Grundlagen zum Risikomanagementprozess

Prof. Dr. Torsten Rohlfs

Einleitung

Jedes Unternehmen agiert unter Unsicherheit. Die Herausforderung für das Management besteht darin, zu entscheiden, wie groß die Unsicherheit im Rahmen der unternehmerischen Tätigkeit werden darf bzw. wie viel Risiko das Unternehmen bereit ist einzugehen. Der Unternehmenswert kann folglich durch unternehmerische Entscheidungen sowohl vermehrt als auch vermindert werden.

Der Umgang mit solchen Risiken erfolgt im Risikomanagement. Hierunter versteht man nach DRS 20 die „Gesamtheit aller Regelungen, die einen strukturierten Umgang mit Risiken oder mit Chancen und Risiken im Unternehmen bzw. Konzern sicherstellen.“1

Aus der heutigen Perspektive kann Risikomanagement nur durch eine unternehmensweite, ganzheitliche und antizipative Betrachtung sämtlicher Risiken in einem bereichsübergreifenden Prozess sinnvoll und effektiv betrieben werden. Die Risiken werden nicht mehr isoliert betrachtet, sondern werden im Unternehmenskontext global analysiert. Der mit dieser Zielsetzung ausgerichtete Risikomanagementprozess wird auch als Enterprise Risk Management (ERM) bezeichnet.

Unter Corporate Governance Gesichtspunkten fließen die betriebswirtschaftlichen Anforderungen an das Risikomanagement in verschiedene Gesetze ein. Für Versicherungsunternehmen sind hier das Aktien- und das Aufsichtsrecht entscheidend.

Das Risikomanagement ist im Aktienrecht jedoch unterschiedlich geregelt. Nach § 91 Abs. 2 AktG hat der Vorstand ein Risikofrüherkennungssystem einzurichten. Dagegen gibt es keine explizite Einrichtungspflicht im Aktiengesetz zum allgemeinen Risikomanagement. Das Erfordernis einer Einrichtung ergibt sich dann aus der ordentlichen und gewissenhaften Geschäftsführung des Vorstands und den Überwachungspflichten des Aufsichtsrats nach § 107 Abs. 3 AktG. Daneben sind jedoch auch Publizitätspflichten zu sehen, die ein funktionierendes Risikomanagementsystem erforderlich machen. Nach § 289 HGB sind im Lagebericht die Risiken (und Chancen) sowie bestimmte Risikomanagementziele und -methoden darzustellen. Neben den bereits aus den Gesetzen abgeleiteten Aufgaben hat sich auch der Deutsche Corporate Governance Kodex – *DCGK* – in Abschnitt 4.1 mit den Aufgaben und Zuständigkeiten des Vorstands auseinandergesetzt und das Risikomanagement festgeschrieben.

Mit Einführung von Solvency II wurde das Aufsichtsrecht im Hinblick auf die Corporate Governance erheblich ausgeweitet. Unter dem Abschnitt 3 „Geschäftsorganisation“ werden konkrete Aufgaben an den Vorstand im Hinblick auf mögliche Einrichtungspflichten gestellt. Demnach verlangt eine angemessene Geschäftsorganisation eine solide und umsichtige Leitung des Unternehmens mit Anforderungen an

  • Vergütung,
  • Risikomanagement,
  • Risiko- und Solvabilitätsbeurteilung,
  • Internes Kontrollsystem,
  • Interne Revision,
  • Versicherungsmathematische Funktion,
  • Ausgliederung.

Konkretisiert werden die Anforderungen an das Risikomanagement in § 26 VAG. Versicherungsunternehmen müssen über ein wirksames Risikomanagementsystem verfügen, welches gut in die Organisationsstruktur und die Entscheidungsprozesse integriert ist. Ein funktionierendes Risikomanagementsystem verlangt eine angemessene interne Berichterstattung an alle relevanten Stakeholder.

