Aufrufe
vor 2 Jahren

RISIKO MANAGER 01.2015

  • Text
  • Risiken
  • Unternehmen
  • Banken
  • Beispielsweise
  • Deutschland
  • Risikomanagement
  • Risiko
  • Mifid
  • Treasury
  • Anforderungen
RISIKO MANAGER ist die führende Fachzeitschrift für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen.

32 Ausgabe 01/2015

32 Ausgabe 01/2015 (Gefahren) und Upside-Risk (Chancen) gesprochen oder auch von „Opportunity and Risk Management“. Bereits die ethymologischen Wurzeln des Risikobegriffs [vgl. Romeike/Hager 2013, S. 2] betonen neben einer negativen auch eine positive Komponente. So enthält beispielsweise das chinesische Schriftzeichen für Risiko „Wei-ji“ die beiden Zeichenbestandteile für Chance und Gefahr, womit auch die positive Abweichung eines erwarteten Zielzustands unter den Risikobegriff fällt. Analog bezeichnet auch der entscheidungstheoretische Risikobegriff durch das Konstrukt der Standardabweichung die positiven wie auch negativen Zielabweichungen von einem Erwartungswert. Dieser entscheidungsorientierte Risikobegriff berücksichtigt zudem, dass alle menschlichen Tätigkeiten auf Entscheidungen beruhen, die oft unter unvollkommener Information (= Ungewissheit oder Unsicherheit im engeren Sinne) über die Auswirkungen in der Zukunft getroffen werden, womit Informationsdefizite das Risiko vergrößern und zu ungünstigen Abweichungen zwischen Plan und Realisierung führen können. Informationsdefizite sind ein Teilaspekt der Risikos und in der Quantifizierung zu berücksichtigen [vgl. Brückner/Gleißner 2013]. Implizit ist die Betrachtung beider Seiten der Risikomedaille (Chance und Gefahr) auch notwendig, um beispielsweise das angesprochene Risikotragfähigkeitskonzept in die Praxis umzusetzen. Wer nur Gefahren (Risiken im engeren Sinn) betrachtet, wird den aggregierten Gesamtrisikoumfang und damit die Bedrohungslage des Unternehmens überschätzen. Eine alleinige Ausrichtung des Risikomanagements auf die Möglichkeit von negativen Entwicklungen führt zu verzerrten Einschätzungen des Eigenkapitalbedarfs, des zukünftigen Ratings, und des Kapitalkostensatzes. Und beim Abwägen erwarteter Erträge und Risiken, bei der Vorbereitung unternehmerischer Entscheidungen folgt dann eine unangemessene, also „restriktive“ Vorgehensweise, das heißt es werden sinnvolle Opportunitäten und interessante Handlungsoptionen (Investitionsmöglichkeiten) ignoriert. Wenn der Gesetzgeber den Aspekt der Chancen in der Zwischenzeit im gesetzlichen Rahmenwerk verankert hat [vgl. Korte/Romeike 2011, S. 36 sowie Nguyen/Romeike 2013, S. 3], bleibt hier der Revisionsstandard in einer veralteten Sichtweise gefangen. Risiko wird nicht verstanden als die Möglichkeit einer Planabweichung. 3. Positiv ist, dass im Kontext Risikoidentifikation ausdrücklich darauf verwiesen wird, dass auch die strategischen Risiken – das heißt beispielsweise Bedrohung von Erfolgspotenzialen – durch das Risikomanagement betrachtet werden müssen – und diese Betrachtung durch die interne Revision zu erfassen ist. Die Empirie zeigt, dass Unternehmen vor allem durch strategische Risiken in eine Schieflage geraten [vgl. Romeike/Hager 2013, S. 91 sowie Gleißner 2008, S. 35 f.]. Damit wird auch richtigerweise klargestellt, dass sich das Risikomanagement auch mit den originären risikohaltigen Aufgaben der Unternehmensführung/des Vorstands befassen muss: Veränderungen der Strategie, Bedrohung von Erfolgspotenzialen und auch Veränderungen des zukünftigen Risikoumfangs durch Top-Management-Entscheidungen. 