Die Risikoberichte der 26 DAX-Unternehmen auf dem Prüfstand

Ist das Risikomanagement bereits ausgereift?


Die Risikoberichte der 26 DAX-Unternehmen auf dem Prüfstand: Ist das Risikomanagement bereits ausgereift? News

Die DAX-Unternehmen haben in den letzten Jahren eine Unternehmensfunktion mit dem meistverwendeten Namen Enterprise Risk Management (ERM) aufgebaut, um damit regulatorischen Anforderungen aus KonTraG und BilMoG zu entsprechen. Der aktuelle Stand des ERM, die Risikostrategie, das Rahmenwerk zur Identifikation mit der Bewertung, Mitigation und Überwachung von Risiken und unternehmensspezifische Risiken werden im Risikobericht des jährlichen Geschäftsberichts erklärt. Wir haben diese Risikoberichte der 26 DAX-Unternehmen, die nicht Banken oder Versicherungen sind, über einen Zeitraum von 2 Jahren analysiert und mit einem Idealzustand bewertet. Wir kommen zu dem Schluss, dass die Möglichkeiten, die ein modernes Risikomanagement bieten kann, noch weitgehend ungenutzt bleiben.

Nachfolgend sind die wesentlichen Ergebnisse der Analyse zusammenfassend dargestellt:

  • ERM wurde oft noch nicht als eine strategische Funktion etabliert, die die wichtigen Entscheidungen mitentwickelt. Es gibt offensichtlich keinen Chief Risk Officer auf Vorstandsebene und Risikokomitees werden selten genannt.
  • Die zentrale ERM-Funktion umfasst selten größere Teams als 2 bis 3 Mitarbeiter, die sich lediglich den grundlegenden Aufgaben zur Erfüllung regulatorischer Anforderungen an ein ERM widmen können. Aufgaben, bei denen das ERM seinen Nutzen weit über regulatorische Zwecke hinaus entfaltet, können mit solch kleinen zentralen Teams nicht angegangen werden und werden auch nicht berichtet.
  • Schadenshöhe und Eintrittswahrscheinlichkeit der Risiken werden fast ausschließlich durch Experten eingeschätzt. Datengetriebene, modellgestützte quantitativ-statistische Ansätze wurden kaum berichtet.
  • Die ERM-Funktion ist von Unternehmen zu Unternehmen unterschiedlich weit entwickelt. Dennoch gleichen sich alle Unternehmen im gewählten Ansatz und dem engen Rahmen, welche Aufgaben das ERM übernehmen soll.


Wir behaupten, dass gerade in dem, was ERM heute noch nicht ist, das große Nutzenpotenzial eines leistungsstarken Risikomanagements liegt.

Analyse der Risikoberichte von 26 DAX-Unternehmen

Untersuchungsgegenstand waren die Risikoberichte von 26 DAX-Unternehmen. Banken und Versicherungen wurden ausgeschlossen, da diese durch Basel II & III sowie Solvency II seit vielen Jahren ausgeprägte Risikomanagement-Systeme in den Unternehmen entwickeln. Diese stark regulatorisch getriebene und weit fortge-schrittene Entwicklung ist jedoch für alle anderen Industrien nicht maßgeblich.
Die Risikoberichte werden alljährlich in den Geschäftsberichten veröffentlicht und erfüllen dabei zwei Funktionen, die denen des gesamten Geschäftsberichts gleich sind:

Die erste Funktion liegt in der Information zum aktuellen Status des gelebten und geplanten ERM und der aktuellen Risiken. Die zweite Funktion liegt in der Werbeabsicht, die mit dem Geschäftsbericht als auch dem Risikobericht verbunden ist, Investoren und andere Beteiligte ein richtiges aber dennoch möglichst positives Bild über das Unternehmen zu vermitteln. Die Qualität der Analyse und Bewertung hängt daher stark von der Bereitschaft der Unternehmen ab, den aktuellen Stand des Risikomanagements und die tatsächlichen Risiken offen zu legen. Wir gehen davon aus, dass die Unternehmen ihren Spielraum zur Darstellung der Sachverhalte auch im Risikobericht nutzen und tendenziell spezielle Risiken nicht offenlegen und das ERM positiv darstellen, um unbequeme Fragen von Anteilseignern und Investoren oder anderen Beteiligten zu vermeiden.

