Risikoaggregation in der Praxis
Deutsche Gesellschaft für Risikomanagement e.V. Herausgeber
Risikoaggregation in der Praxis Beispiele und Verfahren aus dem Risikomanagement von Unternehmen
123
Deutsche Gesellschaft für Risikomanagement e.V. Bornwiesenweg 18 60322 Frankfurt Deutschland
[email protected] ISBN 978-3-540-73249-5
e-ISBN 978-3-540-73250-1
DOI 10.1007/978-3-540-73250-1 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. c 2008 Springer-Verlag Berlin Heidelberg Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des Urheberrechtsgesetzes. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Herstellung: LE-TEX Jelonek, Schmidt & Vöckler GbR, Leipzig Einbandgestaltung: WMX Design GmbH, Heidelberg Gedruckt auf säurefreiem Papier 987654321 springer.com
Geleitwort
Manchmal wird der Wald vor lauter Bäumen nicht gesehen, das weiß der erfahrungsbasierte Volksmund. Der Wortlaut des § 91 Aktiengesetz – dessen Veränderung durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) für viele deutsche Unternehmen zum offiziellen Start eines expliziten Risikomanagementsystems wurde – stellt explizit auf „den Fortbestand der Gesellschaft gefährdende Entwicklungen“ ab. In der Praxis ist meist nicht ein Risiko allein bestandsgefährend, sondern die Kombination mehrerer Risiken. Dies können gleichnamige Risiken verschiedener Unternehmensbereiche sein (z. B. Kreditrisiken), die zusammen zu sehen sind. Dies können auch Einzelrisiken unterhalb von definierten Aufgriffsgrenzen sein, die sich aber in bestimmten Situationen kumulieren können. Schließlich können Risiken entweder zufällig oder kausal, z. B. als „Dominoeffekt“ gleichzeitig auftreten. All dies zeigt, dass nur eine Gesamteinschätzung der verschiedenen Einzelrisiken dem Anspruch des Gesetzes und natürlich auch den Anforderungen an ein professionelles Risikomanagement in der Praxis genüge tut. Hierzu sind die Risiken zu aggregieren. So wird aus vielen einzelnen Bäumen ein Wald, der als solcher ein besonderes Ökosystem ist. In der Risikowelt wäre die Analogie ein Portfolio. Welches Verfahren der Risikoaggregation ist nun geeignet und angemessen? Wie oft in der betrieblichen Praxis: es kommt darauf an. Die Branche, die Betriebsgröße, die Struktur des Unternehmens sind nur einige Faktoren, die eine differenzierte Vorgehensweise nahe legen. Die Deutsche Gesellschaft für Risikomanagement e.V. gibt seit ihrer Gründung 1999 den für das Risikomanagement verantwortlichen betrieblichen Praktikern die Möglichkeit, diese und ähnliche Fragen zu diskutieren und zu bearbeiten. Der Verein baut ausschließlich auf das ehrenamtliche Engagement der Mitglieder und ist strikt unabhängig von Unternehmensberatungsgesellschaften. So wird die erforderliche Unabhängigkeit sichergestellt. Wenn Sie Fragen, Beiträge, Anregungen haben oder sich einfach nur mal am Rande einer Veranstaltung mit Risikomanagern aus Industrieunternehmen austauschen wollen, so besuchen Sie unsere Website unter
VI
Der Vorstand der Deutschen Gesellschaft für Risikomanagement e.V.
www.dgr.de oder schicken uns eine Email. Sie werden dann gerne unverbindlich zu einer unserer regelmäßig bei den Mitgliedsunternehmen stattfindenden Veranstaltungen eingeladen. Der Vorstand der Deutschen Gesellschaft für Risikomanagement e.V. Frankfurt/Main, Dezember 2007
Vorwort
Ausgehend von den Anforderungen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) haben viele deutsche Unternehmen Risikomanagementprozesse implementiert, in denen zunächst einzelne Risiken identifiziert und anschließend in einem Risikokatalog zusammengefasst werden. Um dem Anspruch des KonTraG – den „Fortbestand der Gesellschaft gefährdende Entwicklungen“ frühzeitig zu erkennen – gerecht zu werden, bedarf es jedoch mehr als nur einer Auflistung von Einzelrisiken. Bereits das Institut der Wirtschaftsprüfer (IDW) hat in seinem Prüfungsstandard PS 340 „Prüfung von Risikomanagementsystemen“ darauf hingewiesen, dass auch das Zusammenwirken einzelner Risiken zu beachten ist. Dieses kann im Ergebnis auch eine Bestandsgefährdung aus einzeln wenig bedeutsamen Risiken ergeben. Für alle Unternehmen sind die Prozesse und Systeme zur Identifikation und Bewertung der Einzelrisiken die notwendige Basis. Darauf aufbauend stellt sich dann die Frage, wie und für welchen Bezugsrahmen einzelne Risiken unterschiedlicher Art aggregiert werden können. Der Nutzen eines Risikomanagementsystems kann jedoch nicht allein in der Vermeidung von bestandsgefährdenden Risiken gesehen werden. Insbesondere im Rahmen einer wertorientierten Unternehmenssteuerung können und sollen Risikoinformationen einen wesentlichen Beitrag zu effizienten Managemententscheidungen leisten. Die Grundidee des wertorientierten Managements besteht dabei darin, nur in Objekte oder Unternehmensbereiche zu investieren, deren periodenübergreifende Verzinsung über den risikoadjustierten Kapitalkosten liegt, um dadurch den Unternehmenswert zu steigern. Eine wichtige Rolle spielt dabei die Ermittlung von aggregierten Risikowerten auf der zu steuernden Unternehmens(bereichs)ebene. Es stellt sich somit auch für Unternehmen, die dem Risikomanagementsystem eher strategische Bedeutung zumessen, die Frage nach den geeigneten Verfahren der Risikoaggregation. Im Rahmen der Veranstaltungen der Deutschen Gesellschaft für Risikomanagement e.V. (DGR) wurde wiederholt das Thema der Aggregation von Risiken – insbesondere unter den oben dargestellten Aspekten – diskutiert und in Vorträgen behandelt. Daraus entstand die Idee, Ansätze aus Unternehmen verschiedener Branchen und unterschiedlicher Größenord-
VIII
Jan Offerhaus, Mario Hempel
nungen zum Thema Risikoaggregation in einem Buch zusammenzustellen. Dieses Buch mit Beiträgen von neun Unternehmen direkt aus der Praxis richtet sich an Interessierte aus Unternehmen und Wissenschaft. Die Beiträge zeigen auf, wie unterschiedlich die Herangehensweise sein kann, je nachdem, ob sich ein Unternehmen dem Thema eher aus strategischer Perspektive oder eher zum Zwecke der Identifikation von bestandsgefährdenden Risiken nähert. Andere Determinanten für die verwendeten Methoden und Instrumente zur Risikoaggregation sind sicherlich auch die Unternehmensgröße, die Organisationsstruktur oder die Quantifizierbarkeit der jeweils wesentlichen Risiken. Als Klammer um die Praxisbeiträge dienen einerseits ein allgemeiner Überblick zu Rahmenbedingungen und wettbewerblichen Notwendigkeiten der Aggregation von Risiken in Unternehmen und eine theoretische Einführung in die Mathematik der Risikoaggregation am Anfang dieses Buches sowie andererseits ein Fazit aus den Unternehmensbeiträgen, in dem die verwendeten Ansätze systematisiert werden. Eine Empfehlung zur Best Practice will dieses Buch nicht aussprechen. Der Praktiker soll vielmehr die Möglichkeit haben, sich selbst aus den dargestellten Beiträgen die für sein Unternehmensumfeld und für seine Zielsetzung geeigneten Verfahren zusammenzustellen. Unser Dank gilt allen Autoren der Praxisbeiträge sowie Herrn Prof. Dr. Heinrich Rommelfanger für den theoretischen Teil. Darüber hinaus möchten wir uns bei Herrn Dr. Dirk Metzger, Frau Dr. Agatha Kalhoff und Herrn Bert H. Stahlmann bedanken, die im Review Board für die Beiträge mitgewirkt haben. Jan Offerhaus, Mario Hempel München, Berlin, Dezember 2007
Inhaltsverzeichnis
Inhaltsverzeichnis Geleitwort .................................................................................................. V Vorwort................................................................................................... VII Inhaltsverzeichnis ................................................................................... IX Abkürzungsverzeichnis ......................................................................... XV
Teil 1 Einführung Risikoaggregation als wichtiger Aspekt des Risikomanagements......... 3 Mario Hempel, Jan Offerhaus 1 1.1 1.2 1.3 1.4 2
Ist Risikoaggregation notwendig?.................................................... 3 Gesetzliche Vorgaben in Deutschland ............................................. 3 Spezifische Regularien für die Finanzbranche................................. 5 Gesetzliche Vorgaben im Ausland und RisikomanagementStandards.......................................................................................... 8 Betriebswirtschaftliche Impulse..................................................... 10 Risikoaggregation ist notwendig.................................................... 12
Stand der Wissenschaft bei der Aggregation von Risiken ................... 15 Heinrich Rommelfanger 1 2 3 4 4.1 4.2
Die Bedeutung der Risikoaggregation ........................................... 15 Vorgehen........................................................................................ 17 Der Risikobegriff ........................................................................... 18 Die Quantifizierung von Risiken, Risikomaßzahlen...................... 19 Diskrete Zufallsvariablen, Wahrscheinlichkeitsverteilungen ........ 19 Stetige Zufallsvariablen, Dichtefunktionen ................................... 23
X
4.3 5 6 7 7.1 7.2 8 9
Inhaltsverzeichnis
Mehrdimensionale Zufallsvariablen .............................................. 28 Probleme bei der Risikoanalyse mit traditionellen Verfahren ....... 36 Risikoanalyse auf Basis des Varianz-Kovarianz-Ansatzes............ 37 Risikoanalyse auf Basis der Monte-Carlo-Simulation................... 39 Die Mid-Square-Methode .............................................................. 41 Lehmergeneratoren ........................................................................ 42 Das Zeitproblem bei der Risikoaggregation .................................. 45 Das Problem unzureichender Schadendaten .................................. 46
Teil 2 Fallstudien aus der Industrie Die Aggregation von Risiken bei der SAP AG ...................................... 51 Dirk Metzger 1 1.1 1.2 2 3 3.1 3.2 3.3 4 4.1 4.2 4.3 5 6
Der SAP Konzern und seine Kernrisiken ...................................... 51 Aufbauorganisation........................................................................ 52 Kernrisiken der SAP ...................................................................... 53 Das Risikomanagementsystem der SAP AG ................................. 56 Die Bewertung von Risiken........................................................... 58 Vorbemerkung ............................................................................... 58 Der Bewertungsprozess der SAP bis September 2006 .................. 58 Der Bewertungsprozess der SAP seit September 2006 ................. 60 Die Aggregation von Risiken ........................................................ 62 Vorbemerkungen ........................................................................... 62 Semantische Aggregation .............................................................. 65 Mathematische Aggregation .......................................................... 67 Würdigung der Risikoaggregation bei der SAP............................. 73 Ausblick......................................................................................... 75
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP..................................................................................................... 77 Dietmar Krull, Sandra Simonides 1 1.1 1.2 2 2.1 2.2 3 4
Die BLG LOGISTICS GROUP..................................................... 77 Geschäftsbereiche .......................................................................... 77 Organisation................................................................................... 79 Risiko und Risikokategorien.......................................................... 80 Definition ....................................................................................... 80 Spezifische Risiken........................................................................ 81 Risikomanagementorganisation und -prozess................................ 82 Bewertung und Aggregation von Risiken...................................... 84
Inhaltsverzeichnis
4.1 4.2 4.3 4.4 4.5 5 6
XI
Instrumente .................................................................................... 84 Risikobewertungen ........................................................................ 85 Sicherung der Bewertungsqualität ................................................. 87 Ziele der Risikoaggregation........................................................... 87 Aggregationsebenen....................................................................... 89 Integration in den Planungsprozess des zentralen Controllings..... 89 Berichtswesen und Ausblick.......................................................... 90
Integriertes Chancen- und Risikomanagement bei der BMW Group............................................................................................. 93 Holger Sommerfeld, Elmar Steurer 1 2 3 4 4.1 4.2 5 6
Ausgangslage und Zielsetzung ...................................................... 93 Integration von Risiken im Unternehmen...................................... 94 Organisation des Chancen- und Risikomanagements.................... 98 Umsetzung des Risikomanagements in Unternehmensbereichen 100 Integriertes Management von finanziellen Risiken ..................... 100 Integriertes Risikomanagement in Fahrzeugprojekten ................ 101 Aggregation von Chancen- und Risiken als Basis zur Steuerung des Risikokapitals ........................................................................ 105 Ausblick ....................................................................................... 106
Einführung einer Methodik zur Risikoaggregation bei der MOL Group ...................................................................................................... 111 Tibor Papp, Beata Szoboszlai 1 2 3 3.1 3.2 3.3 4 5
Die Öl- und Gasgesellschaft MOL Plc. ....................................... 111 Zentrale Organisation des Risikomanagements........................... 112 Modell des Enterprise Risk Management .................................... 114 Übernahme von Daten in das ERM-Modell ................................ 116 Integrierte Risikoquantifizierung ................................................. 119 Unternehmensspezifische Details, Merkmale und Herausforderungen....................................................................... 121 Zukünftige Anwendungsbereiche des ERM-Modells.................. 127 Nicht quantifizierbare Auswirkungen des ERM.......................... 129
XII
Inhaltsverzeichnis
Teil 3 Fallstudien aus der Elektrizitätswirtschaft Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe................................................................................... 133 Carsten Durchholz 1 1.1 1.2 1.3 1.4 2 2.1 2.2 3 4 5 5.1 5.2 5.3 5.4 5.5 6
Einleitung..................................................................................... 133 Branche/Struktur.......................................................................... 133 Risikomanagement....................................................................... 133 Organisation................................................................................. 135 Softwareunterstützung ................................................................. 135 Aggregation ................................................................................. 136 Verständnis .................................................................................. 136 Motivation.................................................................................... 137 Qualitätssicherung ....................................................................... 141 Kommunikation ........................................................................... 142 Weitere Anwendungsfälle............................................................ 143 Richtige Bepreisung von Produkten ............................................ 143 Bewertung von Projekten............................................................. 143 Bewertung von Akquisitionen ..................................................... 144 Risikoadjustierte Performancemessung ....................................... 145 Praktische Erwägungen................................................................ 146 Fazit und Ausblick ....................................................................... 147
Risikoaggregationsmethoden im Risikomanagement der EnBW ..... 149 Thilo Enders, Thomas Vetter, Uwe Wagner 1 2 3 3.1 3.2 3.3 3.4 4
Das Unternehmen EnBW Energie Baden-Württemberg AG....... 149 Risiko und Risikomanagement .................................................... 151 Aggregationsmethoden ................................................................ 153 Aggregation durch Value-at-Risk-Methoden .............................. 153 Aggregation bei perfekter Korrelation......................................... 154 Aggregation durch Neubewertung mittels Szenariotechnik ........ 155 Aggregation durch Neubewertung mittels Modellierung ............ 155 Zusammenfassung ....................................................................... 161
Inhaltsverzeichnis
XIII
Risikoaggregation in der Praxis des Axpo-Konzerns ......................... 163 Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck 1 1.1 1.2 1.3 2 2.1 2.2 2.3 3 3.1 3.2 3.3 4 4.1 4.2 4.3 5 5.1 5.2 6
Der Axpo-Konzern ...................................................................... 163 Überblick ..................................................................................... 163 Gesellschaftsstruktur.................................................................... 164 Umfeldbedingungen..................................................................... 165 Das Corporate Risk Management ................................................ 166 Einführung ................................................................................... 166 Risikodefinition, Dimensionen und Kategorien........................... 166 Organisation des Risikomanagements ......................................... 167 Der Risikomanagement-Prozess .................................................. 169 Der Risikomanagement-Prozess .................................................. 169 Die quantitative Risikobewertung als Fokus ............................... 170 Einbettung in die Planungsprozesse des Konzerns ...................... 171 Risikoaggregation ........................................................................ 171 Simulations-basierte Risikoaggregation ...................................... 171 Tool-unterstützte Umsetzung....................................................... 172 Ausgewählte Beispiele................................................................. 174 Risiko-Berichterstattung und -steuerung ..................................... 176 Risiko-Berichterstattung .............................................................. 176 Risikosteuerung ........................................................................... 177 Schlussfolgerungen und Ausblick................................................ 178
Teil 4 Fallstudien aus der Finanzdienstleistungsbranche Risikoaggregation bei der ASL Auto Service-Leasing GmbH........... 181 Andreas Lackner 1 2 3 4 4.1 4.2 5 5.1 5.2 5.3 5.4 6
Kurzprofil ASL Auto Service-Leasing GmbH ............................ 181 Definition und Arten von Risiken................................................ 182 Risikomanagement-Organisation und -Prozess ........................... 183 Bewertung und Positionierung von Risiken ................................ 185 Klassifizierung von Risiken......................................................... 185 Risikomessung ............................................................................. 186 Aggregierte Risikodarstellung im operativen Berichtswesen ...... 188 Ausfall-/Bonitätsrisiko................................................................. 188 Zinsänderungsrisiko..................................................................... 189 Restwertrisiko .............................................................................. 190 Nutzen der gewählten Risikoberichterstattung ............................ 191 Erfahrungen mit der Risikoberichterstattung............................... 192
XIV
Inhaltsverzeichnis
Risikoaggregation in Kreditinstituten ................................................. 195 Gerrit Jan van den Brink 1 2 3 3.1 3.2 3.3 4 5
Gründe für die Aggregation von Risiken..................................... 195 Ziele der Risikoaggregation......................................................... 198 Die Vorgehensweise der Risikoaggregation bei Anwendung der Risikokapitalberechnung ............................................................. 200 Datenerhebung ............................................................................. 201 Kalkulation des Risikokapitals .................................................... 203 Die Parametrisierung ................................................................... 208 Aggregation von Risikoindikatoren in der Form von RisikoScorecards.................................................................................... 208 Denkanstöße zur Aggregation der Informationen der einzelnen Risikoklassen ............................................................................... 211
Best practise und Entwicklungswege bei der Aggregation von Risiken .................................................................................................... 215 Jan Offerhaus, Mario Hempel 1 1.1 1.2 1.3 2
Ansätze zur Risikoaggregation in der Praxis ............................... 215 Vorstufen der eigentlichen Risikoaggregation............................. 215 Scoring- und Rating-Verfahren.................................................... 218 Quantitative Verfahren ................................................................ 219 Bestehende Tendenzen und weitere Entwicklungen.................... 227
Autorenverzeichnis ................................................................................ 231 Literaturverzeichnis .............................................................................. 239 Abbildungsverzeichnis .......................................................................... 245 Tabellenverzeichnis ............................................................................... 247 Sachverzeichnis ...................................................................................... 249
Abkürzungsverzeichnis
Abkürzungsverzeichnis AktG AMA ASL BaFin BilReG BIP Boe CRM CAPEX CEO CFaC CFaR CFO CHF CKW COSO CSO DB DCF DGR DRSC E EBIT EBITDA EBT EEX EGL EnBW ERM
Aktiengesetz Advanced Measurement Approach Auto Service-Leasing GmbH Bundesanstalt für Dienstleistungsaufsicht Bilanzrechtsreformgesetz Bruttoinlandsprodukt Barrels of oil equivalent Corporate Risk Management Capital Expenditure Vorstandsvorsitzender Cashflow-at-Chance Cashflow-at-Risk Finanzvorstand Schweizer Franken Centralschweizerische Kraftwerke AG Committee of Sponsoring Organizations of the Treadway Commission Customer Solutions & Operations Deckungsbeitrag Discounted-Cash-Flow-Verfahren Deutsche Gesellschaft für Risikomanagement e.V. Deutsches Rechnungslegungs Standards Committees e.V. Erwartungswert Earnings before interest and taxes Earnings before interest, taxes, depreciation and amortization Earnings before taxes European Energy Exchange Elektrizitätsgesellschaft Laufenburg AG Energie Baden-Württemberg AG Enterprise Risk Management
XVI
Abkürzungsverzeichnis
ES ETS EVA ggf. GRM GuD GuV / G&V HGB I IDW IFRS IOB KbbL KKW KonTraG kV KWG M&A MFP Mio. Mrd. NOK NPV OR P PFA R&I RM RMK RMS RONOA Ser & Sup SOX / SOA SWX TEU TG USD VAR VAX VGB VR WACC
Expected Shortfall European Trading Scheme Economic Value Added gegebenenfalls Gruppen Risikomanagement Gas- und Dampfturbinen-Kraftwerk Gewinn- und Verlustrechnung Handelsgesetzbuch Impact Institut der Wirtschaftsprüfer International Financial Reporting Standards International Orderbook Kilobarrel Kernkraftwerk Kontroll- und Transparenzgesetz Kilovolt Kreditwesengesetz Merger and Aquisition mittelfristige Finanzplanung Million Milliarde Nordostschweizerische Kraftwerke AG Net Present Value Obligationsrecht Wahrscheinlichkeit Prüfungs- und Finanzausschuss Research & Breakthrough Innovation Risikomanagement Risikomanagement-Komitee Risikomanagementsystem Return on net operating assets Global Services and Support Sarbanes-Oxley Act Swiss Exchange Börse Twenty Foot Equivalent Unit Tochtergesellschaft US-Dollar Value-at-Risk Value add der Axpo Gruppe Verband der Großkessel-Besitzer Verwaltungsrat weighted average cost of capital
Teil 1 Einführung
Risikoaggregation als wichtiger Aspekt des Risikomanagements
Mario Hempel, Jan Offerhaus
1
Ist Risikoaggregation notwendig?