Das Risikomanagementsystem hat demnach

  • sämtliche Risiken zu umfassen
  • eine Risikostrategie zu definieren
  • Strategien, Prozesse und interne Meldeverfahren zu implementieren, um (über) die Risiken zu
Risikomanagementprozess
Abbildung 1: Risikomanagementprozess
  • auf individueller und aggregierter Basis eine kontinuierliche Risikosteuerung unter Berücksichtigung der zwischen den Risiken bestehenden Interdependenzen zu ermöglichen (Risikoaggregation).

Mit diesen Aspekten bildet das Aufsichtsrecht den klassischen Risikomanagementprozess ab.

Zum Risikomanagementsystem gehört nach § 27 VAG auch eine unternehmenseigene Risiko- und Solvabilitätsbeurteilung, die Versicherungsunternehmen regelmäßig sowie im Fall wesentlicher Änderungen in ihrem Risikoprofil unverzüglich vorzunehmen haben. Diese Beurteilung muss fester Bestandteil der Geschäftsstrategie des Unternehmens sein und kontinuierlich in die strategischen Entscheidungen einfließen.

Der Risikomanagementprozess

Zur Unternehmenssteuerung kann der Aufbau eines Risikomanagementprozesses verschiedenartig skizziert und beschrieben werden.2

Risikomanagementprozess
Abbildung 2: Risikomanagementprozess

Risikomanagementprozess3

Über die definierten Geschäftsstrategien werden die verschiedenen Unternehmensziele konkretisiert. Das Erreichen der ausgewählten Unternehmensziele kann von unterschiedlichen Faktoren und Einflüssen der Umwelt beeinflusst werden. Die Risiken, die erkennbar fürs Unternehmen bestehen, werden in der Risikostrategie unter Wesentlichkeitsgesichtspunkten festgehalten. Auch wird der grundsätzliche Umgang mit diesen Risiken, die Risikobereitschaft, hier dargelegt (Risikotoleranz). Die Vorgabe der Unternehmensziele und die Aspekte der Risikostrategie und Risikotoleranz sind dem eigentlichen Risikomanagementprozess vorgelagert.

Zum klassischen Aufbau eines Risikomanagementprozesses gehören die Prozessschritte der Risikoanalyse, der Risikosteuerung sowie der Risikokontrolle und Berichterstattung. Die Risikoanalyse beinhaltet die Identifizierung, Beurteilung und Bewertung von Risiken sowie deren Aggregation.

Risikoidentifizierung

Risiken ergeben sich aus der Geschäftsstrategie und allen daraus abgeleiteten operativen Tätigkeiten. Um den Umgang mit den Risiken vorgeben zu können, müssen diese zunächst identifiziert werden. Ziel ist dabei die frühzeitige Erkennung von (den Fortbestand der Gesellschaft) gefährdenden Entwicklungen. Dies beinhaltet die möglichst vollständige Erfassung aller Risikobereiche, Risikoursachen und Risikoobjekte.

Risikoidentifizierung beschreibt die Suche und Bestimmung aller Einzelrisiken sowie das Bilden von Risikogruppen und -kategorien. Sie liefert damit Informationen, welche unerlässlich sind, um anschließend Risiken systematisieren, analysieren und bewerten zu können. Denn es können ausschließlich Risiken bewertet werden, die zuvor identifiziert wurden. Ziel der Risikobewertung ist es, die Ausmaße und Auswirkungen der Risikoarten oder -gruppen zu bestimmen und ihnen eine entsprechende Bedeutung beizumessen. Indem gleichartige Risiken zusammengefasst werden, erhalten Unternehmen einen besseren Überblick hinsichtlich der Risiken und den damit verbundenen Chancen. Eine Risikokategorisierung vereinfacht den gesamten Prozess der Risikoanalyse, insbesondere der Bewertung eines Risikokapitalbedarfs sowie der Erfassung von Diversifikationseffekten. Auch bietet sie den Unternehmen die Möglichkeit, verschiedene Risikoarten mit entsprechend zugeschnittenen Maßnahmen und Instrumentarien zu steuern.