Andererseits müssen sich Unternehmen auf der begrenzten Anzahl an Seiten des Risikoberichts auf die wichtigen Details zu einem ERM beschränken.

Für die Analyse der Risikoberichte haben wir sowohl die Tendenz zur positiven als auch zur vereinfachten Berichterstattung berücksichtigt. Der Geschäftsbericht ist zudem von externen Prüfer testiert, insbesondere dass ein richtiger Gesamteindruck zum Aufbau, zur Funktionsweise und zu den Methoden, Daten und der IT-Struktur sowie den Risiken vermittelt wird. Wir gehen deshalb davon aus, dass das im Risikobericht beschriebene Bild der Wahrheit entspricht und somit auch analysierbar und bewertbar ist.

Die ERM-Inhalte bewerteten wir mit Hilfe eines ERM-Idealzustandes, den wir zuvor im Detail aufstellten. Der Idealzustand beschreibt fünf Aspekte des ERM:

  1. Risikoorganisation und -governance
  2. Risikostrategie und -prozesse
  3. Risikoanalytische Methoden und Techniken
  4. Interne und externe Risikoberichterstattung
  5. Risiko-Datenmanagement


Die fünf Aspekte des ERM wurden in 27 Komponenten und diese wiederum in 168 Kriterien zum Idealzustand des ERM ausführlich beschrieben. Für die Analyse der Risikoberichte wurde die Ebene der 27 Komponenten herangezogen, die von den 168 Beschreibungen inhaltlich untermauert wurden.

Die 27 Komponenten wurden auf einer Skala von 0 = "ERM-Komponente scheint unbekannt zu sein" bis 4 = "ERM-Komponente scheint umfassend umgesetzt" anhand der gegebenen Berichterstattung im Risikobericht bewertet. Für jeden der fünf Aspekte wurden gleichgewichtete Durchschnitte aus den 27 Kriterien gebildet und eine Aussage zum Reifegrad des ERM pro Risikobericht bzw. Unternehmen treffen zu können. Die Ergebnisse lassen sich weiter zu branchenbezogenen Ergebnissen zusammenfassen. Da für jedes Unternehmen die Berichte aus zwei Jahren analysiert und bewertet wurden, können auch zeitliche Entwicklungen in der Risikoberichterstattung von einem Jahr zum nächsten untersucht werden.

Bei der Bewertung der 52 Risikoberichte durch die vier Autoren wurde eine hohe Bewertungskonsistenz durch den gemeinsam zuvor festgelegten Idealzustand des ERM erreicht. Zusätzlich wurden Testbewertungen vorgenommen, bei denen bereits bewertete Risikoberichte durch eine zweite Person erneut bewertet wurden. Hierbei wurden stets sehr ähnliche Ergebnisse erzielt, so dass von verlässlichen Bewertungsergebnissen ausgegangen werden kann.

Wir haben die Risikoberichte aus den Jahren 2010 bis 2012 der 26 im DAX gelisteten Unternehmen, die keine Banken oder Versicherungen sind, analysiert und bewertet (empirische Grundlage der vorliegenden Analyse sind die Geschäftsjahre 2010 und 2011. Die Ergebnisse wurden mit den Inhalten der Geschäftsberichte für 2012 verglichen und weitestgehend bestätigt). Die 52 Risikoberichte der Jahre 2010 und 2011 umfassen zirka 580 Seiten. Darin wurden zirka 1.100 Risiken beschrieben, die wir in ein Risikoregister von 45 Risikotypen zusammengefasst haben. Insgesamt wurden die 27 ERM-Komponenten in 26 Risikoberichten über zwei Jahre insgesamt 1.404 Mal bewertet.