In den neun Praxisbeiträgen dieses Buches wird aus unterschiedlichen Perspektiven beleuchtet, mit welchen Verfahren Risiken in verschiedenen Unternehmen aggregiert werden. Dabei wird zum Teil explizit, zum Teil implizit deutlich, aus welchen Gründen eine solche Risikoaggregation durchgeführt wird. Im Folgenden soll zunächst ein zusammenfassender Überblick über die Rahmenbedingungen und wettbewerblichen Notwendigkeiten dargestellt werden, die allgemein in der betrieblichen Praxis zu einer steigenden Nachfrage nach aggregierten Risikoinformationen führen. Letztlich beantwortet diese Würdigung auch die eingangs gestellte Frage: Risikoaggregation ist in der Unternehmenspraxis notwendig! 1.1 Gesetzliche Vorgaben in Deutschland Die gesetzlichen und regulatorischen Vorgaben im Umfeld des Risikomanagements sind in den letzten 15 Jahren als Reaktion auf vermehrte Krisen von Großunternehmen entstanden bzw. verschärft worden. Der deutsche Gesetzgeber reagierte 1998 mit dem „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG).1 Wenn auch der Umgang mit Risiken von jeher eine Grundvoraussetzung erfolgreichen unternehmerischen Handelns war, so hat das Gesetz bei vielen Unternehmen den Anstoß gegeben, sich nun in systematischer und umfassender Weise mit Risiken auseinanderzusetzen. Allerdings bleibt das KonTraG in Bezug auf die konkrete Ausgestaltung von Risikomanagementsystemen sehr vage. Insbe1
Siehe zum Thema KonTraG und Risikomanagement z. B. Picot 2001 oder Lischke u. Offerhaus 2005, S 526–538
4
Mario Hempel, Jan Offerhaus
sondere finden sich im Gesetz keine konkreten Ausführungen zum Thema Risikoaggregation. Es ist nur die Rede von „den Fortbestand der Gesellschaft gefährdenden Entwicklungen“, also bestandsgefährdenden Risiken. Die Empfehlungen des Instituts der Wirtschaftsprüfer (IDW) und des Deutschen Rechnungslegungs Standards Committees e.V. (DRSC) dagegen konkretisieren die Gesetzesinhalte, wobei allerdings umstritten ist, inwieweit aus dem Gesetz tatsächlich Detailanforderungen an Organisation, Struktur und Methodik des Risikomanagementsystems abgeleitet werden können.2 Insbesondere finden sich in diesen Empfehlungen auch Hinweise zum Umgang mit Risikointerdependenzen und damit zur Aggregation von Risiken. Der Deutsche Rechnungslegungs Standard Nr. 5 (DRS 5) weist darauf hin, dass die Darstellung von Risikointerdependenzen grundsätzlich „wünschenswert“ ist und dass sie sogar „erforderlich“ ist, „wenn anders die Risiken nicht zutreffend eingeschätzt werden können.“3 Das dürfte in nahezu allen Unternehmen der Fall sein, es sei denn, das Unternehmen hat nur ein Risiko. Das IDW macht in seinem Prüfungsstandard 340 (IDW PS 340) noch deutlicher, warum das Zusammenwirken von Einzelrisiken im Rahmen der Risikoanalyse zu beurteilen ist: Es sei eine Einschätzung notwendig, „ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko führen können.“4 Die beiden Standardsetter zeigen somit die Wichtigkeit von Risikointerdependenzen und deren Bewertung auf, auch wenn keine detaillierten Hinweise auf die geeigneten Mittel der Risikoaggregation gegeben werden. Ausgangspunkt für die Beschäftigung mit Aggregaten von Einzelrisiken ist dabei die Erkenntnis, dass Einzelrisiken oft isoliert nicht adäquat bewertet werden können. Die Grundidee des KonTraG war es, Einzelrisiken, die auf bestandsgefährdende Krisen von Unternehmen hinweisen, in den Unternehmen frühzeitig erkennbar zu machen. Letztlich beruhen die darauf aufbauenden Empfehlungen der Standardsetter auf keinem anderen Ansatz – auch wenn sie erkennen, dass bestimmte Einzelrisiken aggregiert werden müssen. Aus dem KonTraG lassen sich somit bereits deutliche Indizien für die – zumindest in bestimmten Fällen gegebene – gesetzliche Notwendigkeit der Aggregation von Einzelrisiken ableiten. Auch Unternehmen, die sich ausschließlich an den wörtlichen Vorgaben aus dem KonTraG orientieren, kommen an einer Risikoaggregation somit kaum vorbei. 2
Siehe die Zusammenfassung der Diskussion in Lischke u. Offerhaus 2005, S 531–534 3 Vgl. Deutsches Rechnungslegungs Standards Committee e.V 2001, Tz. 25 4 Vgl. Institut der Wirtschaftsprüfer 2000, Rdnr. 10
Risikoaggregation als wichtiger Aspekt des Risikomanagements
5
Jedoch bildet das KonTraG nur den Ausgangspunkt für eine Vielzahl nationaler, europäischer bzw. internationaler Initiativen, die im Ergebnis die Anforderungen an ein Risikofrüherkennungs- und -überwachungssystem immer mehr konkretisieren und verschärfen. 1.2 Spezifische Regularien für die Finanzbranche Für Banken haben regulatorische Vorgaben, die zum einen den Risikogehalt ihres Geschäftsgebarens begrenzen sollen und zum anderen Vorschriften für ein adäquates Risikomanagement bzw. Risikocontrolling erlassen, eine wesentlich längere Historie als für Nicht-Banken.5 Grund hierfür ist, dass den Kreditinstituten eine volkswirtschaftliche Sonderrolle als finanzielle Intermediäre zugemessen wird und dementsprechend vermieden werden soll, dass Instabilitäten im Finanzbereich Auslöser für noch gravierendere Krisen im realwirtschaftlichen Bereich der Volkswirtschaften werden. Im Unterschied zu den Nicht-Banken wurden und werden in den meisten aufsichtsrechtlichen Normen für Kreditinstitute konkrete quantitative Größen definiert, die das Eingehen von Risiken im Rahmen der Geschäftstätigkeit begrenzen sollen. Bereits 1962 wurden mit der Einführung der Vorschrift des Grundsatzes I in Deutschland Obergrenzen für (vergleichsweise vereinfachende) Relationen zwischen dem Eigenkapital als dem Maßstab für die Risikotragfähigkeit eines Kreditinstitutes einerseits und Kennzahlen, die die Risikohaftigkeit der geschäftlichen Aktivitäten messen sollten, andererseits definiert. Um eine internationale Angleichung der aufsichtsrechtlichen Regelungen zu erreichen, wurde 1988 der so genannte Basler Eigenkapitalakkord (auch Basel I) verabschiedet, der 1993 in Deutsches Recht umgesetzt wurde. Basel I beschränkte sich nur auf eine, wenn auch im Finanzbereich sehr bedeutende Risikokategorie, das Kreditrisiko. Die Kreditrisiken, die für jedes Kreditinstitut limitiert werden sollten, wurden durch Basel I noch sehr rudimentär gemessen. Allerdings sind in Basel I schon wesentliche Regelungselemente enthalten, die es in dieser Granularität für Nicht-Banken bis heute nicht gibt und die Impulse für eine Herangehensweise an das Thema Risikoaggregation unter speziellen Gesichtspunkten gegeben haben.
5 Siehe zu regulatorischen Vorgaben im Bankenbereich allgemein und zu ihrer Entwicklung z. B. Paul 2002, S 5–44, oder Bessis 2002, S 25–50
6
Mario Hempel, Jan Offerhaus
Diese Elemente sind: • die Definition des wirtschaftlichen Eigenkapitals als Maßgröße für die Risikotragfähigkeit des Kreditinstitutes, • der Versuch, die dem Bankengeschäft inhärenten Risiken in Summe für eine bestimmte Risikoart (in später folgenden Regelungen auch für das gesamte Kreditinstitut) messbar zu machen sowie • die Begrenzung der Relation von Risiko zu Eigenkapital. Diese Elemente der aufsichtsrechtlichen Regelungen haben sicherlich auch zur Konsequenz, dass im Bankenbereich die Quantifizierung sowohl von Einzelrisiken als auch von aggregierten Risiken viel konsequenter angegangen wurde und dass die Kreditinstitute im Allgemeinen gegenüber wertorientierten Steuerungssystemen, die Risiko-Rendite-Relationen verwenden, aufgeschlossener waren als Nicht-Banken.6 In Deutschland wurde Basel I 1998 durch die 6. Novelle des Kreditwesengesetzes (KWG) ergänzt, mit der zusätzlich zum Kreditrisiko nun auch für das Marktrisiko (im Bankenumfeld ist hiermit das Risiko aus allgemeinen Marktpreisveränderungen gemeint, z. B. aus Aktienkurs- oder Wechselkursveränderungen) eine Mindestunterlegung mit Eigenkapital gefordert wurde. Bedeutend an dieser Novellierung des KWG war es, dass es erstmals den Kreditinstituten erlaubte, für externe Zwecke eine bestimmte Risikoart (Marktrisiko) mit eigenentwickelten, so genannten internen Modellen, zu bewerten. Die Aufsichtsbehörden haben diese Modelle selbstverständlich zu prüfen und zu genehmigen, aber die Kreditinstitute bestimmen die Methodik zur Bewertung der Risiken, die durch die aufsichtsrechtlichen Normen begrenzt werden sollen, selbst. Als Standard für diese internen Modelle im Marktrisiko hatte sich von vornherein der Value-atRisk-Ansatz (VaR) durchgesetzt. Ergebnis dieses Ansatzes ist letztendlich ein Risikowert für ein gesamtes Portfolio an Geschäftsaktivitäten und damit auch an Einzelrisiken. Der Anreiz für die Kreditinstitute, solche VaRAnsätze einzusetzen und weiterzuentwickeln, bestand insbesondere auch darin, dass diese Modelle es erlauben, durch die Berücksichtigung von Diversifikations- und Hedging-Effekten den resultierenden Gesamtrisikowert im Vergleich zu einer reinen Addition von vereinfachten Pauschalansätzen für Einzelrisiken geringer (und damit auch realistischer) auszuweisen. Mit dem Neuen Basler Eigenkapitalakkord (auch Basel II) aus dem Jahre 2001 wurden die aufsichtsrechtlichen Regelungen im Bankenbereich weiterentwickelt. Nach 2001 hat Basel II noch einige Modifikationen er-
6
Siehe z. B. die Ergebnisse die aktuelle Studie von Professional Risk Managers’ International Association/SunGard BancWare 2007
Risikoaggregation als wichtiger Aspekt des Risikomanagements
7
fahren und soll nun bis 2008 bei den Banken umgesetzt werden.7 Basel II beruht auf drei Säulen: den (überarbeiteten) quantitativen Eigenkapitalanforderungen, der qualitativen Aufsicht sowie den Transparenzvorschriften. Interessant im Kontext dieses Buches sind unter anderem die Erweiterungen in der ersten Säule. Zum einen wird die Bemessung der Kreditrisiken durch Basel II differenzierter als noch mit Basel I und es wird auch der partielle Einsatz von internen Modellen zur Bemessung der Kreditrisiken erlaubt. Zum anderen wird erstmals vorgeschrieben, dass auch operationelle Risiken (explizit) mit Eigenkapital zu unterlegen und zu diesem Zweck auch zu quantifizieren sind. Neben pauschalen Bewertungsverfahren sind auch für operationelle Risiken interne Modelle erlaubt.8 Interessant ist dies insofern, da es bei den operationellen Risiken um eine Risikokategorie geht, die auch bei Nicht-Banken traditionell im Vordergrund der Risikoidentifikation steht. Als eine Reaktion auf die Empfehlungen der zweiten Säule von Basel II zu qualitativen Anforderungen an die Ermittlung der Eigenkapitalunterlegung von Risiken wurden 2005 in Deutschland die "Mindestanforderungen an das Risikomanagement" (MaRisk) erlassen.9 Die MaRisk stellen eine Vielzahl von detaillierten Anforderungen zur Bewertung der unterschiedlichen Risiken auf, die bei Kreditinstituten auftreten, aber auch an die mit dem Risikomanagement verbundenen aufbau- und ablauforganisatorischen Voraussetzungen für einen adäquaten Risikomanagementprozess. Eine zentrale Aussage der MaRisk ist im Kontext der Risikoaggregation besonders von Bedeutung: "Auf der Grundlage des Gesamtrisikoprofils ist sicherzustellen, dass die wesentlichen Risiken des Kreditinstituts durch das Risikodeckungspotenzial, gegebenenfalls unter Berücksichtigung von Wechselwirkungen, laufend abgedeckt sind und damit die Risikotragfähigkeit gegeben ist."10 Laut MaRisk müssen Banken somit zum einen bestimmen, welches Gesamtrisiko die Bank aufgrund der vorhandenen Eigenmittel verkraften kann, und zum anderen müssen sie die (wesentlichen) Einzelrisiken auf aggregierter Ebene des Gesamtunternehmens ermitteln und dabei auch Korrelationseffekte berücksichtigen. Die Analyse der gesetzlichen Vorgaben im Bereich der Kreditinstitute zeigt, dass aggregierte Risikozahlen (zumindest auf Ebene einzelner Risikokategorien) hier schon lange gefordert sind. Von daher ist es für Banken 7
Zu den Details von Basel II siehe z. B. den folgenden Sammelband: Hofmann 2002 8 Zu Operational Risk im Bankenbereich siehe z. B. Minz 2004, Hofmann 2002 oder Lenzmann 2007 9 Zu detaillierteren Informationen bzgl. MaRisk siehe Pfeifer et al. 2006 10 MaRisk AT 4.1, Tz. 1
8
Mario Hempel, Jan Offerhaus
meist der logisch nächste Schritt, diese aggregierten Risikozahlen auch für eine wertorientierte Steuerung11 der einzelnen Geschäftsfelder und der gesamten Bank zu verwenden. Als konzeptionell und von der Umsetzung her allerdings nicht ganz einfach erweist sich dabei oft, dass für die verschiedenen Risikokategorien unterschiedliche Bewertungsverfahren entwickelt wurden und deren Ergebnisse erst „auf einen gemeinsamen Nenner“ gebracht werden müssen. 1.3
Gesetzliche Vorgaben im Ausland und Risikomanagement-Standards
Auch wenn die vorhergehenden Ausführungen deutlich machen, dass man in Deutschland keineswegs schon von einheitlichen und konsistenten Anforderungen an das Risikomanagement und die Risikoaggregation sprechen kann, so gibt es auch eine Vielzahl von Initiativen bzw. rechtlich verbindlichen Festlegungen auf internationaler Ebene. Zwei bedeutsame sind im Folgenden kurz beschrieben. 1985 wurde durch die „National Commission on Fraudulent Financial Reporting“ die Plattform COSO gegründet. COSO ist die Abkürzung für das „Committee of Sponsoring Organizations of the Treadway Commission“, eine privatwirtschaftliche Organisation zur Verbesserung der Finanzberichterstattungen. Die Verbesserung soll durch ethisches Handeln, interne Kontrollen und gute Unternehmensführung erzielt werden. Das so genannte COSO II12, das auf dem COSO-Rahmenwerk für interne Kontrollen basiert, ist ein Enterprise Risk Management-Modell (ERM), das auf die Risiko- und Chancensituation eines Unternehmens eingeht. Es definiert die folgenden Bestandteile des ERM: • • • • • • • •
11 12
Internes Umfeld der Risikobetrachtung Zielsetzung Ereignis-/Risikoidentifikation Risikobewertung und -aggregation Risikobewältigungsmaßnahmen Kontrollaktivitäten als Realisierung der Maßnahmen Information und Kommunikation Überwachung.