Die Methoden zur Risikoidentifizierung sind vielfältig und können in zwei Bereiche unterteilt werden: Managementmethoden und unterstützende Methoden zur Informationssammlung und –generierung. Unter Managementmethoden werden Analyseansätze verstanden, die im Unternehmen sowohl zur Aufdeckung von Risiken als auch zur Bildung der Geschäfts– und Risikostrategie verwendet werden. Hierzu zählen beispielsweise Wertschöpfungsketten, SWOT-Analysen, Benchmarks etc. Um Informationen zu sammeln oder zu generieren, die bei Anwendung der Managementmethoden weiter verarbeitet oder strukturiert werden können, eignen sich dann verschiedene Kollektions- und Suchmethoden wie Checklisten, Dokumentenanalysen, Fehlerbaumanalysen, Brainstorming oder Szenario-Techniken.

Das Übersehen von Risiken oder deren zu späte Identifizierung kann zu unternehmerischen Gefahren – bis hin zur Existenzgefährdung – führen. Eine spätere Fehlerkorrektur erweist sich häufig als schwierig. Oftmals ist sie mit einem hohen Kostenaufwand verbunden. In der Unternehmenspraxis besteht u. U. aber auch die Gefahr, dass ein späteres Eingreifen nicht mehr möglich ist. Da Unternehmen in der heutigen Zeit einem ständigen Wandel und neuen Rahmenbedingungen ausgesetzt sind, ist eine kontinuierliche und systematische Risikoidentifizierung und -beobachtung unabdingbar.

Das Ergebnis der Risikoidentifizierung ist eine strukturierte Darstellung von allen bestehenden und potenziellen Risiken inklusive ihrer Auswirkungen in einem Risikoinventar (Risikokatalog). Ziel der Risikoidentifizierung ist eine möglichst konsistente und überschneidungsfreie Bestandsaufnahme aller Risiken. Durch den Risikoidentifizierungsprozess wird das Gesamtrisikoprofil eines Unternehmens bestimmt.

Risikobewertung

Die Risikobewertung verfolgt das Ziel, das von den identifizierten Risiken ausgehende Gefahrenpotenzial transparent zu machen und deren Wirkung offen zu legen. Dies geschieht durch die Analyse, welche Bedrohungen von den Risiken ausgehen. Basis dieser Analyse ist die Festlegung von Wesentlichkeitsgrenzen, wobei es Risiken gibt, die quantitativ und andere, die lediglich qualitativ beurteilt werden können.

Die Risikobewertung dient dabei einerseits als Grundlage für die Festlegung der Maßnahmen im Rahmen der Risikosteuerung. Andererseits dient sie zur Bestimmung des einzelnen Risikokapitalbedarfs als Basis für die daran anschließende Aggregation zur Ermittlung eines Gesamtrisikokapitalbedarfs.

In dem ersten Schritt der Bewertung können Risiken durch folgende Methoden eingeschätzt werden („Allgemeine Bewertungs-/Beurteilungsmethoden“):

  • Relevanzeinschätzungen,
  • Scoring-Modelle,
  • ABC/XYZ-Analysen,
  • Ratings.

Durch diese Methoden können die unterschiedlichen Aspekte eines Risikos verdichtet und die Komplexität der realen Gegebenheiten reduziert werden. Dabei besteht auch die Möglichkeit, Risiken in eine Reihenfolge („Ranking“) zu bringen und entsprechend zu analysieren. Des Weiteren können wesentliche von unwesentlichen Risiken getrennt werden, um einen unwirtschaftlichen Mehraufwand im weiteren Bewertungsverfahren zu verhindern.

Infolgedessen werden im zweiten Schritt meist nur Risiken intensiver untersucht und präziser bewertet, die nach erster Einschätzung relevant für das Unternehmen sind. Dies geschieht durch eine Quantifizierung, die mit Hilfe statistischer Methoden und unter Zugrundelegung eindeutig definierter Größen Risiken misst und die Auswirkungen im Zusammenspiel mit anderen Risiken beurteilt.

