit der Quantifizierung von Risiken (ganz auf Linie des IDW PS 340) und empfiehlt die darauf aufbauende Messung der Risikotragfähigkeit und Risikotoleranz [wie auch IDW PS 981, vgl. Wermelt et al 2017]. 4. Von grundlegender Bedeutung ist es, dass bei der Prüfung des Risikomanagements auch schon die Implikationen aus § 93 AktG im Hinblick auf ein „entscheidungsorientiertes Risikomanagement“ berücksichtigt werden. Entsprechend klar wird zu den Aufgaben des Risikomanagements ausgeführt (siehe RZ 16): „Es gehört auch zu den Aufgaben des Risikomanagements sicherzustellen, dass schon bei der Vorbereitung wesentlicher unternehmerischer Entscheidungen deren Implikationen für den zukünftigen Risikoumfang nachvollziehbar aufgezeigt werden, um zumindest eine mit solchen Entscheidungen möglicherweise einhergehende bestandsgefährdende Entwicklung früh zu erkennen.“ 5. Der DIIR Revisionsstandard Nr. 2 betont auch die Bedeutung einer Risikokultur und macht sie zum Prüfungsgegenstand. 6. Der DIIR Revisionsstandard Nr. 2 hebt den strategischen Fokus des Risikomanagements hervor, ähnlich wie in der neuen Version von COSO Enterprise Risk Management (ERM) von 2017 [vgl. Hunziker 2019]. Damit sind bei der Risiko-Identifikation beispielsweise insbesondere auch strategische Risiken zu beachten (sowie unsichere Planannahmen). In RZ 45 liest man: „Besondere Beachtung finden müssen dabei die strategischen Risiken, die die wesentlichen Erfolgspotenziale bedrohen und die im Allgemeinen nur unter Einbeziehung der Geschäftsleitung analysiert werden können.“ 7. Gemäß DIIR Revisionsstandard Nr. 2 sind alle Managementsysteme, beispielsweise auch des Controllings oder des Qualitätsmanagements, in die Prüfung einzubeziehen, wenn sie sich mit Chancen und Gefahren befassen. 8. Der DIIR Revisionsstandard Nr. 2 betont die Aufgabenteilung zwischen Risikomanagement und operativem Management. Man liest in RZ 61: „Gemäß dem Three-Lines-of-Defense-Modell liegen Aufgaben zur Risikoüberwachung sowohl beim operativen Management (risk owner) als auch bei zentralen Überwachungsfunktionen (z. B. Risikocontrolling oder zentrales Risikomanagement).“ 9. Der DIIR Revisionsstandard Nr. 2 stellt klar, dass das wesentliche Ziel der Risikoberichterstattung und -kommunikation darin besteht, dass Entscheidungsträger und Aufsichtsorgane zeitnah über die Risikolage der Organisation informiert werden. Implikationen für die Praxis Die Qualität unternehmerischer Entscheidungen ist abhängig von der Qualität der diesen zugrunde liegenden Informationen. Zur Vermeidung von Sorgfaltspflichtverletzungen ist gesetzlich geboten, bei der Vorbereitung „unternehmerischer Entscheidungen“ sich auf angemessene Informationen zu stützen, das schließt insbesondere Aussagen über die mit der Entscheidung verbundenen Chancen und Gefahren (Risiken) ein. Entsprechend ist es notwendig, ein „entscheidungsorientiertes Risikomanagement“ aufzubauen, das bei der Vorbereitung von Entscheidungen durch Risikoanalysen mitwirkt. Um die

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.