Siehe zur wertorientierten Steuerung Abschnitt 1.4 unten Siehe z. B. die Zusammenfassung zu COSO II in der offiziellen deutschen Fassung: COSO 2004
Risikoaggregation als wichtiger Aspekt des Risikomanagements
9
Das Risikomanagement soll von der untersten bis zur obersten Ebene des Unternehmens gelebt werden. Die Ziele des ERM laut COSO sind: • • • •
Berücksichtigung der Unternehmensstrategie Optimierung der operativen Unternehmensprozesse Risikoberichterstattung Befolgung der Gesetze.
Explizite Aussagen zur Risikoaggregation finden sich in COSO II nicht. Auch fordert COSO II nicht Risikobewertungsmethoden, die für die Aggregation von Einzelrisiken geeignet sind. Vielmehr gibt es in den Anwendungsempfehlungen nur Hinweise auf verschiedene mögliche Verfahren von Risk Maps bis zu Value-at-Risk-Methoden. Es lässt sich allerdings implizit ableiten, dass die Aggregation von Risiken notwendig ist. Zum einen wird empfohlen, dass ein Unternehmen seinen Risikoappetit zu definieren hat und das Unternehmensrisiko dagegen abgleichen sollte. Dies ist aber adäquat nur möglich, wenn auf Unternehmensebene das Gesamtrisiko ermittelt werden kann. Zum anderen stellt COSO II auf verschiedene organisatorische Ebenen ab, zu denen die Unternehmensebene genauso gehört wie Ebenen von untergeordneten Unternehmenseinheiten. Es geht damit über die reine Steuerung von Einzelrisiken hinaus, indem die Perspektive auf Ebenen gerichtet wird, für die aggregierte Risikowerte sinnvoll erscheinen. In den letzten Jahren sind bekannte Unternehmen z. B. durch Bilanzfälschungen in die Schlagzeilen geraten. Um das Vertrauen der Anleger wieder zu gewinnen, wurde neben COSO II in den USA der Sarbanes-Oxley Act (SOX/SOA) verabschiedet. Seitdem haften Unternehmensmanagement und Wirtschaftsprüfer stärker für ihre Gewissenhaftigkeit und die Vollständigkeit ihrer Angaben. Das Gesetz gilt für inländische und ausländische Unternehmen sowie deren Töchterunternehmen, die an der US-amerikanischen Börse notiert sind.13 Nach Section 302 müssen der Vorstandsvorsitzende (CEO) und der Finanzvorstand (CFO) durch eine Erklärung den Anlegern authentifizieren, dass die Jahres- und Quartalsberichte der Wahrheit entsprechen. Weiter müssen sie ein effizientes und funktionsfähiges internes Kontrollsystem einrichten und die wesentlichen Informationen den Organmitgliedern zur Verfügung stellen. Dem Abschlussprüfer und dem Audit Committee sind Unregelmäßigkeiten durch die Organmitglieder mitzuteilen. Wird bei-
13 Siehe z. B. Kajüter 2004 oder http://www2.agens.com/sox_inhalte-siterevwelt.html
10
Mario Hempel, Jan Offerhaus
spielsweise die Finanzlage unrichtig dargestellt, so ist mit Geld- oder Freiheitsstrafen zu rechnen. Ob die Einschätzung des internen Kontrollsystems durch CEO und CFO richtig ist, wird vom Wirtschaftsprüfer überprüft und bescheinigt (Section 404). Das geschieht einmal jährlich im Kontext des Jahresabschlusses. SOX/SOA stellt zwar Anforderungen bezüglich des internen Kontrollsystems eines Unternehmens auf, fordert aber nicht explizit die Einrichtung eines Risikomanagementsystems. Aussagen zur Risikoaggregation finden sich in SOX/SOA überhaupt nicht. Die internationalen Entwicklungen geben bis heute keinen ganz konkreten Ansatz zur Zusammenführung von inhaltlich unterschiedlichen Risiken auf den verschiedenen strukturellen Ebenen von Unternehmen und Konzernen vor. Auch international gibt es eben nicht „den Standard“ für die Risikoaggregation. Dieser muss sich offensichtlich entsprechend der Notwendigkeiten des Wettbewerbs und des Marktes erst herausbilden. 1.4 Betriebswirtschaftliche Impulse Nicht nur gesetzliche Regelungen haben den Unternehmen Impulse gegeben, sich mit dem Thema Risikoaggregation auseinanderzusetzen. Auch aus der unternehmerischen Praxis sowie der Wissenschaft heraus gibt es den Trend zu einem stärkeren Einsatz von Verfahren zur Aggregation von Risiken sowie von aggregierten Risikowerten in der Unternehmenssteuerung.14 Bei Investitionsentscheidungen sollten beispielsweise der in der Literatur vorherrschenden Theorie zufolge stets dynamische Investitionsrechenverfahren wie das Discounted-Cashflow-Verfahren (DCF) zum Einsatz kommen. Ein wesentlicher Bestandteil des DCF ist die Ermittlung eines adäquaten Zinssatzes zur Diskontierung der erwarteten Cashflows. Der Zins sollte neben dem risikofreien Marktzins auch eine Risikokomponente beinhalten, die sich aus dem Risiko des jeweiligen Objektes ableitet. Für die Bestimmung dieser Risikokomponente werden Risikowerte auf Objektebene benötigt. Diese können aus Kapitalmarktwerten abgeleitet werden. Alternativ können aber auch unternehmensinterne Daten des Risikomanagements verwendet werden. Um Risikowerte auf Objektebene zu erhalten, müssen aber die mit dem Objekt verbundenen Einzelrisiken erst aggregiert werden.
14
Siehe den Überblick bei von Metzler 2004, S 33–46
Risikoaggregation als wichtiger Aspekt des Risikomanagements
11
Wertorientierte Unternehmenssteuerungsansätze15 übertragen die Grundidee des DCF letztendlich auf die Unternehmensebene. Im Rahmen dieser Ansätze ist die Maximierung des Unternehmenswertes das primäre Unternehmensziel. Wesentliches Kennzeichen von wertorientierten Steuerungsansätzen ist somit stets, dass in Performance-Maßstäben und in Entscheidungskriterien für Kapitalallokationsentscheidungen die unterschiedlichen Risikobelastungen von Geschäften, Projekten, Unternehmensbereichen oder Unternehmen systematisch und differenziert berücksichtigt werden. Die betriebswirtschaftliche Literatur hat verschiedene Ansätze entwickelt, die auch in die Unternehmenspraxis Eingang gefunden haben. Alle Ansätze berücksichtigen letztlich das Risiko der betrachteten Unternehmensaktivität. Dabei gehen die Modelle jedoch im Einzelnen unterschiedlich vor. Die Modelle verwenden entweder absolute oder relative Performance-Größen als Maßstab, sie berücksichtigen das Risiko entweder direkt oder indirekt (risikoorientierte Aufbereitung von finanziellen Fluss- oder Bestandsgrößen versus risikoorientierte Aufbereitung von Mindestgewinnzielen) und sie berücksichtigen das Risiko entweder auf Ebene der Ergebnisgröße oder auf Ebene der Bezugsgröße. Einer der am weitesten verbreiteten Ansätze ist der EVA-Ansatz (Economic Value Added). Nach diesem Ansatz entsteht wertsteigernde Performance in einem Unternehmen nur, wenn der bilanzielle Erfolg größer ist als der über die Verzinsung des eingesetzten Kapitals definierte Mindestgewinn. Der Mindestgewinn wird wiederum auf Basis der durchschnittlichen Kapitalkosten (WACC, weighted average costs of capital) ermittelt. Die Höhe der Kapitalkosten orientiert sich am Risiko des betrachteten Objektes. Oft wird in der Literatur empfohlen, die risikoorientierten Kapitalkosten auf Basis externer, kapitalmarktorientierter Daten zu ermitteln. Teilweise wird aber auch argumentiert, dass auf den realen unvollkommenen Märkten unternehmensinterne Daten mehr Informationen über die Risikosituation eines Unternehmens oder einzelner Unternehmensbereiche liefern können als der Kapitalmarkt.16 Das Risikomanagement des Unternehmens könne eben durch Aggregation der Einzelrisiken die erforderlichen Informationen liefern, um Kapitalkostensätze abzuleiten und so eine solide Grundlage für das wertorientierte Management zu liefern. Ansätze des wertorientierten Managements, die explizit auf einer direkten Risiko-Adjustierung der absoluten Bezugsgrößen der PerformanceMessung (insbesondere des Eigenkapitals) beruhen, sind im Bankenbe-
15
Siehe zu den Verbindungen von Risikomanagement und wertorientierten Steuerungsansätzen z. B. auch Denk u. Exner-Merkelt 2005, S 185–205 16 Vgl. z. B. Gleißner 2004b, S 356–357
12
Mario Hempel, Jan Offerhaus
reich sehr verbreitet.17 Bei diesen Ansätzen wird die Performance-Größe nicht in Relation zu traditionellen Kapitalgrößen wie dem bilanziellen Eigenkapital gesetzt. Vielmehr wird die Kapitalgröße um die Risikobelastung der betrachteten Geschäftstätigkeit adjustiert, für die das Kapital zur Verfügung gestellt wird. Es wird bei solchen Kapitalgrößen daher auch von Risikokapital gesprochen. Dieses Risikokapital entspricht dem Valueat-Risk der betrachteten Geschäftstätigkeit, der auf Basis der unternehmensinternen Risikoinformationen meist durch Simulationsverfahren als aggregierter Risikowert ermittelt wird. Je risikobehafteter eine Aktivität ist, umso größer wird der Value-at-Risk und somit das Risikokapital sein. Werden beispielsweise unterschiedliche Unternehmensbereiche miteinander oder mit externen Maßstäben verglichen, so muss ein Unternehmensbereich mit höherem Risiko eben eine höhere (erwartete) Rendite erzielen, um dieselbe Risikorentabilität zu erzielen. Im Bankenbereich liegt der Einsatz solcher Methoden unter anderem auch deswegen nahe, weil die bereits erläuterten aufsichtsrechtlichen Regeln18 die Unterlegung von risikobehafteten Aktiva mit Eigenkapital fordern. Im Nicht-Bankenbereich sind die Ansätze der Risikokapital-Allokation noch nicht so weit verbreitet. Teilweise wird in der Literatur auch explizit die Übertragung dieser Ansätze auf Nicht-Banken kritisch beurteilt.19 Teilweise wird jedoch gerade eine Weiterentwicklung des Controllings gefordert, um eben den erwarteten Gewinn in Relation zum risikobedingten Eigenkapitalbedarf setzen zu können.20 Insgesamt bleibt festzuhalten, dass die Verbreitung von wertorientierten Steuerungsmethoden und die Weiterentwicklung des traditionellen Controllings durch Integration von Risikogrößen eine verstärkte Notwendigkeit zur Aggregation von Einzelrisiken auf Unternehmens-, Unternehmensbereichs- und Projektebene nach sich zieht.
2
Risikoaggregation ist notwendig
Gesetzliche Vorgaben in Deutschland für den Nicht-Bankenbereich fordern zwar nicht explizit die Aggregation von Risiken. Akzeptiert man allerdings, dass einzelne Risiken nicht getrennt von anderen Risiken adäquat beurteilt werden können, so macht letztendlich auch das KonTraG eine 17
Siehe einen kurzen Überblick hierzu bei von Metzler 2004, S 36–38 Siehe zu den aufsichtsrechtlichen Vorgaben im Bankenbereich Abschnitt 1.2 oben 19 Vgl. z. B. von Metzler 2004, S 37–38, oder Denk u. Exner-Merkelt 2005, S 192 20 Vgl. Gleißner 2004b, S 357–358 18
Risikoaggregation als wichtiger Aspekt des Risikomanagements
13
Aggregation von Einzelrisiken notwendig. Die gesetzlichen Vorgaben für Kreditinstitute schreiben dagegen von vornherein vor, aggregierte Risikowerte zu ermitteln. Für Banken stellt sich somit gar nicht mehr die Frage, ob Risikoaggregation notwendig ist oder nicht. Mit der zunehmenden Verbreitung von wertorientierten Methoden der Unternehmenssteuerung wird der Einsatz von Risikogrößen auf aggregierter Basis auch unter betriebswirtschaftlichen Gesichtspunkten in der Unternehmenspraxis üblicher. Es besteht zwar keine unmittelbar zwingende Notwendigkeit, solche Methoden der Unternehmenssteuerung zu implementieren und im Rahmen solcher Methoden auch die Aggregation von internen Risikodaten zu nutzen, anstatt auf aus dem Kapitalmarkt abgeleiteten Risikowerten aufzusetzen. Die Risikoaggregation stellt jedoch in jedem Falle nützliche Informationen für die Unternehmenssteuerung zur Verfügung. Insofern kann allgemein folgende Schlussfolgerung gezogen werden: Die Aggregation von Einzelrisiken ist in der Unternehmenspraxis vielfach aufgrund gesetzlicher Vorgaben bereits notwendig, sie ist aber auch aus betriebswirtschaftlichen Gründen in vielen Fällen unumgänglich und sinnvoll.