Dies kann bspw. durch folgende Methoden erreicht werden („Methoden zur Bewertung des Risikoausmaßes“):

  • Risikomatrix,
  • Wahrscheinlichkeitsverteilungen,
  • Sensitivitäten / Stresstests und Szenariorechnungen.

Unter der zuvor beschriebenen Problematik der möglichen Fehleranfälligkeit komplexer Bewertungsmethoden sind an die Bewertung bestimmte Qualitätsanforderungen zu stellen. Grundsätzlich sind anerkannte Risikobewertungsmethoden zu verwenden. Um eine Willkürlichkeit zu vermeiden, ist ein unternehmensweites einheitliches Sicherheitsniveau zu unterstellen. Die zu schätzenden Parameter sollten so gewählt und bestimmt werden, dass eine Vergleichbarkeit und Transparenz gegeben ist. Dort, wo es die Bewertung zulässt, sollten im Idealfall vorhandene aktuelle Marktdaten zum Einsatz kommen.

Aggregation

Ziel der Aggregation im Rahmen der Bewertung ist es, den gesamten Risikokapitalbedarf eines Unternehmens zu ermitteln, welcher sich auf die Entwicklung von Eigenkapital und Gewinn auswirken kann. Hierfür bedarf es einer allgemein gültigen Definition des Gesamtrisikos auf Basis aller Einzelrisiken. Dabei ist die Aggregation nicht zu verwechseln mit der Summe der Einzelrisiken. Die aggregierten Einzelrisiken sind – sofern keine vollständig positive Korrelation vorliegt – grundsätzlich kleiner als die Summe aller Einzelrisiken. Grund hierfür ist die Diversifikation, bei der der Risikoausgleichseffekt zwischen den Einzelrisiken berücksichtigt wird.

Die Frage, die sich an die Bestimmung des gesamten Risikokapitalbedarfs anschließt, ist, inwiefern dieses Risiko durch das Unternehmen auch getragen werden kann. Weist es ausreichend hohes ökonomisches Eigenkapital aus? Diese Frage nach der Überdeckung wird durch das Maß der Risikotragfähigkeit veranschaulicht. Sie beschreibt die Fähigkeit, Verluste aus Risiken zu absorbieren, ohne dass daraus eine direkte Gefahr für die Existenz des Unternehmens entsteht:

Risikomanagementprozess
Abbildung 3: Risikomanagementprozess

Je nach Rechnungs- und Bilanzierungsgrundlagen kann die Risikotragfähigkeit zu ökonomischen, ratingbezogenen oder aufsichtsrechtlichen Zwecken ermittelt werden.

Risikosteuerung

Im Rahmen der Risikosteuerung ist sicherzustellen, dass der Risikoumfang nicht größer als die angestrebte Risikotragfähigkeit ist. Zudem sollte die derzeitige Risikosituation mit den damit verbundenen Chancen in Relation gesetzt werden. Risiken sollten nur eingegangen werden, sofern ihnen ein angemessenes Ertragspotenzial gegenüber steht. Entspricht das Chancen-Risiko-Verhältnis nicht den Zielvorstellungen des Unternehmens, wird versucht mittels der Risikosteuerung die Herstellung der geplanten Soll-Risikosituation zu erreichen. Dabei wird das ursprüngliche Bruttorisiko auf ein angemessenes Maß reduziert. Die Risikosteuerung umfasst

  • die Risikovermeidung,
  • die Risikoverminderung und
  • den Risikotransfer.

Das nach den Steuerungsmaßnahmen verbleibende Restrisiko (Netto-Risiko) wird dann vom Unternehmen selbst getragen. Ursache könnte sein, dass man gewisse Ertragspotenziale nutzen will; aber auch aufgrund von mangelnden adäquaten Steuerungsmaßnahmen ist die Selbsttragung zwangläufig notwendig.