4. Im Kontext Risikoanalyse und -bewertung wird die Bedeutung einer quantitativen Beurteilung von Risiken im Hinblick auf ihr „Schadenspotenzial“ und die Eintrittswahrscheinlichkeit betont. Dennoch bleibt der Revisionsstandard 2 hier (ähnlich wie auch DRS 20) hinter den ökonomisch sinnvollen Anforderungen des IDW Prüfungsstandards 340 zurück – und ist letztlich in sich inkonsistent. Dies resultiert daher, dass auch auf die Möglichkeit von qualitativen Risikoeinschätzungen (beispielsweise durch Expertenschätzung) hingewiesen wird und quantitative Messverfahren beispielsweise mit einer stochastischen Szenarioanalyse (stochastische Simulation) verknüpft werden. Diese Erläuterungen sind in jeder Hinsicht unpräzise, inkonsistent und problematisch. Zunächst einmal ist hier wieder von einem „Schadenspotenzial“ die Rede, wenngleich eigentlich Chancen und Gefahren betrachtet werden sollten. Außerdem wäre es hilfreich klarzustellen, dass ein „Schadenspotenzial“ natürlich nicht unbedingt eine sichere Zahl ist, sondern unsicher ist. Es ist also durch eine Bandbreite bzw. Wahrscheinlichkeitsverteilung zu beschreiben, beispielsweise durch die Angabe von (a) Mindestwert, (b) wahrscheinlichstem Wert und (c) Maximalwert eines Schadens im Falle des Risikoeintritts. Ebenso irreführend ist, dass eine „qualitative“ Risikoeinschätzung mit einer Expertenschätzung verbunden wird, während eine quantitative Messung eines Risikos verknüpft wird mit der Monte-Carlo- Simulation. Zunächst einmal sind nun selbstverständlich auch quantitative Expertenschätzungen möglich und auch subjektive Schätzungen bezüglich Schadenshöhen oder Eintrittswahrscheinlichkeit können und müssen im Rahmen des Risikomanagements behandelt werden [vgl. Gleißner 2011 sowie Sinn 1980]. Zudem ist die stochastische Simulation (zumindest in erster Linie) ein Verfahren für die Risikoaggregation. Die adäquate Technik für die Risikoquantifizierung ist die Zuordnung einer Wahrscheinlichkeitsverteilung oder im Mehrperiodenfall eines stochastischen Prozesses, beispielsweise gestützt auf statistische Analysen, Benchmarks oder eben auch transparente und nachvollziehbare Expertenschätzung. Hier begibt sich der Revisionsstandard Nr. 2 in gute Gesellschaft, da auch andere Standards hier durch unscharfe bis fehlerhafte Aussagen auffallen. So sind basierend auf DRS 20 Risiken nur zu quantifizieren, wenn dies auch zur internen Steuerung erfolgt und die quantitativen Angaben für den verständigen Adressaten wesentlich sind. Hieraus haben in der Zwischenzeit einige Unternehmen abgeleitet, dass die Risiken nicht mehr quantifiziert werden, da diese nicht in der internen Steuerung berücksichtigt werden [vgl. DRSC 2012, Nr. 152]. Des Weiteren weist der DRS 20 darauf hin, dass die Risikoberichterstattung Angaben zu den einzelnen Risiken sowie eine zusammenfassende Darstellung der Risikolage umfasst [vgl. DRSC 2012, Nr. 135]. Hierbei wird allerdings nicht klargestellt, ob es sich bei der zusammenfassenden Darstellung um eine Risikoaggregation und -konsolidierung handelt. Auch der österreichische Standard ONR 49000 ff. weist in einer tabellarischen Übersicht über Methoden im Risikomanagement [vgl. Austrian Standards Institute 2014, S. 19] darauf hin, dass die