Stand der Wissenschaft bei der Aggregation von Risiken
Heinrich Rommelfanger Universität Frankfurt am Main
1
Die Bedeutung der Risikoaggregation
Es gehört zweifellos zu einer ordnungsgemäßen Unternehmensführung, die möglichen bestandsgefährdenden Risiken sorgfältig zu identifizieren und zu steuern. Dennoch nahm das Thema Risikomanagement in den 50er bis 80er Jahren des 20. Jahrhunderts nur einen untergeordneten Rang ein. Risiken wurden weitgehend verdrängt und nur in den Fällen ausführlich diskutiert, die mit Existenzängsten und riesigen Schäden verbunden waren. Bestes Beispiel dafür sind die mit der Nutzung der Atomkraft verbundenen Risiken, die bis heute lebhaft öffentlich diskutiert werden. Dies änderte sich erst mit dem 1998 in Kraft getretenen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), in dem der Gesetzgeber von deutschen Aktiengesellschaften in § 91 Abs. 2 AktG verlangt: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden". Über die Sorgfaltspflicht der GmbH-Geschäftsführung nach § 43 Abs. 1 GmbH-Gesetz strahlt diese aktienrechtliche Vorschrift auch auf Unternehmen aus, die in der Rechtsform der GmbH betrieben werden. Auch wenn mit dem KonTraG das Risikomanagement zur gesetzlichen Pflicht erhoben wurde, hat sich seit Inkrafttreten dieses Gesetzes noch kein einheitliches Verständnis herausgebildet. In der Literatur findet man zwar zahllose Veröffentlichungen, die den Regelkreis eines idealtypischen Risikomanagementsystems von der Risikostrategie, über die Risikoidentifizie-
16
Heinrich Rommelfanger
rung bis zur Risikoüberwachung aufzeigen. Wie dieser aber dauerhaft im Unternehmen als lebendiges System und nicht nur als einmaliges Sonderprojekt implementiert werden kann und welche Verfahren und Instrumente dazu in Frage kommen, wird zumeist offen gelassen. Besser ist die Lage in speziellen Branchen, wie Banken und Versicherungen, in denen die Bundesanstalt für das Dienstleistungsaufsicht (BaFin) mit den als Basel I und II bzw. Solvency I und II bekannten Vorschriften zwar genauere Vorgaben gibt, ohne aber die Verfahren der Risikomessung im Detail vorzuschreiben.21 Um festzustellen, ob das im Unternehmen vorhandene Risikodeckungspotenzial ausreicht, um die möglichen Auswirkungen der identifizierten Risiken abzudecken, genügt es nicht, die Bedeutung von Einzelrisiken auf die Unternehmensentwicklung zu ermitteln. Vielmehr bedarf es einer Analyse, wie sich die identifizierten Risiken insgesamt auf die Erreichung der Unternehmensziele auswirken können. Nur durch eine Aggregation der bewerteten Risiken lässt sich feststellen, ob diese zu einer Abweichung vom Unternehmensziel führen können, die außerhalb des in der Risikostrategie festgelegten Toleranzbereichs liegt. Als ein Beispiel dafür, dass einzelne für sich allein unbedeutende Risiken bei unglücklicher Verkettung zu einer Katastrophe führen können, sei erinnert an das Concorde-Unglück am 25. Juli 2000 bei Paris: Eine vorher gestartete DC10 hatte auf der Startbahn einen Metallstreifen aus Titanlegierung verloren. Dieses Ereignis war für die DC10 fast ohne Belang und die Gefahr, dass ein später auf der gleichen Startbahn startendes Flugzeug gerade diesen Metallstreifen überrollen würde, war sehr gering. Aber die danach startende Concorde fuhr so unglücklich über den Metallstreifen, dass ein Reifen nicht nur aufgeschnitten wurde, sondern explosionsartig platzte. Reifenreste zerstörten einen Tank des Überschalljets, der schon vom Boden abgehoben hatte und in einem Feuerball abstürzte. Alle Insassen kamen ums Leben. Dass die Reifenteile so folgenreich einen Tank zerstören konnten ist darauf zurückzuführen, dass die Tanks der Concorde nicht über einen ausreichenden Aufprallschutz verfügten. Das damit verbundene Risiko wurde aber als sehr gering eingestuft, waren doch die Concorde-Maschinen jahrzehntelang unfallfrei geflogen. Als Fazit ist daher festzuhalten, dass es bei der Bestimmung der Gesamtrisikoposition eines Unternehmens nicht ausreicht, die relative Bedeutung von Einzelrisiken auf die Unternehmensentwicklung zu ermitteln. Nur durch Zusammenfassung aller Risiken unter Beachtung der Wechselwirkungen lässt sich der wahre Gesamtrisikoumfang bestimmen.
21
Vgl. Deutsche Bundesbank 2004 und Kull 2004
Stand der Wissenschaft bei der Aggregation von Risiken
2
17
Vorgehen
Um den Leser mit den Problemen vertraut zu machen, die mit der Messung des Gesamtrisikos verbunden sind, wird in Abschnitt 3 zunächst der Risikobegriff definiert. Dieser hat im Laufe der Jahrhunderte einen Bedeutungswandel erfahren und wird heutzutage überwiegend pessimistisch interpretiert. Anschließend werden in Abschnitt 4 Instrumente zur Messung des Risikopotenzials eingeführt. Da Handlungsergebnisse zumeist als Zufallsvariablen aufgefasst werden müssen, stehen statistische Momente und andere statistische Maßzahlen im Mittelpunkt der Betrachtung. Wichtig ist dabei die Einteilung in diskrete und stetige Verteilungen, deren wesentliche Vertreter ausführlich betrachtet werden. Bei der Verdichtung von Verteilungen auf wenige Maßzahlen spielen bei der Risikomessung vor allem die αQuantile eine bedeutende Rolle, die in Form des Value-at-Risk-Maßes eine Schlüsselstellung bei der Bestimmung des Risikopotenzials einnehmen. Nur selten macht es Sinn, einzelne Risiken isoliert zu betrachten. Da Risiken oft gemeinsam auftreten und sich dabei abschwächen oder verstärken können, werden in Abschnitt 4.3 mehrdimensionale Zufallsvariablen und deren wichtigste Vertreter ausführlich dargestellt. Besonderes Gewicht wird dabei auf die Modellierung von Abhängigkeiten zwischen den Variablen gelegt. Die zugehörigen Kernbegriffe Kovarianz, Korrelationskoeffizient, Varianz-Kovarianz-Matrix werden gut verständlich und mathematisch sauber eingeführt. Nach einem kurzen Exkurs zu den Problemen traditioneller Risikoanalysen, wird in Abschnitt 6 die Risikobestimmung auf der Basis des Varianz-Kovarianz-Ansatzes dargestellt. Das derzeit wichtigste Risikoanalyse-Verfahren basiert auf der MonteCarlo-Simulation. In Abschnitt 7 werden die Vorgehensweise und einzelne Bausteine dieser Methodenklasse ausführlich beschrieben. Werden Risken verschiedener Kategorien zum Gesamtrisiko verdichtet, so kann das Problem auftreten, dass die Einzelrisiken in unterschiedlichen Zeiträumen gemessen werden. In Abschnitt 8 werden daher Ansätze zur Lösung dieses Zeitproblems diskutiert. Wie alle mathematisch-statistischen Verfahren können auch die Risikoanalyse-Verfahren nur dann gute Ergebnisse liefern, wenn eine verlässliche und ausreichende Datenbasis zur Verfügung steht. Dies ist in einigen Risiko-Kategorien gegeben, in anderen, z. B. bei operationalen Risiken, ist die Datenlage oft nur ungenügend. Wie hier Abhilfe geschaffen werden kann, ist Inhalt des Abschnittes 9.
18
3
Heinrich Rommelfanger
Der Risikobegriff
In allen Gesellschaften haben sich die Menschen einerseits bemüht, Gefahren zu minimieren, sich jedoch andererseits auch sehenden Auges in Gefahr begeben, um Vorteile zu erlangen. Ummauerte Städte und Staaten entstanden, um die Bewohner gegen das Risiko einer Invasion zu sichern. Zünfte und Genossenschaften suchten die ökonomische Unsicherheit des Daseins zu mindern. Die Risiko-Geschichte im engeren Sinne begann erst, als man Verlustund Gewinnmöglichkeiten genauer kalkulieren konnte. Diese Rationalisierung der Gefahr entstand im mediterranen Handelskapitalismus des späten Mittelalters. Der Begriff "Risiko" tauchte daher nicht zufällig erstmals im Italien des 14. Jahrhunderts als „risico“ bzw. „rischio“ auf und bezeichnet das mit einem Geschäft verbundene Wagnis bzw. die Verlustgefahr, die um eines erhofften Gewinns willen eingegangen wird und die man genau zu beziffern versuchte. Das kalkulierbare Risiko wurde zur Grundlage des Versicherungswesens. Mit den Mitteln der in der frühen Neuzeit entwickelten Wahrscheinlichkeitsrechnung ließ sich das Risiko erstmals genau kalkulieren. Zum Ur-Risiko der Seefahrt, das man schon relativ früh durch Versicherungen zu bewältigen versuchte, gesellte sich als zweites die Brandgefahr – vor allem in Nordeuropa, wo viel mit Holz gebaut wurde. Hamburg bekam 1676 seine erste Feuerversicherung, 1765 seine erste Seeversicherungskompanie. Die Versicherungen waren typische Einrichtungen einer Zeit, in der man Unglücksfalle nicht länger als Schicksal hinnahm. Adam Smith behauptete in seinem "Wealth of Nations" (1776) noch, die Menschen neigten stets dazu, die Gewinnchancen zu über- und das Verlustrisiko zu unterschätzen.22 Das hat sich offensichtlich gründlich gewandelt. Im Zuge des zivilisatorischen Fortschritts wuchs sowohl das Bedürfnis nach totaler Sicherheit als auch der Glaube, Risiken jeder Zeit technisch beherrschen zu können. Daher wirkte der Untergang der angeblich unsinkbaren "Titanic" am 15. April 1912 weltweit als schwerer Schock. Während der entscheidungstheoretische Risikobegriff noch Chancen und Risiken als gleichwertig behandelt und mittels Erwartungswert und Standardabweichung beschreibt, hat sich zunehmend in der Gesellschaft der ausfallorientierte Risikobegriff durchgesetzt, bei dem sich das Risiko wirkungsbezogen niederschlägt in einer negativen Abweichung von einer festgelegten Zielgröße, normalerweise des erwarteten Ergebnisses. Seit LAPLACE 1816 eine grundlegende Risikotheorie ("Theorie des hasards") formuliert hat, wird Risiko als Produkt von Schadenausmaß und 22
Vgl. Smith 1999
Stand der Wissenschaft bei der Aggregation von Risiken
19
Eintrittswahrscheinlichkeit definiert.23 Diese einfache Formel suggeriert eine Berechenbarkeit und somit Beherrschbarkeit des Risikos, die im Falle komplexer und neuartiger technischer Systeme aber in die Irre führt. Denn solche Systeme entziehen sich aufgrund ihrer Komplexität einer einfachen Modellbildung. Zudem befreit die Berechenbarkeit des Risikos nicht von der letztlich normativen Frage, welche Risiken wir eingehen wollen und welche nicht. Im Falle der Kernenergie zum Beispiel zeigt sich, dass ein extremes Katastrophenausmaß auch dann große Angst hervorruft, wenn die errechnete Eintrittswahrscheinlichkeit minimal ist.
4
Die Quantifizierung von Risiken, Risikomaßzahlen
Komplexe Handlungen im persönlichen und wirtschaftlichen Bereich führen zumeist nicht zu einem eindeutigen vorhersehbaren Ergebnis (einem deterministischen Zielwert), sondern unterliegen Einflüssen, die vom Entscheidungsträger nicht verändert werden können. Handlungsergebnisse sind daher zumeist als Zufallsvariablen anzusehen, von denen auch nur dann die Menge der möglichen Ergebnisse angegeben werden kann, wenn ausreichende Erfahrung vorliegt. 4.1 Diskrete Zufallsvariablen, Wahrscheinlichkeitsverteilungen Liegt ein Datensatz {xˆ j} j=1,2,..., m für eine Zufallsvariable X vor, so lässt sich durch Bildung des Erwartungswertes
µ x = E(X) = 1 ∑ x j m j
(A.1)
ein Orientierungswert für das zu erwartende Ergebnis ermitteln. Wird eine 1 €-Skalierung als Maßstab gewählt, so ist kaum damit zu rechnen, dass Ergebnisse mehrfach in der Datenmenge vorkommen. Um dies zu erreichen, muss im Allgemeinen der Maßstab vergröbert oder gleich eine Gruppierung der Daten vorgenommen werden. Werden n Klassen K1, K 2 ,..., K n unterschieden und bezeichnen wir die Repräsentanten der Klassen mit x i , i = 1, 2,K, n und die Anzahl der Elemente in einer
23
Vgl. Todhunter 1865
20
Heinrich Rommelfanger
Klasse K i mit m i , so lässt sich der Erwartungswert E(X) auch berechnen als n
m
n
µ x = E(X) = ∑ x i ⋅ i = ∑ x i ⋅ pi . m i =1 i =1
(A.2)
Dabei müssen die Repräsentanten x i so gewählt werden, dass xi = 1
mi
Die relativen Häufigkeiten
∑
x j ∈K i
xj.
mi werden in der Anwendung häufig mit m
p i symbolisiert und als Wahrscheinlichkeiten bezeichnet, obwohl dies nach streng mathematisch-statistischen Auffassung nur für den Grenzfall gilt, dass die Datenmenge unbeschränkt groß wird, d. h. m → +∞ . Bei geeignet gewählter Gruppierung stellt das Histogramm ein wertvolles Instrument zur Visualisierung der Ergebnisse dar, vgl. Tabelle 1 und Abb. 1. Die Feinheit der Zielklasseneinteilung hängt von der Menge der verfügbaren Daten ab. Auf jeden Fall muss die Klassenanzahl bedeutend kleiner als die Anzahl der Daten sein. Normalerweise existieren für eine Handlung mehrere Ziele und damit ein Zielergebnisvektor. Der Einfachheit halber wird hier unterstellt, dass nur das monetäre Ziel relevant ist, bzw. dass andere Ziele in Geld abgebildet werden können. Tabelle 1. Ergebnisklassen, absolute und relative Häufigkeiten
xi Ergebnisklassen (in Euro)
x1
x2
x3
x4
x5
x6
x7
x 0 f ( x ) = λ ⋅ e sonst 0
(A.13)
und der Verteilungsfunktion für x < 0 0 F( x ) = − λx für 0 ≤ x − 1 e
(A.14)
und die einfache Gleichverteilung mit der Dichtefunktion 1 für a ≤ x ≤ b f (x) = b −a sonst 0
(A.15)
und der Verteilungsfunktion 1 für a ≤ x ≤ b . f (x) = b −a sonst 0
(A.16)
28
Heinrich Rommelfanger
4.3 Mehrdimensionale Zufallsvariablen
Während bisher nur das mit einer Handlung verbundene Risiko analysiert wurde, erfordert die Untersuchung des Gesamtrisikos eines Unternehmens die Beschäftigung mit mehreren Zufallsvariablen. Daher werden hier zunächst die wichtigsten Definitionen und Aussagen für mehrdimensionale Zufallsvariablen zusammengestellt. Fasst man mehrere Zufallsvariablen X j : Ω j → R zusammen zum Vektor X = (X1 , X 2 , K , X m ) , so bezeichnet man X als m-dimensionale Zufallsvariable. Die Bilder von X sind Elemente von Rm. Die Ereignisse zu X hängen im Allgemeinen von den Werten aller m Zufallsvariablen ab. Ist dann beispielsweise für jedes X j ein Ereignis B j von Interesse, j = 1, 2, K , m , so ist der Durchschnitt dieser n Ereignisse ein Ereignis zu X, für das wir die Schreibweise X1 ∈ B1 , X 2 ∈ B 2 ,K, X m ∈ B m benutzen. Aus gegebenen eindimensionalen Zufallsvariablen X j , j = 1, 2, K , m , lassen sich auf viele Weisen neue mehrdimensionale Zufallsvariablen bilden, z. B. m
X1 ⋅ X 2 ⋅ X 3 , X1 ⋅ X1 , ∑ X j . j=1
Die Zufallsvariablen X1, X 2 ,K, X m heißen (stochastisch) unabhängig, wenn die Wahrscheinlichkeit des Durchschnitts von Ereignissen X j ∈ B j stets gleich dem Produkt der einzelnen Wahrscheinlichkeiten ist: P( X1 ∈ B1 , X 2 ∈ B 2 ,K, X m ∈ B m )
= P(X1 ∈ B1 ) ⋅ P(X 2 ∈ B 2 ) ⋅ K ⋅ P(X m ∈ B m ) .
(A.17)
Ist X = ( X1 , X 2 ,K, X m ) eine m-dimensionale Zufallsvariable, so heißt die Funktion F, die jedem Tupel (X1 , X 2 ,K, X m ) die Wahrscheinlichkeit
F( x1,K, x m ) = P(X1 ≤ x1,K, X m ≤ x m )
(A.18)
zuordnet, die Verteilungsfunktion von (X1 , X 2 ,K, X m ) oder die gemeinsame Verteilungsfunktion der Zufallsvariablen X1 , X 2 ,K, X m . Eine m-dimensionale Zufallsvariable (X1 , X 2 ,K, X m ) heißt:
Stand der Wissenschaft bei der Aggregation von Risiken
A.