Bei der Risikovermeidung wird auf das Eingehen von bestimmten Risiken (prospektiv) gänzlich verzichtet. Dies kann aus Gründen des Risikomanagements sinnvoll sein, wenn die Risiken durch ein unverhältnismäßig hohes Risikopotenzial gekennzeichnet sind. Durch diese Maßnahme werden die Eintrittswahrscheinlichkeit und/oder das Schadenausmaß aus Sicht des Unternehmens vollständig auf null reduziert.

Im Rahmen der Risikoverminderung wird durch die Beeinflussung der Risikostruktur der gesamte Risikogehalt reduziert, aber nicht vollständig eliminiert. Hier steht den Unternehmen eine Vielzahl von Möglichkeiten zur Verfügung, mit Hilfe geeigneter Maßnahmen auf die Eintrittswahrscheinlichkeit und/oder das Schadenausmaß eines Risikos einzuwirken.

Außerdem können Risiken zur Reduzierung der eigenen Risikoexponierung an einen Dritten transferiert werden. Das ursprüngliche Risiko bleibt bestehen, es wird jedoch nicht mehr alleine getragen. Als klassische Form des Risikotransfers gilt die (Rück-)Versicherung. Vorstellbar ist aber auch der Transfer auf den Kapitalmarkt, auf den Kunden oder Lieferanten. Aber auch Outsourcing von Funktionen oder Bereichen kann je nach Gestaltung als Transfer gesehen werden.

Die Abbildung zum Risikomanagementprozess veranschaulicht schematisch, wie das ursprüngliche Brutto-Risiko grundsätzlich durch geeignete Steuerungsmaßnahmen auf das beim Unternehmen verbleibende Netto-Risiko reduziert werden kann. Neben den identifizierten Risiken besteht trotz umfassender Risikoanalysen die Gefahr, dass Risikopotenziale nicht erkannt werden. Diese nicht identifizierten Risiken können natürlich nicht bewusst gesteuert werden. Sie werden jedoch auch unbewusst durch die Etablierung allgemeiner Steuerungsmaßnahmen vermindert.

Risikokontrolle und Berichterstattung

Die Risikokontrolle beschreibt ein zusammenfassendes und zugleich steuerndes Element innerhalb des gesamten Risikomanagementprozesses. Sie ist zur Beurteilung von Effizienz und Wirksamkeit des Risikomanagements sowie zur Feststellung möglicher Verbesserungspotenziale erforderlich. Kontrolle verlangt auch immer eine Dokumentation bzw. eine Berichterstattung.

In der Risikoberichterstattung soll über das Risikoprofil des Unternehmens berichtet werden. Sie dient somit der permanenten Überwachung und stellt sicher, dass identifizierte und bewertete Risiken den (internen und externen) Adressaten mitgeteilt werden. Nur eine angemessene Berichterstattung ermöglicht es den verschiedenen Parteien, die in den Risikomanagementprozess eingebunden sind, ihrer Überwachungs- oder Entscheidungsfunktion auf Basis der erhaltenen Informationen nachzukommen.

Versicherungsunternehmen müssen über eine angemessene und aussagefähige interne Risikoberichterstattung verfügen.4 Es ist Aufgabe des Risikomanagements, die Risikoberichterstattung in Abstimmung mit den verschiedenen Unternehmensbereichen aufzustellen und diese dem Vorstand, den entsprechenden Führungsebenen, anderen Schlüsselfunktionen und dem Aufsichtsrat in regelmäßigen Abständen oder ad-hoc zur Verfügung zu stellen. Dadurch soll sichergestellt werden, dass die Informationsadressaten alle wichtigen Informationen zur Risikosituation erhalten.

Bei der externen Berichterstattung unterscheidet man die handelsrechtliche und die aufsichtsrechtliche Berichterstattung.