33 Monte-Carlo-Simulation zur Identifikation und Bewertung von Risiken geeignet ist. Hier zeigt sich einmal mehr, dass die Autoren der Standards über unzureichende Kompetenzen bei der Anwendung der Methoden verfügen. Sie hätten ansonsten verstanden, dass die stochastische Simulation (bzw. Monte-Carlo-Simulation) vor allem zur Aggregation von Risiken zum Einsatz kommt. Besonders problematisch (und inkonsistent) im Revisionsstandard Nr. 2 ist, dass eine Quantifizierung von Risiken gewünscht, aber nicht konsequent gefordert wird – und damit auch im Rahmen der Prüfung durch die Interne Revision wohl auch nicht konsequent betrachtet wird. Beim geforderten (aussagefähigen) Risikotragfähigkeitskonzept ist es erforderlich, das Risikodeckungspotenzial (die Haftungsmasse beziehungsweise Liquiditätsreserve) gegen den aggregierten Gesamtrisikoumfang zu stellen, also Risiken zu aggregieren [vgl. DIIR 2014, S. 12]. Dort wird auf die „korrekte Durchführung der Aggregation von Risiken“ verwiesen, die „ggf. die Ableitung eines Gesamtrisikos“ ermöglichen. Unklar bleibt hier allerdings, was ein „gegebenenfalls“ hier zu suchen hat, da die Bestimmung des Gesamtrisikoumfangs genau die Zielsetzung der Risikoaggregation ist und notwendig, um im Kontext des Risikotragfähigkeitskonzepts zu prüfen, ob beziehungsweise inwieweit eine Bestandsbedrohung existiert, also zum Beispiel wie hoch die Insolvenzwahrscheinlichkeit ist. Die Bestimmung des aggregierten Gesamtrisikoumfangs erfordert eine quantitative Beschreibung der Risiken, da Risiken, die nicht quantifiziert werden, auch nicht aggregiert werden können. Sie werden entsprechend bei der Bestimmung des Eigenkapitals (relativ zu einem vorgegebenen Ziel-Rating) dann nicht berücksichtigt, was faktisch eine Quantifizierung mit Null (Null Eintrittswahrscheinlichkeit oder Null Schadenshöhe) darstellt. Will man wesentliche, letztlich in Zahlen ausgedrückte Ergebnisse der Risikoaggregation – wie Insolvenzwahrscheinlichkeit, Eigenkapitalbedarf, Kapitalkostensatz oder die Wahrscheinlichkeit, Covenants zu verletzen – bestimmen, ist die durchgängige Quantifizierung aller wesentlichen Risiken erforderlich, da diese eben gemeinsam die genannten Kennzahlen bestimmen. Und gerade die auch als Prüfungsgegenstand im Revisionsstandard angesprochene Aggregation von Risiken ist die Frage von zentraler Bedeutung, weil eher selten Einzelrisiken (mit wesentlicher Wahrscheinlichkeit) bestandsbedrohend sind, sondern typischerweise die Kombinationswirkung verschiedener Risiken. Nur durch eine Monte-Carlo-Simulation, also die Berechnung einer großen risikobedingten möglichen Anzahl von Zukunftsszenarien, können durch unterschiedliche Wahrscheinlichkeitsverteilungen beschriebene Risiken (im Kontext der Planung) aggregiert werden. Es erschließt sich an dieser Stelle nicht, warum der Revisionsstandard hier hinter dem IDW Prüfungsstandard 340 zurückbleibt [vgl. Füser/Gleißner/Meier 1999 und Gleißner 2011], es sei denn, man vermutet, dass (beispielsweise aus fachlichen Defiziten) eine Prüfung von Risikoaggregationsmodellen oder zu erwartende Konflikte, wenn man auf das häufige Fehlen eines fundierten Risikoaggregationsmodells verweist, vermieden werden sollen. Die Quantifizierung der wesentlichen Risiken und deren Aggregation – ausgehend von transparenten Annahmen – ist durchgängig möglich, wenngleich Modelle immer nachvollziehbare Vereinfachungen enthalten. Das Vernachlässigen von Risikoaggregationsmodellen führt dazu, dass ein wesentlicher ökonomischer Mehrwert des Risikomanagements nicht erreicht wird. Argumente gegen Risikoaggregationsmodelle kann man durchgängig zurückführen auf methodische Defizite bei der Anwendung der hier nutzbaren Methoden [vgl. Meyer/Romeike/Spitzner 2012]. Auch hier begibt sich der Revisionsstandard Nr. 2 in gute Gesellschaft. DRS 20 beispielsweise vermeidet den Begriff Risikoaggregation komplett. Dies hat leider in der Praxis bereits dazu geführt, dass einige Unternehmen den Reifegrad im Risikomanagement reduziert haben und auf eine Aggregation und ein Gesamtbild der Risikolage komplett verzichten. 5. Es ist erfreulich, dass der Revisionsstandard – in Abschnitt 6.5 – außer der Risikoüberwachung auch die Risikosteuerung einbezieht. Hier geht er über die Anforderungen nach „Transparenz“ des Risikomanagements hinaus. Es wird der Tatsache Rechnung getragen, dass ein ökonomischer Mehrwert des Risikomanagements erreicht wird, wenn Entscheidungen berücksichtigt werden (siehe oben) und nahmen im Rahmen der Risikosteuerung ergriffen werden. Es ist also naheliegend, dass auch die Risikosteuerung ein Thema für die Revision ist. Etwas nebulös bleibt allerdings der Wunsch, relevanten Risiken Indikatoren und Grenzwerte zuzuordnen, mit denen sich Veränderungen des Risikos im Zeitablauf messen und beurteilen lassen. Diese Anforderung korrespondiert zwar mit ähnlichen Aussagen in anderen Standards, verkennt aber in vielen Fällen den Charakter eines Risikos. Es geht beim Risikomanagement nicht um ein Prognosesystem, das eine zu erwartende (oder wahrscheinliche) Entwicklung vorhersagt [vgl. zur Abgrenzung Gleißner/Füser 2000]. Das Risikomanagement befasst sich gerade mit den möglichen Planabweichungen, die nicht prognostiziert oder vorhergesagt werden können. Diese Indikatoren zu finden, ist schwierig. Man müsste beispielsweise einen Indikator angeben, der angibt, dass sich in der Zukunft die Wahrscheinlichkeit für das Eintreten eines Risikos erhöht. Wenn Informationen aktuell vorliegen, die für eine höhere Eintrittswahrscheinlichkeit eines Risikos sprechen, muss man „nur“ die Eintrittswahrscheinlichkeit des Risikos bei der Risikoquantifizierung entsprechend erhöhen. 6. Es ist positiv hervorzuheben, dass auch der Revisionsstandard im Kontext von Risikoberichterstattung und Risikokommunikation auf die Bedeutung der Ad-hoc-Risikomeldungen im konkreten Bedarfsfall eingeht. Es ist sicherlich eine interessante Revisionsaufgabe zu untersuchen, ob derartige Ad-hoc-Meldungen tatsächlich auch vorkommen. Insgesamt ist festzuhalten, dass der DIIR-Revisionsstandard Nr. 2 zur Prüfung von Risikomanagement-Systemen durch die interne Revision wenig Neues bietet. Er ist kein konkreter Prüfplan, und entsprechend beschreibt er im Wesentlichen die Bausteine eines Risikomanagementsystems, die potenzieller Prüfgegenstand