29
diskret, wenn sie nur endlich oder abzählbar unendlich viele m-Tupel (X1 , X 2 ,K, X m ) als Wert annehmen kann. Die Funktion P, die jedem m-Tupel (X1 , X 2 ,K, X m ) die Wahrscheinlichkeit
P( x1,K, x m ) = P(X1 = x1,K, X m = x m )
(A.19)
zuordnet, nennt man Wahrscheinlichkeitsfunktion von (X1 , X 2 ,K, X m ) oder gemeinsame Wahrscheinlichkeitsfunktion der Zufallsvariablen X1, X 2 ,K, X m . B.
stetig, wenn es eine Funktion f (X1 , X 2 ,K, X m ) gibt, so dass die Verteilungsfunktion F die Gestalt x1
xm
−∞
−∞
F( x1 ,K, x m ) = ∫ K ∫ f ( t1 ,K, t m ) dt m Kdt1
(A.20)
besitzt.
f ( x1, x 2 , K , x m ) heißt dann Dichtefunktion von X1, X 2 ,K, X m oder gemeinsame Dichte der Zufallsvariablen X1, X 2 ,K, X m . Wichtige diskrete mehrdimensionale Verteilungen sind: Die Hypergeometrische Verteilung mit der Wahrscheinlichkeitsfunktion M N − M k n − k für k = Max{0, n − ( N − M ), N Min ( n , M )} n H(k , n , M, N) = , 0 sonst
(A.21)
Die POISSON-Verteilung mit der Wahrscheinlichkeitsfunktion λk − λ für k = 0,1, 2,.. e . P(k , λ ) = k! 0 sonst
(A.22)
30
Heinrich Rommelfanger
F( x | λ) λ = 0,3
λ = 1,5
λ = 2,5
λ = 4,2
λ =8
λ = 10
x 1
5
10
15
17
Abb. 6. Kumulierte Verteilungsfunktion von POISSON-Verteilungen
Grundlage dieser Verteilungen ist die Zufallsvariable
1 falls das Ereignis A eintritt Xj = 0 falls das Ereignis A nicht eintritt. Führen wir das entsprechende Zufallsexperiment n-mal durch und interessieren uns für die Anzahl k der Durchführungen, bei denen A eintritt, so n
lässt sich diese (gemeinsame) Zufallsvariable schreiben als X = ∑ X j . J =1
Im Gegensatz zu den beiden ersten Verteilungen lässt sich die POISSONVerteilung nicht aus einem kombinatorischen Experiment ableiten, sondern stellt eine Näherung für die Binomialverteilung B(k , n, p) dar, für den Fall, dass p klein und n groß ist. Man verwendet die POISSON-Verteilung also für die Verteilung seltener Ereignisse. In diesen Fällen kann man eine Binomialverteilung B(k , n , p) durch die POISSON-Verteilung P( k, n ⋅ p) approximieren, d. h. mit Verteilungsparameter λ = n ⋅ p . Diese Approximation ist vertretbar für n ≥ 50, p ≤ 0,1 , n ⋅ p ≤ 10 . Aus einer zweidimensionalen gemeinsamen Verteilungsfunktion, Wahrscheinlichkeitsverteilung oder Dichtefunktion lassen sich spezielle eindimensionale Funktionen ableiten: A.
Aus der gemeinsamen Verteilungsfunktion F(x, y) einer zweidimensionalen Zufallsvariablen (X, Y) lassen sich die beiden eindimensionalen Verteilungsfunktionen
Stand der Wissenschaft bei der Aggregation von Risiken
B.
31
F1 ( x ) = F( x ,+ ∞) von X und F2 ( y) = F( y,+ ∞) von Y ableiten, welche als Randverteilungsfunktionen bezeichnet werden. Aus der zweidimensionalen Wahrscheinlichkeitsfunktion p( x i , y j ) einer Zufallsvariablen (X, Y) lassen sich die beiden eindimensionalen Wahrscheinlichkeitsfunktionen p1 ( x i ) = ∑ p( x i , y j ) von X und p 2 ( y j ) = ∑ p( x i , y j ) von Y j
C.
i
ermitteln, welche Randwahrscheinlichkeiten genannt werden. Aus der zweidimensionalen Dichte f(x, y) einer Zufallsvariablen (X, Y) lassen sich die beiden eindimensionalen Dichten +∞
+∞
−∞
−∞
f1 ( x ) = ∫ f ( x , y) dy von X und f 2 ( y) = ∫ f ( x , y) dx von Y
D.
berechnen, die als Randdichten bezeichnet werden. Analog sind die bedingten Wahrscheinlichkeitsfunktionen p( x i , y j ) p( x i , y j ) p1 ( x i y j ) = und p 2 ( y j x i ) = p1 ( x i ) p2 (y j ) bzw. die bedingten Dichten f ( x , y) f ( x , y) und f 2 ( x y) = f 1 ( x y) = f 2 ( y) f 1 (x) definiert.
Mit diesen Randfunktionen lässt sich der vorstehend definierte wichtige Begriff der Unabhängigkeit von Zufallsvariablen X1 , X 2 ,K, X m neu formulieren: Die Zufallsvariablen X1 , X 2 ,K, X m sind genau dann (stochastisch) unabhängig, wenn die gemeinsame Verteilungs-, Wahrscheinlichkeitsoder Dichtefunktion gleich dem Produkt der Randverteilungs-, Randwahrscheinlichkeits- oder Randdichtefunktionen der einzelnen Zufallsvariablen ist, d. h. wenn gilt: F( x1,K, x m ) = F 1 ( x1 )L Fm ( x m )
für alle x1 ,K, x m
p( x1 ,K, x m ) = p 1 ( x1 )L p m ( x m )
für alle x1 ,K, x m
f ( x1 , K , x m ) = f 1 ( x 1 ) L f m ( x m )
für alle x1 ,K, x m . Wichtige Aussagen über die Erwartungswerte und die Varianzen von mehrdimensionalen Zufallszahlen liefern die beiden nachfolgenden Sätze A.1 und A.2:
32
Heinrich Rommelfanger
Satz A.1: A. Ist die Wahrscheinlichkeits- bzw. die Dichtefunktion einer Zufallsvariablen X spiegelsymmetrisch zu einem Punkt x = a, so gilt E(X) = a. B. Für eine reellwertige Funktion g = R → R und eine Zufallsvariable X ist auch Y = g(X ) eine Zufallsvariable und es gilt:
∑ g ( x j ) ⋅ p ( x j ) falls X diskret j E (Y) = E[g (X )] = + ∞ ∫ g ( x ) ⋅f ( x ) dx falls X stetig. −∞
(A.23)
Speziell gilt für g (X ) = a + bX : E (a + bX) = a + bE (X ) , für alle a, b ∈ R.
(A.24)
C. Für die Summe von m Zufallsvariablen X1 ,..., X m gilt: m
m
i =1
i =1
E ( ∑ X i ) = ∑ E (X i ) .
(A.25)
D. Für unabhängige Zufallsvariablen X und Y gilt:
E (X ⋅ Y) = E (X) ⋅ E (Y) .
(A.26)
E. Gilt für jedes Elementarereignis ω eines Zufallsexperimentes und für zwei Zufallsvariablen X und Y die Ungleichung X(ω) ≤ Y (ω) , so folgt
E (X) ≤ E (Y) . F. Ist g eine konvexe oder eine konkave Funktion, so gilt für jede Zufallsvariable X
E [g (X )] ≥ g [ E (X )]
JENSENsche
(A.27)
Ungleichungen.
(A.28)
falls g konvex
E [g ( X)] ≤ g [ E (X )] falls g konkav Satz A.2: A. Es gilt der Verschiebungssatz
Var (X ) = E ( X 2 ) − [ E (X )] 2. B. Für eine lineare Transformation a + bX gilt:
(A.29)
Stand der Wissenschaft bei der Aggregation von Risiken
Var (a + bX ) = b 2 ⋅ Var (X) .
33
(A.30)
C. Sind die Zufallsvariablen X1 ,..., X m linear unabhängig, so gilt:
m m Var ∑ X i = ∑ Var(X i ) . i =1 i =1
(A.31)
Analog zu einer normal verteilten Zufallsvariable lässt sich auch jede andere stetige Zufallsvariable X mit E( X) = µ x und Var (X) = σ 2 so normieren, dass die standardisierte Zufallsvariable Y =
X −µ den Erwarσ
tungswert 0 und die Varianz 1 besitzt. Mit standardisierten Zufallsvariablen lässt sich oft einfacher arbeiten, wie der folgende Satz zeigt: Sind X1, K , X m unabhängige Zufallsvariablen, die alle den gleichen Erwartungswert µ und die gleiche Varianz σ 2 aufweisen, so besitzt die m
Zufallsvariable X = 1 ∑ X i den Erwartungswert µ und die Varianz n i =1
1 σ2 . m
Eine wichtige Abschätzung nach oben erlaubt die TSCHEBYSCHEFFsche Ungleichung P ( X − E ( X ) ≥ c) ≤
Var (X ) c2
für alle c > 0 .
(A.32)
Neben Erwartungswert und Varianz stellt die Kovarianz einen wichtigen Verteilungsparameter dar. Für zwei Zufallsvariablen X und Y ist die Kovarianz definiert als σ xy = Cov(X, Y) = E[(X − E (X )) ⋅ (Y − E (Y ))]
(A.33)
+∞ +∞
= ∫
∫ ( x − E (X))( y − E (Y)) f ( x , y) dx dy .
−∞ −∞
Offensichtlich ist die Varianz der Spezialfall der Kovarianz für den Fall, dass die Variablen X und Y übereinstimmen. Die Parameter lassen sich übersichtlich darstellen in der symmetrischen Varianz-Kovarianz-Matrix
34
Heinrich Rommelfanger
σ2 σ x xy Var (X ) Cov(X, Y) , Ξ = = 2 Cov(Y, X Var ( Y) σ yx σ y
(A.34)
die für m Zufallsvariablen X1, K , X m die Form aufweist: Cov( X1 , X 2 ) Var (X1 ) Cov(X 2 , X1 ) Var (X 2 ) Ξ= M M Cov( X , X ) Cov(X , X ) m 1 m 2
L Cov(X1 , X m ) L Cov( X 2 , X m ) . O M L Var (X m )
(A.35)
Da sich die Kovarianz auch schreiben lässt als Cov(X,Y) = E(X⋅Y) - E(X)⋅E(Y),
(A.36)
folgt aus der Definition der stochastischen Unabhängigkeit, dass für zwei stochastisch unabhängige Zufallsvariablen ihre Kovarianz gleich Null ist. Mit der Kovarianz lässt sich für Var(X ) ≠ 0 und Var(Y ) ≠ 0 der Korrelationskoeffizient ρ( X , Y ) =
Cov(X, Y ) Var(X) ⋅ Var(Y )
(A.37)
bilden, welcher Aussagen über die Abhängigkeit der Variablen X und Y liefert. Nach Konstruktion nimmt ρ Werte zwischen -1 bis +1 an. Aus obiger Bemerkung folgt sofort, dass für zwei stochastisch unabhängige Zufallsvariablen ihre Korrelation gleich Null ist. Diese Aussage ist aber nicht umkehrbar, denn aus ρ(X, Y ) = 0 lässt sich nicht auf die stochastische Unabhängigkeit von X und Y schließen; man sagt nur, dass X und Y unkorreliert sind. Ist andererseits ρ(X, Y ) ≠ 0 , so sind die Zufallsvariablen X und Y stochastisch abhängig. Ist ρ(X, Y) > 0 , so spricht man von positiver Korrelation. Dies bedeutet, dass mit wachsendem X auch Y steigt. Umgekehrt redet man von negativer Korrelation, wenn ρ(X, Y) < 0 . Für die Aggregation von Risiken bedeutsam ist der folgende Satz: Für die Varianz der Summe zweier Zufallsvariablen gilt: Var(X + Y) = Var(X ) + Var(Y ) + 2 Cov (X, Y) . Für m Zufallsvariablen X1, K , X m hat diese Formel die Gestalt
(A.38)
Stand der Wissenschaft bei der Aggregation von Risiken
m
m
i =1
i =1 j=1, j≠ i
35
m
Var(X1 + X 2 + K + X m ) = ∑ Var(X i ) + ∑ ∑ Cov(X i , X j ) .
(A.39)
Dieser Zusammenhang bildet die Grundlage der Portfolio-Theorie von HARRY MARKOWITZ (1952). Durch eine geschickte Diversifikation des Portfolios läst sich die Varianz dieses Portfolios reduzieren, im Extremfall sogar auf Null. µ A ρ = -1 C
-1< ρ € 25,000,000
1 = Unerheblich 2 = Klein 3 = Mittel 4 = Groß 5 = Katastrophal
Wahrscheinlichkeit
Jedem Einzelrisiko wurde auf Basis der vorangegangenen Einschätzungen ein Risikoniveau, das entweder „hoch“, „mittel“ oder „niedrig“ sein kann, zugeordnet (s. Abb. 15). Ein hohes Risiko sollte sowohl eine hohe Eintrittswahrscheinlichkeit haben, als auch relevante Auswirkungen aufweisen. Wie oben erläutert, kann das Risikoniveau auf globaler (Konzern) und lokaler Ebene (Organisationseinheit, Projekt) bestimmt werden, sofern separate Impact-Werte existieren. Hohe Risiken erfordern die unmittelbare Aufmerksamkeit des zuständigen Managements, um geeignete Gegenmaßnahmen einzuleiten. 81–99 %
N
M
H
H
H
61–80 %
N
M
M
H
H
41–60 %
N
N
M
M
H
21–40 %
N
N
N
M
M
1–20 %
N
N
N
N
M
1
2
3
4
5
= Hohes Risiko
= Mittleres Risiko
= Niedriges Risiko
Impact
Abb. 15. Zuordnung von Risikoniveaus
Im Falle einer quantitativen Bewertung konnte bei dieser Vorgehensweise aus dem Produkt des Total-Loss-Wertes und der Wahrscheinlichkeit ein Expected-Loss-Wert bestimmt werden. Zum Abschluss des Bewertungsprozesses wurden die Gegenmaßnahmen priorisiert. Der Zeitraum, in dem frühestens auf ein Risiko reagiert werden musste, wurde zusammen mit dem Risikoniveau herangezogen,
60
Dirk Metzger
um eine Priorisierung nach untenstehender Tabelle vorzunehmen (s. Tabelle 4). Folgerichtig erhielten Maßnahmen als Reaktion auf hohe Risiken die Priorität 1. Tabelle 4. Priorisierung von Risiken Risiko-Niveau und Priorität Zeitrahmen
Kurzfristig (weniger als 3 Monate) Mittelfristig (3–12 Monate) Langfristig (mehr als 12 Monate)
Niedrig
Mittel
Hoch
5 7 9
2 4 8
1 3 6
Die grundsätzliche Möglichkeit, Risiken entweder qualitativ oder quantitativ zu bewerten, brachte jedoch Nachteile mit sich. Wie oben erläutert, ist die Anzahl der in einer Organisationseinheit, z. B. einer großen Landesgesellschaft, betrachteten Risiken aufgrund der Vielzahl relevanter Projekte in der Regel erheblich. Da außer für das Risikoniveau keine einheitliche Skala vorgegeben war, wurde das Herausfiltern von wesentlichen Risiken schwierig. Auch ließ sich aus einer Sammlung von Risiken unterschiedlicher Risikoniveaus nur schwer ein Gesamtrisikoniveau oder eine interpretierbare Gesamtrisikoposition ermitteln. Wie bedeutend sind z. B. 30 hohe, 60 mittlere und 20 niedrige Risiken? Dies erschwerte auch die Vergleichbarkeit von Organisationen untereinander. Im nächsten Abschnitt wird erläutert, wie man dieses Problem durch Einführung eines „kontinuierlichen Risikoniveaus“ gelöst hat. 3.3 Der Bewertungsprozess der SAP seit September 2006
Um den genannten Schwierigkeiten entgegenzutreten, werden bei SAP Einzelrisiken seit September 2006 grundsätzlich quantitativ (monetär) bewertet. Für jedes Risiko ist der maximale Verlust (Total-Loss), ausgedrückt als Ertrags- oder Umsatzminderung bei Eintritt des Risikos, zu beziffern. Dabei müssen die Risiken gemäß ihrer Auswirkung klassifiziert werden. Im Hinblick auf den zu erwartenden Verlust werden die Risiken dann gemäß ihrer Auswirkung in zwei Gruppen zusammengefasst (Impact Classification): •
Ertragsminderung: Der maximale Verlust wird einerseits als Ertragsminderung interpretiert, da der Gesamtertrag durch risikobedingt
Die Aggregation von Risiken bei der SAP AG
•
61
erhöhte Aufwendungen, die mit Mittelabflüssen (z. B. Vertragsstrafen) verbunden sein können, reduziert wird. Umsatzminderung: Der maximale Verlust beschreibt andererseits eine mögliche Umsatzminderung, z. B. dadurch, dass Software nicht im geplanten Umfang verkauft werden kann (z. B. durch eine Schädigung der Reputation).
Da alle Risiken quantifiziert werden, ist es nun möglich, auch für jedes Risiko den Expected-Loss als Produkt aus Eintrittswahrscheinlichkeit und Total-Loss zu berechnen. Die Analyse der Risiken wird dadurch unterstützt, dass jeder Aktivität, die relevant im Sinne des Risikomanagement-Modells ist (Beratungsprojekt, Landesrisikobericht), ein Schwellenwert zugewiesen wird. Überschreitet der maximale Verlust eines Einzelrisikos diesen Schwellenwert, wird die Auswirkung des Risikos auf die Aktivität, beispielsweise ein Projekt oder das Geschäft eines Landes, als katastrophal (entspricht Impact Level 5) eingestuft. Eine Einstufung in niedrigere Impact-Klassen (1 bis 4) wird ebenfalls in Abhängigkeit vom Schwellenwert32 automatisch vorgenommen. Umgekehrt liefert die Einschätzung des Verlustes über die Impact-Skala einen monetären Wert als Vorgabe, den der jeweilige Risikomanager entweder akzeptieren oder korrigieren kann. Die Höhe des Verlustes kann jetzt außerdem für jede Organisationseinheit individuell qualitativ bewertet werden, indem man eine organisationsspezifische Impact-Matrix hinterlegt. Eine Gewinneinbuße von 1 Mio. € kann für eine kleine Landesgesellschaft schwerwiegende Folgen haben, während der Betrag für den Konzern als Ganzes eher einen mittleren Verlust darstellt. Damit wird die Unterscheidung im Ausgangsmodell zwischen „globalem Impact“ und „lokalem Impact“ obsolet, da jetzt auf jeder relevanten Ebene der Organisationshierarchie eine solche Impact-Matrix gepflegt ist. Neben der Einstufung in drei Risikoniveaus (hoch – mittel – niedrig) betrachtet die SAP das Produkt aus Wahrscheinlichkeit (P) und Impact (I). Der „PxI“ genannte Wert kann als kontinuierliche Version der Risikoniveaus angesehen werden. Sein Wertebereich ist 0 < PxI < 5.33 Das heißt, die Einstufung als „high“, „medium“ oder „low“ wird basierend auf dem PxI-Wert vorgenommen. Da der Impact-Wert von der Organisationseinheit, für die er bestimmt wird, abhängt, wird ersichtlich, dass das Risiko 32
Der Schwellenwert wird in der Praxis als Produkt aus dem Activity Value und einem als Prozentzahl angegebenen Catastrophy Threshold ermittelt. 33 Die Wahrscheinlichkeiten liegen zwischen 0 und 1, die Impact-Werte zwischen 1 und 5.