Ergebnisse der Analyse

Unternehmen widmen rund 4,5 Prozent ihres Geschäftsberichts dem Risikoreport. Auf durchschnittlich 10,5 Seiten berichten Sie über die ERM-Strukturen und Risiken. Im Jahr 2011 erhöhte sich der Umfang auf 11,8 Seiten im Durchschnitt. Auch der relative Umfang stieg um einen Prozentpunkt auf 5,5 Prozent. Die relative und absolute Steigerung kann als ein Indikator für die zunehmende Beachtung des Berichts und dem dahinter stehenden Risikomanagement verstanden werden.
Jedoch variieren die Berichtsumfänge zwischen den Unternehmen stark zwischen 3 bis 26 Seiten und die Anzahl der genannten Risiken von 5 bis 46. Auch die Berichtsinhalte der Unternehmen sind sehr unterschiedlich und deuten auf einen niedrigen Reifegrad der Risikoberichterstattung hin: Teilweise wird der Bericht mit Chancen und Risiken begonnen, dann aber nicht konsequent die Chancen beleuchtet. In einem Fall wurde nur über Chancen und gar nicht über Risiken berichtet. Wieder einem anderen Fall werden Risiken zwar berichtet aber nur in dem Sinne, dass diese in der Branche üblich wären, das eigene Unternehmen jedoch nicht betreffen. Häufig wurde dem Thema Internes Kontrollsystem (IKS) ein eigenes Unterkapitel gewidmet. All diese Inhalte zeigen, dass die Unternehmen die Struktur des Risikoberichts noch nicht abschließend entwickelt haben. Sinnvoll wäre ein Bericht zu zwei Fragen:

  1. Wie manage ich Risiken im Allgemeinen? und
  2. Mit welchen Risiken ist mein Unternehmen konfrontiert und was habe ich bisher getan, um die Risiken zu verkleinern?


Die Branche Kommunikation & High-Tech hat die längsten Risikoberichte, beschreibt aber nur eine vergleichsweise geringe Anzahl an Risiken. Umgekehrt verhält es sich bei den Pharmaunternehmen, die die kürzesten Berichte aufweisen aber eine große Anzahl an Risiken benennen, wie in der Tabelle unten dargestellt.

Mit Ausnahme der Versorgungsunternehmen legen alle Branchen den Berichtsschwerpunkt auf Geschäfts- und operative Risiken. Die Anzahl an genannten Risiken variiert stark zwischen 6 und 19. Im Vergleich dazu variiert die Anzahl der genannten finanziellen Risiken nur zwischen 7 und 12. Dahinter steht folgende Erklärung: Für Finanzrisiken wurden in Banken und Versicherungen schon vor Jahren Standardrisikotypen, -methoden und -instrumente entwickelt und von den Finanzabteilungen anderer Industrien nach Bedarf adaptiert. Die einheitliche Berichterstattung der Finanzrisiken steht für den hohen Reifegrad des Managements dieser Risikotypen und hebt sich deutlich vom Reifegrad der Managements von Geschäfts- und operativen Risiken ab.

Die Versorgungsunternehmen berichten, anders als alle anderen Industrien, ausführlicher über Finanzrisiken. Allgemein bekannt ist, dass der Energiehandel umfangreiche Anforderungen an das Risikomanagement stellt und damit die Energieversorger sich von den anderen Branchen deutlich abheben. Interessant bleibt natürlich die Frage, ob bei einer durchschnittlichen Anzahl von Geschäfts- und operativen Risiken für diese Themen das gleiche Engagement aufgebracht wird.

Tabelle 01: Umfang des Risikoberichts und Anzahl berichteter Risiken
Tabelle 01: Umfang des Risikoberichts und Anzahl berichteter Risiken

Aus der Bewertung der Risikoberichte an Hand des vorab definierten Idealzustands – zerlegt in 27 Komponenten und seine 168 detailliert beschrieben Kriterien – ergaben sich folgende Erkenntnisse:

Alle DAX-Unternehmen haben einen Risikobericht in dem sie zumindest ansatzweise das Risikomanagement in Bezug auf Strategie, Governance, Prozessen, Organisation und Methoden beschreiben. Einige Male wurden Pläne zur Erweiterung und Vervollständigung der ERM-Struktur erklärt. Als ERM-Aufgaben wurden durchweg Risikoidentifikation, Bewertung, und (interne) Berichterstattung beschrieben. Der Themenkomplex der Risikomethoden wurde oft nur angedeutet. Nur in wenigen Fällen entstand der Eindruck, dass über das obligatorische Einschätzen der Risiken durch Experten andere methodische Ansätze verwendet wurden. Statistisch-quantitative Methoden wurden nur selten erwähnt. Dazu passt auch die Beobachtung, dass das für das Risikomanagement so wichtige Thema, eine umfangreiche Datenbasis aufzubauen und vorzuhalten, auf der die Berechnungsverfahren angewendet werden können, in keinem der analysierten Risikoberichte thematisiert wurde. Den Berichten folgend, scheint ERM mit keinem wesentlichen Datenthema verbunden zu sein. Eine Einschätzung, die wir nicht teilen.