RISIKO MANAGER

RISIKO MANAGER 01.2019
RISIKO MANAGER 02.2019
RISIKO MANAGER 03.2019
RISIKOMANAGER_04.2019
RISIKO MANAGER 05.2019
RISIKO MANAGER 06.2019
RISIKO MANAGER_07.2019
RISIKO MANAGER 08.2019
RISIKO MANAGER 09.2019
RISIKO MANAGER 10.2019
RISIKO MANAGER 01.2018
RISIKO MANAGER 02.2018
RISIKO MANAGER 03.2018
RISIKO MANAGER 04.2018
RISIKO MANAGER 05.2018
RISIKO MANAGER 06.2018
RISIKO MANAGER 07.2018
RISIKO MANAGER 08.2018
RISIKO MANAGER 09.2018
RISIKO MANAGER 10.2018
RISIKO MANAGER 01.2017
RISIKO MANAGER 02.2017
RISIKO MANAGER 03.2017
RISIKO MANAGER 04.2017
RISIKO MANAGER 05.2017
RISIKO MANAGER 06.2017
RISIKO MANAGER 07.2017
RISIKO MANAGER 08.2017
RISIKO MANAGER 09.2017
RISIKO MANAGER 10.2017
RISIKO MANAGER 01.2016
RISIKO MANAGER 02.2016
RISIKO MANAGER 03.2016
RISIKO MANAGER 04.2016
RISIKO MANAGER 05.2016
RISIKO MANAGER 06.2016
RISIKO MANAGER 07.2016
RISIKO MANAGER 08.2016
RISIKO MANAGER 09.2016
RISIKO MANAGER 10.2016
RISIKO MANAGER 01.2015
RISIKO MANAGER 02.2015
RISIKO MANAGER 03.2015
RISIKO MANAGER 04.2015
RISIKO MANAGER 05.2015
RISIKO MANAGER 06.2015
RISIKO MANAGER 07.2015
RISIKO MANAGER 08.2015
RISIKO MANAGER 09.2015
RISIKO MANAGER 10.2015
RISIKO MANAGER 11.2015
RISIKO MANAGER 12.2015
RISIKO MANAGER 13.2015
RISIKO MANAGER 15-16.2015
RISIKO MANAGER 17.2015
RISIKO MANAGER 18.2015
RISIKO MANAGER 19.2015
RISIKO MANAGER 20.2015
RISIKO MANAGER 21.2015
RISIKO MANAGER 22.2015
RISIKO MANAGER 23.2015
RISIKO MANAGER 24.2015
RISIKO MANAGER 25-26.2015
 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.