62
Dirk Metzger
auch einen organisationsabhängigen PxI-Wert hat. Im Allgemeinen wird dieser kleiner, von je weiter oben in der Organisationshierarchie man auf das Risiko blickt – die Bedeutung eines Einzelrisikos nimmt ab, wenn man es in einem größeren Zusammenhang sieht. So mag z. B. das potenzielle Scheitern eines Projektes für eine Landesgesellschaft bedeutend sein, für den gesamten Konzern jedoch als relativ unerheblich erscheinen. Die Angaben zur Wahrscheinlichkeit ändern sich bei diesem Ansatz nicht. Jedoch muss der Genauigkeit dieser Wahrscheinlichkeit ein größeres Augenmerk geschenkt werden, wenn alle Risiken quantifiziert werden. Die Bereiche für die verschiedenen Eintrittswahrscheinlichkeiten sollen den verbalen Beschreibungen besser angepasst werden: z. B. sind Eintrittswahrscheinlichkeiten knapp unter 20 % sicherlich größer als „remote“, während es schwierig ist, im Bereich zwischen 60 % und 99 % weiter zwischen „highly likely“ und „near certainty“ zu unterscheiden. Die Eintrittswahrscheinlichkeiten werden daher nunmehr wie folgt klassifiziert: Tabelle 5. Klassifizierung von Eintrittswahrscheinlichkeiten
0–1 % 1–10 % 10–50 % 50–70 % 70–99 %
Wahrscheinlichkeit = Sehr unwahrscheinlich = Unwahrscheinlich = Wahrscheinlich = Sehr wahrscheinlich = Fast sicher
Die Bestimmung einer aus der Dringlichkeit der einzuleitenden Maßnahmen abgeleiteten Priorisierung besteht weiter. Wie im ursprünglichen Modell ist der Zeitrahmen, auf den sich die Risikoanalyse bezieht, das laufende und die nächsten beiden Geschäftsjahre.
4
Die Aggregation von Risiken
4.1 Vorbemerkungen
Gemäß § 91 (2) AktG hat der Vorstand einer Aktiengesellschaft „ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Die Umsetzung dieser Anforderung wurde seit ihrer Einführung durch das KonTraG von Theorie und Praxis intensiv diskutiert.34 34
Vgl. überblicksartig Heiden u. Weiss 2002
Die Aggregation von Risiken bei der SAP AG
63
Mit Blick auf die hier thematisierte Risikoaggregation erscheinen grundsätzlich zwei Vorgehensweisen denkbar: Zum einen können die Risiken Top-down durch eine Serie von Interviews mit dem Management bestimmt werden. Anschließend werden Maßnahmen zur Abschwächung der Risiken und Personen, die für die Durchführung und Überwachung der Maßnahmen verantwortlich sind, bestimmt. Dieser Ansatz wird von sehr vielen Aktiengesellschaften verfolgt und hat einen eher strategischen Fokus. Die Anzahl der so in Betracht gezogenen Risiken liegt üblicherweise in der Größenordnung von maximal 100 Risiken und ist damit relativ gering. Das Risikoinventar ist stabil, da eine (Neu-)Erhebung der Risiken für längere Zeiträume als ein Geschäftsjahr erfolgt. Dieser Ansatz zielt zwar direkt auf die Bestimmung bestandsgefährdender Risiken ab, jedoch können manche Risiken erst im Zusammenspiel bestandsgefährdend werden, was auch hier die Notwendigkeit für eine Aggregation von Risiken entstehen lässt. Zwar mit einem höheren Aufwand verbunden, ist es zum anderen der Bottom-up-Ansatz, der es ermöglicht, Risiken in einer wesentlich feineren Granularität zu erfassen. Hierzu wird zunächst die Wertschöpfungskette des Unternehmens untersucht: Alle Aktivitäten die einen relevanten Beitrag für den geschäftlichen Erfolg des Unternehmens leisten, werden einem formalen Risikomanagementprozess unterworfen. Damit sind z. B. Projekte oder Geschäftsanbahnungsvorgänge gemeint, deren Zahl konzernweit in die Hunderte gehen kann. Risiken von über einzelne Projekte hinausgehender Relevanz müssen aus dem vorhandenen Risikoinventar erschlossen werden. In diesem idealen Bottom-up-Ansatz können bestandsgefährdende Risiken dann durch Aggregation aus dem Risikoinventar abgeleitet werden. Durch die Ausrichtung an der Wertschöpfungskette hat dieser Ansatz eine deutlich operativere Orientierung als der Top-downAnsatz. Die SAP entschied sich Elemente beider Ansätze zu verwenden. Wie schon erläutert, ist ein sehr großer Teil der Geschäftstätigkeit in Projekten organisiert, die sich stark voneinander unterscheiden. Das legt eine stärker operative Orientierung des Risikomanagements nahe, die sich auch historisch motivieren lässt: Lange bevor gesetzliche und andere regulatorische Anforderungen zur Einführung eines konzernweiten Risikomanagementsystems führten, war Risikomanagement weltweit als Teil von SAPBeratungsprojekten etabliert worden.35 Dies war allerdings auf die Projekte selbst beschränkt, d. h. eine projektübergreifende Aggregation von Risiken fand nicht statt. Beim Aufbau des Risikomanagementsystems mussten er35 Der Ansatz basiert auf dem „Guide to the Project Management Body of Knowledge“ (PMBOK, ANSI Standard 99-001-2000).
64
Dirk Metzger
gänzend noch weitere Risikobereiche in Betracht gezogen werden. Alle nicht projektgetriebenen Bereiche - wie etwa die Zentralabteilungen - führen nun, derselben Methodik folgend, regelmäßige Risk Assessments durch, wobei Risiken oftmals direkt auf Ebenen der Konzernführung betrachtet werden (Beispiele: Währungsrisiko, Risiken aus M&A Aktivitäten). Dies kommt im Projektumfeld recht selten vor, außer vielleicht bei Einzelrisiken aus sehr großen Kundenprojekten. Der unmittelbare Nutzen von Risikomanagement ist für die Projekte hoch, was auch den vergleichsweise höheren Aufwand zu den quartalsweisen Bewertungen rechtfertigt. Risikomanagement trägt durch erhöhte Sicherheit (Gegenmaßnahmen) und Transparenz (gezielte Lenkung der Aufmerksamkeit des Managements) entscheidend zu einem verbesserten Projekterfolg bei. Dem steht die jetzt zwingende Notwendigkeit zur Aggregation der stark fragmentierten Information gegenüber, um die Risikodaten den Entscheidungsträgern in der Führungshierarchie zugänglich zu machen und damit den Nutzen des Projektrisikomanagements auch über das Projekt hinaus zu kommunizieren. Der unmittelbare Nutzen regelmäßiger Top-down-Assessments für bestimmte berichtspflichtige Bereiche selbst ist hingegen etwas geringer. Die als Antwort auf die Risiken getroffenen Maßnahmen ergeben sich oft als natürlicher Teil der ohnehin durchzuführenden Tätigkeiten (Beispiel Hedging im Treasury), so dass formales Risikomanagement eher von gesetzlichen Anforderungen getrieben wird, natürlich aber auch für die Geschäftsführung direkt interessante und relevante Resultate erzeugt. Angesichts der großen Zahl der dokumentierten Risiken ist die Aggregation der Risikomanagementinformation für Berichtszwecke eine Notwendigkeit. Nicht zuletzt auch um den beteiligten Mitarbeitern die Nutzung dazu notwendiger Tools (Tabellen, Datenbanken) zu verdeutlichen, da nur so eine Wirkung über die konkrete Arbeit hinaus erzeugt wird. Neben den beschriebenen betrieblichen Anforderungen gibt es auch regulatorische Anforderungen zur Aggregation. Laut IDW PS 34036 umfasst die Analyse von Risiken ausdrücklich auch die quantitative Beurteilung von Eintrittswahrscheinlichkeiten und Auswirkungen, sowie – als Treiber der Risikoaggregation – die Einschätzung, ob Einzelrisiken durch Interaktion oder Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko führen können. Eine Aggregation von Risiken ist auf zwei Arten denkbar: Zum einen können textlich vorliegende Informationen verdichtet werden (semantische Aggregation), zum anderen können mathematische Attribute der Risiken 36
Institut der Wirtschaftsprüfer (IDW), Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB
Die Aggregation von Risiken bei der SAP AG
65
wie monetäre Verlustinformationen oder Wahrscheinlichkeiten zusammengefasst werden (mathematische Aggregation). Die dargestellte Erweiterung des Risikomanagement-Ausgangsmodells wurde im September 2006 vor allem unter dem Aspekt einer verbesserten Risikoaggregation von der SAP vorgenommen. Es gilt mit Hilfe der Aggregation eine Verbindung zwischen den Risiken, die auf operativer Ebene erhoben werden, und den eher strategischen Risiken zu schaffen. Da der quantitative Ansatz bisher nur für die Konzernsicht anwendbar war – nur hier war eine Übersetzung der Impact-Werte in Zahlenwerte möglich – ist die mit dem erweiterten Modell eingeführte durchgängige Quantifizierung aller Risiken hierfür Voraussetzung. Im Folgenden werden diese beiden grundsätzlichen Formen der Risikoaggregation näher betrachtet. Dabei wird zunächst jeweils die ursprüngliche Situation vor September 2006 beleuchtet, bevor die Auswirkungen der Einführung einer veränderten Risikobewertung aufgezeigt werden. Alle vorgestellten Methoden zur Aggregation von Risiken wurden und werden auf das gesamte Risikoinventar angewendet. Ob sich zu einem späteren Zeitpunkt herausstellen wird, dass sich bestimmte Typen von Risiken dafür mehr eignen als andere, ist derzeit noch offen. 4.2 Semantische Aggregation
Bestimmte Risiken können in einer Reihe von Projekten oder Bereichen auftreten. Wenn diese Risiken für sich genommen auch nicht von bereichsübergreifender Relevanz sind, können sie dennoch zusammengenommen eine wichtige Information für das Management darstellen und die Ergreifung geeigneter bereichsübergreifender Maßnahmen erfordern. Beispielsweise mag es in mehreren Ländern kleinere Risiken im Zusammenhang mit dem Vertrieb eines bestimmten Produktes geben. Hinter diesen Einzelrisiken kann sich jedoch ein größeres Produktproblem (d. h. ein aggregiertes Risiko) verbergen. Es erhöht den Mehrwert von Risikomanagement deutlich, die als Text vorliegenden Risikoinformationen im Hinblick auf wiederkehrende oder zusammenhängende Themen zu durchsuchen, eine Möglichkeit, die ohne einen Aggregationsmechanismus ungenutzt bliebe. Bei der SAP wird eine semantische Aggregation auf zwei Arten durchgeführt: • Im Rahmen der quartalsweisen Risikoberichterstattung sind die Risikomanager aufgefordert, für ihren Zuständigkeitsbereich „Trends“ zu identifizieren, deren Formulierung sich aus aggregierter Risikoinformation ergibt. Trends werden als freier Text ohne quantitative Beurteilung for-
66
Dirk Metzger
muliert und geben Auskunft darüber, wie hoch das Risiko durch den beschriebenen Sachverhalt eingeschätzt wird (visualisiert in einer Ampel) und wie er sich über das letzte Quartal verändert hat (visualisiert durch einen nach oben, nach unten oder waagrecht zeigenden Pfeil). • Risikomanager können immer, also auch außerhalb existierender Berichtszyklen, Risiken in einem „linked risk“ zusammenführen. Die in einzelnen Organisationseinheiten gelisteten Risiken werden dabei durch ein einzelnes, auf einer übergeordneten Organisationseinheit geführtes Risiko ersetzt. Dieses aggregierte Risiko wird neu beschrieben und durch einen Experten bewertet. Die Projekte oder Organisationseinheiten, in denen das Risiko ursprünglich berichtet wurde, können das aggregierte Risiko durch Erstellung eines Links sichtbar machen, allerdings nicht mehr selbst verändern. Voraussetzung für die Benutzung dieses Mechanismus ist die Relevanz und das Ergreifen von Maßnahmen auf der aggregierten Ebene. Die semantische Aggregation lässt sich naturbedingt nur schlecht automatisieren und bedeutet daher Mehraufwand, der allerdings überschaubar ist, da das Risikoinventar ohnehin durch die Risikomanager regelmäßig gesichtet wird. Eine weitere Voraussetzung ist eine funktionierende Kommunikation, die bei der SAP durch das konzernweite Risikomanagementnetzwerk gegeben ist. Die quartalsweise Berichtserstattung erfolgt auf jeder der vier Stufen der Risikomanagementorganisation. Semantisch aggregierte Risikoinformation erreicht somit auch den Vorstand der SAP AG. Die Einführung des erweiterten Modells hat auf die semantische Aggregation keinen direkten Einfluss. Jedoch wurden zusätzliche technische Möglichkeiten geschaffen, um das Arbeiten mit als Text vorliegender Information zu verbessern. In der Risikomanagementanwendung der SAP kann man nun nach Stichworten suchen, was das Auffinden von Risiken mit zusammenhängenden Inhalten und deren Weiterverarbeitung (Trend, technisch gelinktes Risiko) erleichtert. Die Beobachtung der zeitlichen Entwicklung einer Sammlung von Risiken, geordnet z. B. nach Risikoklassen (Common Risks), die nun ebenfalls, wie weiter unten erläutert, auf allen vier Risikoberichtsebenen zur Verfügung steht, ist gleichfalls ein guter Ideengeber für die semantische Aggregation. Der Nutzen der semantischen Aggregation wird in dem so erweiterten Modell also indirekt erhöht.