Abbildung 01: ERM-Reifegrade nach Branchen
Abbildung 01: ERM-Reifegrade nach Branchen

Einige Unternehmen berichteten von bereits weltweit etablierten ERM-Strukturen oder deren Plänen zur Umsetzung. Das ERM-Team berichtet oft direkt an den Vorstand, dennoch verfügt keines der Unternehmen über einen Chief Risk Officer im Vorstand. Für das kleine ERM-Team, das oft nur zwei bis drei Personen umfasst, ist dieser formal direkte Zugang zum Vorstand beachtlich, was jedoch seinen Grund in den gesetzlichen Forderung, der Vorstand muss über die Risiken des Unternehmens informiert sein, begründet liegen dürfte. Wünschenswert ist jedoch, dass das ERM-Team Kapazitäten und Kompetenzen aufbauen und entfalten kann, mit denen verlässliche Risikoinformationen erarbeitet werden, die nicht nur der Berichterstattung dienen, sondern Geschäftsstrategien und Unternehmensentscheidungen mitentwickeln.

Abbildung 01 zeigt den ERM-Reifegrad, wie er sich in den Risikoberichten im Vergleich der beiden Jahre darstellt. Über die Branchen hinweg sind zwar Unterschiede allerdings nur geringfügige erkennbar. Das kann wiederum durch den einheitlichen Weg der Unternehmen erklärt werden, mit ERM das Mindestmaß an regulatorischen Anforderungen erfüllen zu wollen.

Bei dem Vergleich der Bewertungen von einem Jahr zum nächsten haben wir teilweise nur geringfügige Änderungen im Risikobericht feststellen können, was uns vermuten ließ, dass die Unternehmen die Entwicklung ihres ERM bereits als abgeschlossen ansehen. Diese Beobachtung ist für uns ein besonderer Ansporn, die ungenutzten Potenziale aufzuzeigen, die mit einem modernen leistungsfähigen Risikomanagement erst noch gehoben werden müssen.

ERM 2.0 – Kosteneinsparungspotenziale des Risikomanagements nutzen

Die Analyse der Risikoberichte hat gezeigt, dass die Unternehmen ein ähnliches Verständnis haben von dem was Risikomanagement sein soll, die Berichterstattung der Risikobericht und mit ihm das ERM in einem Entwicklungsprozess, dessen  Ausreifung zwar einige Unternehmen bereits erreicht haben wollen, andererseits jedoch noch viel ungenutzte Potenzial vermuten lässt.

So sind es vor allem die dem ERM zugebilligten zu kleinen Teamgrößen, die das Zusammentragen und Auswerten wertvoller Informationen erschweren. Weiterhin wird die Einsicht, dass Risikomanagement ein datengetriebenes Thema ist, noch nicht angetroffen. Nur auf umfangreichen Datenbeständen können moderne Risikomessmethoden angewendet, verlässliche Informationen erstellt und Entscheidungen zur Kosteneinsparung getroffen werden. Es sind also weitaus größere Investitionen in die Datenhaushalte erforderlich, als dies die Vorstände bisher in Erwägung ziehen.

Damit sich die Investitionen lohnen, müssen die Methoden, die auf die IT-Infrastrukur aufbauen, überzeugen. Auch hier muss das bisherige ERM neu gestaltet werden. Zukünftig muss es darum gehen, die gesamte Wertekette des Unternehmens im Modell abzubilden. Dazu gehören idealerweise das gesamte Netzwerk der Zulieferer, die eigene Produktion, interne und externe Dienstleister, Marketing, Verkauf und schließlich auch die Kunden. Auf dem gesamten Finanzmodell werden die diversen Risiken an beliebigen Stellen der Wertschöpfungskette modelliert. Diese Modellierung ist kein einmaliger sondern ein permanenter Prozess, da sich die Parameter in der Wertschöpfungskette ständig ändern und neu angepasst werden müssen. Erst über solche umfassenden Modelle lassen sich brauchbare Aussagen zum Risiko treffen und dann die Investitionsbudgets besser verteilen. Diese Methodik benötigt einen umfassenden und gepflegten Datenbestand sowie ein geschultes schlagkräftiges Team von mindestens 20 Mitarbeitern, wenn verlässliche, also brauchbare Risikoaussagen aufgestellt werden sollen.