Gemäß § 264 Abs. 1 HGB ist der Jahresabschluss, bestehend aus der Bilanz, der Gewinn- und Verlustrechnung und dem Anhang, um einen Lagebericht zu erweitern. Aus Sicht der Risikoberichterstattung ist insbesondere der Lagebericht gemäß der §§ 289 HGB von Bedeutung. Konkretisiert wird die Risikoberichterstattung für den Lagebericht durch den DRS 20, der jedoch für Konzernlageberichte gilt. Die Anwendung des DRS 20 auf den Einzelabschluss ist somit nicht zwingend, sie wird aber empfohlen.5 Aus diesem Grund kann sie als Rahmenwerk für eine angemessene öffentliche Berichterstattung angesehen werden.

Im Rahmen der aufsichtsrechtlichen Berichterstattung unter Solvency II ergeben sich verschiedene Berichtspflichten:

  • qualitative Anforderungen, insbesondere eine regelmäßige Erstellung (i. d. R. einmal pro Jahr) von narrativen Berichten wie
    • dem „Solvency Financial Condition Report“ (SFCR),
    • dem „Regular Supervisory Report“ (RSR) und
    • dem ORSA-Aufsichtsbericht
      als auch
  • quantitative Anforderungen, insbesondere eine regelmäßige Befüllung (einmal bzw. viermal pro Jahr) der zahlreichen „Quantitativen Reporting Templates“ (QRT).

Der SFCR und ausgewählte QRTs werden der breiten Öffentlichkeit zur Verfügung gestellt; die übrigen Berichtsformate sind ausschließlich für die Aufsichtsbehörden bestimmt.

Hinweis: Dieser Artikel ist in ähnlicher Form bereits in der Versicherungspraxis 01/2017 erschienen.

1 Vgl. DRS 20, Tz. 11.

2 Die ausführliche Darstellung der hier beschriebenen Prozessschritte findet sich bei Rohlfs et al., Risikomanagement im Versicherungsunternehmen, 2016.

3 Vgl. Rohlfs 2016, S. 8.

4 Vgl. § 26 Abs. 1 Satz 1 VAG.

5 Vgl. DRS 20, Tz. 2.

Quellen

Grundlage für diesen Artikel:

Rohlfs, Torsten; Brandes, Dagmar; Kaiser, Lucas; Pütz, Fabian: Risikomanagement im Versicherungsunternehmen, Verlag Versicherungswirtschaft (VVW), 2016.

Weitere Quellen:

Altenähr, Volker; Nguyen, Tristan; Romeike, Frank: Risikomanagement kompakt, Verlag Versicherungswirtschaft (VVW), 2009.
Diedrichs, Marc: Risikomanagement und Risikocontrolling, 3. Auflage, Verlag Franz Vahlen GmbH, 2012.
Gleißner, Werner; Lienhard, Herbert: Risikomanagement für Versicherungen, Komponenten des Risikomanagements, Euroforum Verlag, 2010.
Kremers, Markus: Risikoübernahme in Industrieunternehmen: Der Value-at-Risk als Steuerungsgröße für das industrielle Risikomanagement, dargestellt am Beispiel des Investmentrisikos, Verlag Wissenschaft & Praxis Dr. Brauner GmbH, 2003.
Rohlfs, Torsten: Quantitatives Risikomanagement, Forschung am IVW Köln, Band 8, 2016.
Sator, Franz J.; Bourauel, Corinna: Risikomanagement kompakt – In 7 Schritten zum aggregierten Nettorisiko des Unternehmens, 1. Auflage, Oldenbourg Wissenschaftsverlag, 2013.
Vanini, Ute: Risikomanagement: Grundlagen, Instrumente, Risikopraxis, Schäffer-Poeschel, 2012.
Wagner, Fred: Risk Management im Erstversicherungsunternehmen: Modelle, Strategien, Ziele, Mittel, Verlag Versicherungswirtschaft (VVW), 2000.
Wolle, Björn: Risikomanagementsysteme im Versicherungsunternehmen – Von regulatorischen Vorgaben zum nachhaltigen Risikomanagement, Springer Verlag, 2014.

© Copyright TH Köln (Technische Hochschule Köln), Köln (Deutschland)