Die Aggregation von Risiken bei der SAP AG
67
4.3 Mathematische Aggregation
Bis September 2006 war es der jeweiligen Organisationseinheit freigestellt Risiken quantitativ zu bewerten. Da eine qualitative Einschätzung wesentlich einfacher durchzuführen ist und die Festlegung auf eine konkrete Zahl gerne vermieden wird, war nur der geringere Teil des Risikoinventars quantitativ bewertet, was eine mathematische Aggregation der Risiken erschwerte. Gruppierung und Korrelationen
Die einfachste Art, quantitativ bewertete Risiken mathematisch zu aggregieren, ist die so genannte Gruppierung. Die Gruppierung von Risiken war im Ursprungsmodell nur für quantitativ bewertete Risiken möglich. Da seither alle Risiken quantitativ bewertet vorliegen, ist es nun prinzipiell möglich, alle Risiken zu gruppieren. Als Voraussetzung müssen Risiken unter einer Aktivität (z. B. einer wichtigen Vertriebsgelegenheit oder einem Länderrisikobericht) gelistet sein. Es kommt vor, dass mehrere Risiken möglicherweise ein- und denselben Verlust aus unterschiedlichen Ursachen zur Folge haben. Der Verlust einer Vertriebsmöglichkeit etwa kann dadurch ausgelöst werden, dass sich der potenzielle Kunde aus Kostengründen für einen anderen Anbieter entscheidet, oder weil ein Produkt nicht in der Lage ist, alle Anforderungen des Kunden zu befriedigen. Zunächst werden beide Risiken unabhängig aufgelistet, z. B. um eine separate Maßnahmenplanung zu gewährleisten. Der geschätzte totale Verlust wäre in beiden Fällen der entgangene Umsatz, jedoch kann die Vertriebsmöglichkeit nicht zwei Mal verloren gehen. Deshalb ist es möglich, die Risiken in einer Gruppe zusammenzufassen. Für gruppierte Risiken kann ein Wert für den maximalen Verlust und die Eintrittswahrscheinlichkeit neu festgelegt werden. Für alle weiteren Berechnungen werden die Einzelrisiken zu Gunsten der Gruppe dann als ein Risiko betrachtet. Es ist möglich, beliebig viele Risiken zu gruppieren. Die Gruppierung von Risiken ist auch eine einfache Art, Korrelationen zwischen Risiken zu berücksichtigen. Risiken werden gruppiert, weil sie nicht unabhängig voneinander sind – auch im statistischen Sinne. Bei der SAP werden generell Korrelationen von Risiken nicht berücksichtigt, da näherungsweise davon ausgegangen wird, dass Risiken unabhängig voneinander sind. Dies hat mehrere Gründe: Zum einen kann man davon ausgehen, dass die im Risikomanagement betrachteten Aktivitäten, wie z. B. Implementierungsprojekte, unabhängig voneinander sind. Mehrere gleichzeitige, risikomanagementrelevante Aktivitäten einen Kunden betreffend
68
Dirk Metzger
(z. B. Implementierungsprojekt, kundenspezifisches Entwicklungsprojekt) werden gemeinsam bewertet. Zum anderen werden Risiken innerhalb einer Aktivität durch geschickte Gruppierung unabhängig voneinander gemacht. Schließlich ist es in Abwesenheit statistischen Datenmaterials nicht möglich, Korrelationen mathematisch zu bestimmen – man wäre also auch hier auf Expertenschätzungen angewiesen. Da Menschen schon Schwierigkeiten haben, Wahrscheinlichkeiten realistisch zu schätzen, ist dies für Korrelationen mehr oder weniger unmöglich. Da Korrelationen aus den genannten Gründen eher sehr klein sein dürften, liegt der unkorrelierte Fall sicherlich im Rahmen des möglichen Schätzfehlers. Man kann also auf eine weitere Komplikation des mathematischen Modells durch Korrelationen verzichten, ohne einen Fehler zu machen, der die Genauigkeit der Schätzungen signifikant herabsetzt. Aggregation
Bei der SAP sind auf jeder der vier Berichtsebenen aggregierte Aussagen für die folgenden Zusammenstellungen von Risiken von Interesse: • Risiken einer bestimmten Aktivität (Beispiel Entwicklungsprogramm SAP NetWeaver), • Risiken eines bestimmten Aktivitätstyps (Beispiel Länderrisikobericht), • Risiken eines Bereiches (Beispiel Landesgesellschaft) und • Risiken eines bestimmten Common Risks (Beispiel legale Risiken). Die im vorliegenden Modell mathematisch bestimmten Aggregate sind die Summe der Total-Loss-Werte der Einzelrisiken, die Summe der Expected-Loss-Werte der Einzelrisiken und die Bestimmung eines Gesamtrisikoniveaus. Die Summe aller Total-Loss-Werte ist der Verlust, der realisiert wird, wenn alle Einzelrisiken gleichzeitig eintreten. Die Wahrscheinlichkeit hierfür sinkt exponentiell mit der Anzahl der Risiken, ist sie doch das Produkt aus den Einzelwahrscheinlichkeiten der als unabhängig angenommenen Risiken. Aggregierte Total-Loss-Werte sind in der Regel vergleichsweise groß, steigen proportional zur Anzahl der Risiken und übersteigen den Wert (z. B. Umsatz einer Geschäftseinheit, Volumen eines Projekts) ihrer Bezugsgröße oft um ein Vielfaches. Die triviale Information, die in dieser Zahl steckt, lässt sich einfach zusammenfassen: Wenn das sehr unwahrscheinliche Szenario Wirklichkeit würde, dass sämtliche Einzelrisiken gleichzeitig eintreten, wäre die Going-Concern-Prämisse nicht mehr haltbar. Dennoch ist die Betrachtung von Total-Loss-Werten aufschlussreich. Für Einzelrisiken oder eine kleinere Zusammenstellung von Risiken ist es
Die Aggregation von Risiken bei der SAP AG
69
durchaus sinnvoll, die summierten Werte zu betrachten. Bleiben diese auch bei einer großen Zahl von Risiken in etwa konstant, können Veränderungen des Wertes über die Zeit als Erhöhung oder Verringerung des inhärenten Risikos interpretiert werden und entsprechend Aktionen auslösen. Zusätzlich kann der Total-Loss von Teilbereichen zum Total-Loss-Wert des Gesamtbereiches in Relation gesetzt werden. Es lässt sich so ermitteln, welche Teilbereiche ein relativ höheres Risiko zu tragen haben, um anschließend zu ermitteln, ob dies unternehmerisch so gewollt oder wirtschaftlich sinnvoll ist. Ähnlich verhält es sich mit den Expected-Loss-Werten. Erwartungswerte sind additiv, es ist also mathematisch korrekt die Werte zu addieren. Die Summe der Expected-Loss-Werte ist der Verlust, der bei einer zufälligen Situation (einige Risiken treten ein, andere nicht) am wahrscheinlichsten eintreten wird. Da die Anzahl der möglichen Situationen bei einer hohen Zahl von betrachteten Risiken quasi unendlich ist (bei nur 20 binären Risiken ist die Anzahl der möglichen Situationen bereits 210=1.048.576), ist die Wahrscheinlichkeit hierfür natürlich extrem klein. Der absolute Wert des Expected-Loss liegt noch in der Größenordnung des Total-Loss, bei einer symmetrischen Verteilung der Total-Loss-Werte der Einzelrisiken um ihren Mittelwert, etwa bei der Hälfte. Beim Expected-Loss lassen sich dennoch, wie oben beschrieben, über die Betrachtung von kleineren Aggregaten, Zeitreihen oder relativen Werten sinnvolle Aussagen gewinnen. Eine weitere Schwierigkeit bei der Verwendung der mathematischen Aggregation bestand darin, dass nicht alle Risiken quantitativ bewertet wurden, sodass zunächst nur wenige Total-Loss- oder Expected-LossWerte zur Verfügung standen. Es bot sich dennoch eine Möglichkeit, auf globaler Ebene zu Aussagen zu kommen. Wie oben beschrieben, trägt jedes Risiko einen qualitativen globalen Impact-Wert, zu dessen Bestimmung die globale Impact-Matrix (Tabelle 3) herangezogen wird. Umgekehrt lassen sich aus den Impact-Werten also Schätzwerte für den TotalLoss ermitteln, die für Aggregationszwecke weiter verarbeitet werden können. Beispielsweise wird einem Risiko mit globalem Impact „3“ ein Total-Loss von 2,5 Mio. € (Mittelwert zwischen den Stufengrenzen) zugeordnet. Bei der SAP werden Total-Loss- und Expected-Loss-Werte als relative Werte für Bereiche, Risikoklassen (als Beispiel in Tabelle 6) und Aktivitätsklassen berichtet. Dabei werden die Einzelwerte zur Summe aller Werte in Relation gesetzt. Statt von Total-Loss und Expected-Loss, wird in diesem Zusammenhang von gewichtetem (aus dem Expected-Loss ermittelt) und nicht gewichtetem Risiko Exposure (aus dem Total-Loss ermittelt) gesprochen. Auch die prozentuale Differenz zum Berichtswert des letzten Quartals wird ausgewiesen.
70
Dirk Metzger
Tabelle 6. Beispielhaftes Risikoprotokoll
Risiko nach Operationellen Kernrisiken Operationelles Kernrisiko
Gesamtwirtschaftlich Markt Personalwirtschaftlich Strategische Planung Organisation, Compliance und Governance Kommunikation und Information Finanz Produkt Projekt Sonstige
Total % Risiko 3,87 % 14,94 % 6,61 % 7,94 % 5,72 % 1,16 % 5,08 % 14,13 % 24,94 % 15,62 %
∆ zum letzten Quartal -0,23 % -0,1 % +1,64 % +1,92 % -2,29 % +0,54 % -1,44 % -2,13 % +0,45 % +1,6 %
Die Ermittlung einer absoluten Gesamtrisikoposition erscheint aus den beschriebenen Gründen nicht sinnvoll. Eine qualitative Aussage hierzu ist gemäß den Anforderungen des Deutschen Rechnungslegungsstandards jedoch erforderlich. Für einige spezifische Typen von Risiken werden als Ausnahme zusätzlich Berechnungen nach der Value-at-Risk (VaR) Methode angestellt. Der Value-at-Risk ist der höchste mögliche Verlust, der in einer gegebenen Zeitspanne mit der Wahrscheinlichkeit α nicht überschritten wird. Für Eskalationskosten und Kosten aus Rechtsstreitigkeiten ist es möglich, genauere Angaben über den maximalen zu erwartenden Verlust (Total-Loss) und die Eintrittswahrscheinlichkeit des Ereignisses zu machen. Außerdem liegen Daten über in der Vergangenheit eingetretene Schäden vor. Der VaR wird auf Basis einer Zeitreihenanalyse gebildet. Ausgangspunkt hierfür sind die jeweiligen historischen Datensätze von früheren erwarteten Aufwendungen, getätigten Auszahlungen, erbrachten Rückstellungen sowie die Anzahl existierender Risiken des betrachteten Quartals. Die SAP stellt den VaR95 (α=95 %) für Eskalationskosten und Kosten aus Rechtsstreitigkeiten als Teil des quartalsweisen Risikoberichtes an den Vorstand dar.37 Die Abteilung Corporate Treasury ermittelt zusätzlich regelmäßig VaR-Daten zu den Währungsrisiken.38 Eine weitere Möglichkeit der mathematischen Aggregation stellt die Ermittlung eines aggregierten Risikoniveaus dar. Hierzu wurden bis Sep37
Bei allen VaR Berechnungen können wegen der statistischen Natur der Daten Korrelationen berücksichtigt werden. 38 Vgl. weiterführend z. B. Jorion 2007 und Leitermann 2005
Die Aggregation von Risiken bei der SAP AG
71
tember 2006 die Risikoniveaus der das Aggregat konstituierenden Risiken betrachtet, z. B. alle Risiken eines Bereiches. Die Bestimmung geschah nach den folgenden Regeln: • Das Risikoniveau des Aggregates wurde durch das höchste Risikoniveau aller enthaltenen Einzelrisiken bestimmt, d. h. wenn die betrachteten Risikoniveaus hoch sind, ist das Risikoniveau des Paketes ebenfalls „hoch“. • Ausnahmen von obiger Regel: Wenn die Anzahl der hohen Risiken im Aggregat weniger als 5 % ausmacht, ist das Risikoniveau nur „mittel“. Wenn 90 % der Risiken im Aggregat „mittleren“ Niveaus sind, wird das Aggregat mit „hoch“ bewertet. Wenn keine „hohen“ Risiken vorhanden sind und die Anzahl der mittleren Risiken kleiner als 40 % beträgt, ist das Risikoniveau „niedrig“. Diese Regeln waren in der Analysefunktion der SAP-eigenen Risikomanagement-Applikation implementiert und standen damit den Risikomanagern zur Verfügung. Wegen der relativ groben, dreistufigen Unterscheidung der Risikoniveaus ließen sich Vergleiche allerdings nur bedingt anstellen. Man konnte z. B. zwei Risikokategorien, die insgesamt beide mit „hoch“ bewertet wurden, keinen weiteren Unterschied ansehen, der zu Vergleichszwecken geeignet gewesen wäre. Die relative Gegenüberstellung von Total- und Expected-Loss-Werten wurde daher bevorzugt. Die Aggregation von Risikoniveaus hatte daher in der betrieblichen Praxis bei SAP keine Bedeutung. Entwicklung seit September 2006
Die unter dem Ausgangsmodell beschriebene Zusammenstellung von Risiken und die zugehörigen mathematischen Aggregate werden genauso seit September 2006 betrachtet. Hierbei gibt es allerdings zwei wichtige Unterschiede: 1. Die Total-Loss-Werte und Expected-Loss-Werte werden getrennt für ungeplante, zusätzliche Kosten und Umsatzeinbußen dargestellt. Dadurch lässt sich klar trennen, welcher Teil des Aggregates auf eher weiche Faktoren wie den Wert der Marke oder die Kundenzufriedenheit zielt und welcher Teil unmittelbar höhere Kosten zur Folge hat. Die Interpretation der aufsummierten Werte bleibt aber schwierig. 2. Die durchgängige Quantifizierung der Risiken ermöglicht eine sinnvolle Auswertung aller dargestellten Aggregate aus Sicht aller organisatorischen Ebenen, nicht nur der Konzernebene. Im alten Modell konnten für quantitative Analysen unterhalb der Konzernebene nur
72
Dirk Metzger
die auch quantitativ bewerteten Risiken in Betracht genommen werden, die den kleineren Bruchteil der gesamten Risiken darstellten. Eine interessante zusätzliche Möglichkeit, die auf der Quantifizierung beruht, ist die Ermittlung eines Risikoniveaus für jede beliebige Zusammenstellung von Risiken, bewertet aus Sicht einer bestimmten Organisationseinheit. Voraussetzung ist, dass für diesen Bereich eine Impact-Matrix existiert. Wie im Abschnitt Bewertung erläutert, lässt sich jedem Risiko ein so genannter PxI-Wert zuordnen, der das Produkt der Eintrittswahrscheinlichkeit und des Impact-Wertes auf der 5-stufigen Skala darstellt: 0 < PxI < 5. Der Impact ist abhängig von der Sichtweise und bestimmt durch die erwähnte organisationsabhängige Impact-Matrix. Betrachtet man ein Aggregat von Risiken, z. B. alle Produktrisiken einer Landesgesellschaft, lässt sich das Gesamtrisikoniveau wie folgt ermitteln: Für jedes i-te Risiko bestimmt man zunächst den Impact Wert Ii abhängig von der Impact-Level-Matrix (Tabelle 7), die für die Landesgesellschaft gepflegt ist. Tabelle 7. Impact Niveau Matrix Quantitativer Impact (Total Loss) 1 = € 0–€ 199,999 2 = € 200,00–€ 499,999 3 = € 500,000–€ 999,999 4 = € 1,000,000–€ 4,999,999 5 = > € 5,000,000
Qualitativer Impact 1 = Unbedeutend 2 = Klein 3 = Mittel 4 = Groß 5 = Katastrophal
Einem maximalen Verlust von 750 T€ würde im vorliegenden Beispiel ein Impact-Wert von 3 (mittel) zugeordnet werden. Beträgt die Eintrittswahrscheinlichkeit des Risikos Pi=50 % errechnet sich PxIi = 1,5. Jeder risikotragenden Aktivität (Beispiel Beratungsprojekt) ist ein Schwellenwert (AVi) zugewiesen, der die Grenze für katastrophale Auswirkungen eines Einzelrisikos auf diese Aktivität markiert. Im Allgemeinen wird die Größe dieses Schwellenwertes eng mit der Bedeutung der Aktivität zusammenhängen. Bei der Berechnung des aggregierten PxIgesamt Wertes für eine Sammlung von Risiken werden diese daher gemittelt, gewichtet mit den zugehörigen Schwellenwerten AVi:
∑ PxI ⋅ AV = ∑ AV i
PxI gesamt
i
i
i
i
.
Die Aggregation von Risiken bei der SAP AG
73
Will man dem Schwellenwert eine noch stärkere Bedeutung zumessen, kann dieser auch quadratisch in die Berechnung eingehen:
∑ PxI ⋅ AV = ∑ ( AV ) i
PxI gesamt
2
i
i
2
.
i
i
Zum Zeitpunkt des Erscheinens dieses Beitrags liegen noch nicht genug praktische Erfahrungen vor, um abschließend feststellen zu können, welche Methode aussagekräftiger ist. Erste Ergebnisse weisen aber darauf hin, dass der Unterschied in der praktischen Anwendung bei der SAP relativ gering sein dürfte. Der PxI Wert ist als ein kontinuierliches Risikoniveau zu interpretieren. Eine Verbindung zu dem immer noch gebräuchlichen, diskret dreistufigen Risiko Level lässt sich wie in Tabelle 8 gezeigt leicht herstellen. Tabelle 8. Zuordnung von PxI Werten zu Risikoniveaus Untergrenze PxI 0,0 1,1 3,0
Risikoniveau Niedrig Mittel Hoch
Mit Hilfe diese Konzeptes lassen sich also einfache Vergleiche der Risikoträchtigkeit von Bereichen, bestimmten Projekttypen oder Risikokategorien herstellen, ohne einen direkten Rückgriff auf die monetären Bewertungen vornehmen zu müssen, was unter Umständen Probleme und Diskussionsbedarf bei der Interpretation der Zahlen aufwerfen könnte.