Es versteht sich, dass solche strukturellen und methodischen Veränderungen nicht ad hoc umgesetzt werden können. Vielmehr muss ein Masterplan zur Entwicklung der neuen Methoden, IT-Infrastrukturen und Prozessen entwickelt werden und dann sukzessive mit der Umsetzung das Know-how im Unternehmen aufgebaut werden. Das ist ein Vorgang den die Unternehmen in den kommenden 5 bis 10 Jahren gehen werden.

Mit dem Aufbau einer aussagekräftigen Risikoberichterstattung wird dann auch der Schritt zur Etablierung des Risikomanagements im Vorstand durch einen Chief Risk Officer notwendig, um die vielen Aufgaben und Themen unabhängig vertreten zu können und die Entwicklung weiter voranzutreiben. Langfristig gesehen kann der Chief Risk Officer den heutigen Chief Financial Officer ersetzen, da kaum eine Information im Unternehmen nicht risikoadjustiert sein wird.

In einer komplexen Welt des Wettbewerbs wird es immer wichtiger die Zusammenhänge im Unternehmen unter Beachtung Ihrer Risiken genau zu verstehen und schnell und aktuell beurteilen zu können. Dafür ist eine umfassende Risiko-Infrastruktur im Sinne von Know-how, Mitarbeitern und IT erforderlich, von denen das heutige ERM weit entfernt ist. Mit einer ausreichenden Infrastruktur lassen sich auf allen Unternehmensebenen Entscheidungen treffen, die sowohl zu umfangreichen Kosteneinsparungen als auch zu erhöhter wirtschaftlicher Nachhaltigkeit des Geschäfts führen.

Autoren:

Roland Spahr, Alexander Michalew, Thomas Höhl, Johannes Freese, Alfons Rensmann. Die Autoren sind alle bei Accenture Management Consulting Deutschland im Risk Management Team beschäftigt. Kontakt: Dr. Roland Spahr, Leiter Corporate Risk Management, E-Mail: roland.spahr@accenture.com

 

[Bildquelle: © iQoncept - Fotolia.com]

 

Kommentare zu diesem Beitrag

Mathias /25.02.2014 15:10
Das interessante an dem Artikel ist allerdings die Gesamtaussage, die ich durchaus teile. Auch in meinen Augen kann und sollte ein Risikomanagement heute mehr leisten und enger mit der Unternehmenssteuerung verbunden werden. Viele Unternehmen erledigen am Ende wirklich meist die Pflicht und lassen wichtige Potenziale absolut ungenutzt. Meiner Ansicht nach könnten einige dieser Potenziale bereits mit geringer Teamstärke angegangen und praktikabel umgesetzt werden. Statistische Methoden finden bisher aus meiner Sicht wenig Anerkennung, weil es dazu in der Regel Spezialisten benötigt, die nicht immer unbedingt den Blick für das gesamte Unternehmen bzw. die bereichsübergreifenen Geschäftsprozesse haben. Darüber hinaus besteht die Gefahr, dass derartige Methoden je nach ihrer Komplexität auch wenig Verständnis oder Möglichkeiten der Umsetzung bei den eigentlichen Risk Ownern im Unternehmen finden können. Da ich mich jedoch stets für eine Weiterentwicklung bzw. dem Ausbau des RMS/ ERM interessiere, kann mir vielleicht jemand ein guten Fortbildungsseminar in dieser Hinsicht empfehlen?
Judith /15.08.2013 14:51
@sven: Sehe ich ähnlich. Eine reine Analyse von Risikoberichten bzw. Lageberichten wird da nicht wirklich ein objektives Bild liefern. Da müsste man schon etwas tiefer in die reale Welte des Risikomanagements einsteigen. Ich habe da schon Unternehmen kennengelernt, die haben auf dem Papier ein grandioses Risikomanagement ... und die Praxis sieht leider völlig anders aus.
sven /14.08.2013 20:42
kann man aus den risikoberichten der konzerne wirklich ableiten, inwieweit die qualität des risikomanagement in ordnung ist oder in welchem reifegrad das rm sich befindet? das sind doch alles eher nette worthuelsen in den lageberichten, die nur wenig ueber die tatsaechlichen risiken aussagen und schon garnicht ueber die performance des rm.
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.