5
Würdigung der Risikoaggregation bei der SAP
Betriebliche Anforderungen haben bei der SAP dazu geführt, dass Risikomanagement schon vor der Einführung eines unternehmensweit einheitlichen Risikomanagementsystems ein Thema war. Risikomanagement war schon seit 1998 in einigen Landesgesellschaften ein Muss für SAPgeführte Software-Implementierungsprojekte. Im Jahre 2001 wurde durch den CEO erstmalig eine verbindliche Risikomanagement-Richtlinie für die Beratungsorganisation erlassen. Auch für Produktentwicklungsprojekte und kundenspezifische Entwicklungen gab es eine uneinheitliche, aber existierende Risikomanagement-Praxis. Als im Jahre 2003, in Reaktion auf
74
Dirk Metzger
steigende regulatorische Anforderungen, mit der Implementierung eines einheitlichen Risikomanagementsystems begonnen wurde, war es ein erklärtes Ziel auf dem aufzubauen, was bisher geleistet wurde, um den Anforderungen aus dem KonTraG zu genügen. Damit rückte aber auch die Frage nach der Aggregation von Risiken in den Vordergrund. Während Risikomanagement in der Anfangsphase in der Hauptsache eine Angelegenheit von Projektleitern war, stellt sich im Verbund eines Risikomanagementsystems die Frage, wie die gewonnenen Aussagen aus der zentralen Risikomanagementapplikation Entscheidungsträgern zugänglich gemacht werden können. Eine weitere Herausforderung ist die Verbindung der Bottom-up aus der Projektwelt gewonnenen Information mit der Top-down erarbeiteten Risikoinformation aus Sicht der Konzernführung. Bedenkt man die sehr große Anzahl von mehreren tausend Risiken, die bei der SAP betrachtet werden, wird die Komplexität dieser Aufgabe deutlich. Als erste Antwort wurden mit den bestehenden Mitteln bis September 2006 aggregierte Risikoberichte auf vier kaskadierenden Hierarchieebenen erzeugt. Ein Problem dabei war sicherlich, dass das Design des Risikomanagementmodells nicht in ausreichendem Maße auf die Risikoaggregation ausgerichtet war. Die industrielle Praxis für operationelles Risikomanagement war (und ist immer noch) in der Entwicklung begriffen. Am weitesten fortgeschritten sind in dieser Hinsicht sicherlich Banken und Versicherungen. Allerdings lassen sich Ergebnisse aus der Finanzindustrie nur bedingt auf ein Softwareunternehmen übertragen, da sich die Geschäftsprozesse zum großen Teil nicht einfach in Zahlen beschreiben lassen, die für die Zwecke des Risikomanagements unmittelbar verwendbar wären. Ein weiterer Schritt in Richtung einer Quantifizierung der Risiken stellt das im September 2006 eingeführte erweiterte Modell dar. Trotz bestehender Schwierigkeiten werden aggregierte Risikoinformationen, vor allem auch semantisch aggregierte Informationen, von Entscheidungsträgern aller Ebenen als entscheidungsrelevant empfunden, da sie die Aufmerksamkeit auf Sachverhalte lenken können, die aus anderen Regelberichten nicht hervorgehen. Ein Fehlen an mathematischer Rigorosität – verbesserte statistische Darstellung der Zahlenwerte durch Ermittlung von z. B. Standardabweichungen oder dem Abschätzen von Verteilungsfunktionen – hat sich dabei bis dato nicht als nachteilig erwiesen. Maßnahmen, die auf Basis dieser Information ergriffen werden, sind regelmäßig die Folge der Berichte. Neben der Konzernspitze erhält auch der Aufsichtsratsvorsitzende der SAP AG quartalsweise aggregierte Risikoinformationen, was eine unabhängige Bewertung der Risiken gewährleistet. Die interne Risikoberichterstattung ist auch Grundlage des Risikoberichts im Lagebericht als Teil des Geschäftsberichtes. Somit sind auch die Aus-
Die Aggregation von Risiken bei der SAP AG
75
führungen im ersten Abschnitt als Produkt aggregierter Risikoinformation zu sehen. Zusammenfassend lässt sich feststellen, dass die Aggregation von Risiken eine der wichtigsten Aufgaben der zentralen Risikomanagementfunktion der SAP ist, die mit den zur Verfügung stehenden Mitteln erfolgreich gemeistert wird und weiterentwickelt werden soll.
6
Ausblick
Um die mathematische Aggregation von Risiken weiter verbessern zu können, bedarf es eines größeren Augenmerks auf die statistische Natur der Risikodaten. Diskutiert wird die Verwendung von n-Punkt-Schätzungen für die Perzentile der Verlustverteilung. Das allerdings setzt eine gewisse Professionalität im Umgang mit statistischen Methoden voraus, was von Mitarbeitern, deren Hauptaufgabe zum Beispiel als Projektleiter nicht Risikomanagement ist, vernünftigerweise nicht erwartet werden kann. Überhaupt muss der Aufwand für Risikomanagement in einem guten Verhältnis zu den erzielten Resultaten stehen, um auch in der Zukunft relevant zu bleiben. Eine Frage ist zum Beispiel, ob man hierfür die Anzahl der formal im Modell betrachteten Risiken und der damit verbundenen Aktivitäten reduziert. Ein sehr großer Nachteil dessen wäre sicherlich, dass die Risikomanagementorganisation hierdurch an Verbreitungstiefe verlieren würde. Aber gerade diese ist gewiss eine der größten Errungenschaften des existierenden Systems, auch im Vergleich zu anderen Firmen, deren Durchdringung von Risikomanagement in die Geschäftstätigkeit üblicherweise wesentlich geringer ist. Zu beachten ist, dass ein Mehr an Aggregation nicht zu einem Verlust von bestehender Risikomanagementkultur führen darf. Die SAP hat den flächendeckenden Einsatz von Monte-Carlo-Methoden zur Aggregation verworfen. Auch wenn dies mit Hilfe einschlägiger Softwarepakete technisch einfach möglich wäre, ist auch hier hohes wahrscheinlichkeitstheoretisches Wissen erforderlich. Die Resultate für Risikoaggregate sind nicht transparent, da sie gewissermaßen aus einer BlackBox kommen, die mögliche Fehler der Eingabewerte einfach weiterverarbeitet. Es gibt bei der SAP auch Überlegungen zur Verbesserung der semantischen Aggregation. Risiken wirken grundsätzlich, egal auf welcher hierarchischen Ebene, auf Geschäftsziele. Ordnet man nun jedes Risiko einem relevanten Geschäftsziel zu, lassen sich richtungweisende, aggregierte Aussagen über die Gefährdung dieses Zieles treffen. Da die Geschäftsziele
76
Dirk Metzger
in einem jährlichen Prozess aus der Unternehmensstrategie ab geleitet werden, eröffnet sich entlang der Zielhierarchie ein interessanter weiterer Aggregationspfad für Risikoinformationen. Das Verfahren wird gerade pilotiert, unterstützt durch die zentrale Risikomanagementapplikation. Fragestellungen, die um die Aggregation von Risiken kreisen, waren hierbei ein wichtiger Motor und Ideengeber für die Weiterentwicklung des Risikomanagementsystems der SAP AG. Sie werden es wohl auch in näherer Zukunft bleiben.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
Dietmar Krull, Sandra Simonides BLG LOGISTICS GROUP AG & Co. KG
1
Die BLG LOGISTICS GROUP
Die BLG LOGISTICS GROUP, ein mittelständisches deutsches Unternehmen der Logistikbranche, führt derzeit ein neues Risikomanagementsystem (RMS) ein. Dieses verfolgt einen pragmatischen und den mittelständischen Strukturen des Unternehmens angemessenen Ansatz der Risikoaggregation. Ein klar definierter Prozess der Risikoberichterstattung wird dabei das Wissen über Unternehmensrisiken sowie deren Kommunikation weiter verbessern. Die erhöhte Risikotransparenz dient damit letztlich dem Ziel, den proaktiven bzw. zeitnahen Umgang mit Risiken weiter zu fördern und trägt dazu bei, mögliche Gefährdungen für den nachhaltigen Erfolg des Unternehmens frühzeitig zu erkennen und zu minimieren. Das RMS befindet sich derzeit in der Einführungsphase und soll stufenweise in wenigen Jahren so ausgebaut werden, dass auch komplexere Risikostrukturen abgebildet und mathematisch berechnet werden können. Der vorliegende Beitrag spiegelt den derzeitigen Projektstand wider. 1.1 Geschäftsbereiche
Die BLG LOGISTICS GROUP ist auf die logistischen Kernkompetenzen AUTOMOBILE, CONTRACT und CONTAINER spezialisiert. Services und Informationstechnologie ergänzen das Leistungsspektrum. Das Unternehmen hat sich in den letzten Jahren sehr dynamisch entwickelt. In 2006 wurden mit ca. 6.900 Beschäftigten Umsatzerlöse von mehr
78
Dietmar Krull, Sandra Simonides
als 750 Mio. EUR und ein EBT von 55,0 Mio. € erzielt. Die Bilanzsumme betrug rund 740 Mio. €. Auf die BLG und ihre Beteiligungen entfällt heute ein Anteil von ca. 75 % am Gesamtumschlag der Bremischen Häfen. Vor allem die zunehmende Internationalisierung der Märkte wird dem Konzern zukünftig neue Chancen erschließen, aber auch komplexere Handlungsfelder mit sich bringen. Die Kernkompetenz des Geschäftsbereichs AUTOMOBILE liegt in der Bereitstellung der vollständigen Logistikkette für Fertigfahrzeuge von den Werken der Hersteller bis zu den Händlern im Bestimmungsland. Schwerpunkte bilden dabei das Exportgeschäft von Kraftfahrzeugen deutscher Hersteller sowie das Importgeschäft japanischer und koreanischer Hersteller einschließlich der Importe deutscher Hersteller aus den USA. Fast 1.500 Car Carrier (Roll on – Roll off Schiffe) steuern jährlich das BLGTerminal in Bremerhaven an. Wesentliche Dienstleistungen der Fahrzeuglogistik sind Umschlag, Lagerung und technische Aufbereitung sowie Speditions- und Transportlogistik per Schiene, Straße, Binnen- und Küstenschifffahrt. Mit jährlich rund 4,5 Millionen Fahrzeugen im gesamten Terminal- und Transportnetzwerk ist der Geschäftsbereich AUTOMOBILE in diesem Logistiksegment Marktführer in Europa. Der Geschäftsbereich CONTRACT bietet die Entwicklung und den Betrieb geschlossener Logistiksysteme für den individuellen Bedarf des Kunden. Er umfasst die Geschäftsfelder Autoteilelogistik, Industrie- und Handelslogistik sowie Seehafenlogistik. Über eigene Logistik-Zentren werden große Warenmengen nicht nur gelagert und kontrolliert, sondern vielfach auch bearbeitet, mit weiteren Komponenten verschiedener Zulieferer versehen, kommissioniert und verteilt. Der Geschäftsbereich CONTRACT zählt in diesem Bereich zu den führenden Akteuren in Deutschland. Der Geschäftsbereich CONTAINER ist vor allem im Containerumschlagsgeschäft tätig und betreibt eines der weltweit größten Terminalnetzwerke. Der Containerumschlag ist nach wie vor ein Wachstumsmarkt. Mit insgesamt 12,5 Millionen TEU39 hält der Geschäftsbereich CONTAINER die marktführende Stellung in Europa. Mit allen drei Geschäftsfeldern agiert die BLG damit in attraktiven und wachstumsstarken Märkten. Unter seinem Leitbild „BLG LOGISTICS: Let’s move better“ wird sich der Konzern auch zukünftig auf seine Kernkompetenzen in der Logistikbranche konzentrieren, um seine starke Marktposition zu festigen und auszubauen. Zugleich werden verstärkte Anstrengungen in Prozessoptimierung und Effizienzsteigerung zu Kosten-
39 Twenty Foot Equivalent Unit: Maßeinheit für die Container-Transportkapazität von Schiffen und Hafeneinrichtungen
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
79
einsparungen sowie zu einer zukunftsfähigen Ausrichtung des Konzerns beitragen. 1.2 Organisation
Die Organisation des Konzerns folgt mit den drei Geschäftsbereichen AUTOMOBILE, CONTRACT und CONTAINER einer klaren Struktur: Aufsichtsrat
Vorstand
Management-Holding
Geschäftsbereich AUTOMOBILE
Gesellschaft
Gesellschaft
Gesellschaft
Geschäftsbereich CONTRACT
Gesellschaft
Gesellschaft Gesellschaft
Geschäftsbereich Container
Gesellschaft
Gesellschaft
Gesellschaft
SERVICES
Bereiche
Abb. 16. Aufbauorganisation der BLG LOGISTICS GROUP
Die BLG LOGISTICS GROUP AG & Co. KG konzentriert sich als Management-Holding auf strategische Aufgabenstellungen. Hierzu zählen auch das Risikomanagement und das Zentralcontrolling. Weiterhin gehören übergreifende Beratungs- und Dienstleistungsfunktionen für die Konzerngesellschaften zu ihren Aufgaben. Den Geschäftsbereichen sind jeweils rechtliche Einheiten (Gesellschaften) zugeordnet. Die operative Führung der Geschäftsbereiche einschließlich der Verantwortung für die Umsetzung der Strategie und das Ergebnis obliegt den jeweiligen Geschäftsbereichsleitungen. Diese verantworten auch den Auftritt des Geschäftsbereiches nach innen und außen. Neben Vorstand und Geschäftsbereichsleitung bilden verschiedene Führungsgremien wichtige Elemente der Führungsorganisation. Sämtliche Organe und Gremien stellen mit ihren festen Tagungsfrequenzen auch ein wichtiges Element der Risikokommunikation dar.
80
2
Dietmar Krull, Sandra Simonides
Risiko und Risikokategorien
2.1 Definition
Unter einem Risiko verstehen wir die Möglichkeit einer für die Erreichung der Unternehmens- bzw. Konzernziele ungünstigen, gefährlichen oder gar existenzbedrohenden Entwicklung. Im Risikomanagement der BLG LOGISTICS GROUP wird inhaltlich zwischen operativen und strategischen Risiken unterschieden. Die operativen Einzelrisiken werden verschiedenen Kategorien und Subkategorien40 zugeordnet: Operative Risiken
• • • •
Finanzwirtschaftliche Risiken Marktrisiken Politische, rechtliche und soziale Risiken Leistungs- und Infrastrukturrisiken
Die Unterteilung in verschiedene Risikokategorien und -subkategorien erfolgte mit Blick auf die spezifischen Risiken der BLG LOGISTICS GROUP. Es handelt sich dabei insbesondere um die starke Abhängigkeit von Infrastruktur (Flächen, Anlagen, IT) und Personal. Ein besonderer Fokus liegt deshalb neben den strategischen auf den Leistungs- und Infrastrukturrisiken. Ausgehend von unserer ganzheitlichen Betrachtungsweise soll das Zusammenwirken von Risiken an Abb. 17 verdeutlicht werden. Die Risikokategorien, welche besonders im Fokus stehen, sind farblich hervorgehoben. Es ist jedoch davon auszugehen, dass Risiken immer in mehreren Dimensionen wirken. Die Überschneidungen der Kreise verdeutlichen hier unsere ganzheitliche Betrachtungsweise.
40 Die Subkategorien werden hier nicht weiter ausgeführt. Dazu zählen beispielsweise Zins- und Preisänderungsrisiken und Gewährleistungsrisiken.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
Strategische Risiken
81
Marktrisiken
Finanzwirtschaftliche Risiken
Leistungsund Infrastruktur risiken Politische, rechtliche, soziale Risiken
Abb. 17. Zusammenwirken der Risiken
2.2 Spezifische Risiken
Die Geschäftstätigkeit der BLG LOGISTICS GROUP erfordert eine sehr aufwendige Infra- und Suprastruktur41 einschließlich einer komplexen Informationstechnik. Die Logistikleistungen sind darüber hinaus besonders personalintensiv. Ein wichtiger Faktor für die Entwicklung des Unternehmens insgesamt ist die Globalisierung, die hinsichtlich Beschaffung, Produktion und Absatz von Waren und Gütern eine zunehmende internationale Arbeitsteilung und intensivierten Wettbewerb bewirkt. Kennzeichnend für unsere Geschäftsaktivitäten sind weiterhin tendenziell kurze Vertragslaufzeiten und Alle auf der Infrastruktur eines Hafens errichteten Anlagen, Einrichtungen und Gebäude, die für Umschlag, Lagerung und Verteilung von Gütern benutzt werden, bilden die Suprastruktur eines Hafens. Dazu gehören neben Umschlaganlagen und Lagerhallen auch private Verkehrsanlagen (Gleise, Betriebsstraßen, Krangleise). Errichtung und Betrieb der Suprastruktur obliegen dem Hafenbetreiber. 41
82
Dietmar Krull, Sandra Simonides
Geschäftsbeziehungen zu wenigen Großkunden. Von diesen Risikofaktoren sind alle Geschäftsbereiche betroffen. Insbesondere der Geschäftsbereich CONTRACT ist zusätzlich mit Risiken konfrontiert, die sich aus einer wachsenden Komplexität und Veränderungsgeschwindigkeit im Anforderungsprofil der Kunden ergeben. So muss sich beispielsweise das Geschäftsfeld Autoteilelogistik im Rahmen der Kontraktlogistik einem wachsenden Wettbewerbsdruck, aber auch steigenden Qualitätsanforderungen und kürzeren Innovationszyklen seitens der Automobilhersteller stellen. Der Geschäftsbereich CONTAINER ist dem scharfen Wettbewerb zwischen den Seehäfen und einem damit einhergehenden Preisdruck ausgesetzt. Die anhaltende Konkurrenzsituation zwischen den nordeuropäischen Hafenstandorten wäre durchaus geeignet, die Ertragslage zu beeinträchtigen. Ein weitergehendes Engagement asiatischer Hafengesellschaften in Europa würde den Wettbewerbsdruck auf Bremerhaven, Hamburg und zukünftig auch Wilhelmshaven noch weiter erhöhen.
3
Risikomanagementorganisation und -prozess
Die Zuständigkeit für das Risikomanagement der BLG LOGISTICS GROUP liegt innerhalb der Management-Holding im Bereich Steuern und Bilanzen. Hier werden auch die Lageberichte erstellt. Der Risikobericht als Teil des Lageberichtes hat in den letzten Jahren – nicht zuletzt durch den Gesetzgeber bedingt – eine erhebliche Aufwertung erfahren. Das externe Rechnungswesen und das Controlling wachsen jedoch immer mehr zusammen. Ein gemeinsames Berichtswesen mit einheitlichen Standards und Formaten soll zu einer Verbesserung in Bezug auf Inhalt, Qualität und Timing sowie insgesamt zu einer aussagefähigeren und effizienteren Berichterstattung führen. Das Risikomanagementsystem folgt einem integrierten Ansatz. Zur Steigerung der Effizienz wird es mit den bestehenden Leitungs- und Berichtswegen sowie Regelkreisen vernetzt. Dennoch ist das Risikomanagement von den einzelnen dezentralen Verantwortlichen frei und individuell durchzuführen. Die dezentrale Identifikation von Risiken erfolgt systematisch in Bezug auf Inhalt, Prozess sowie Zeitpunkt bzw. Zeitraum. Da einzelne Risiken und die gesamte Risikolage ständigen Veränderungen unterliegen, werden neue Risiken bei bekannt werden erfasst bzw. vorhandene Risiken aktualisiert und berichtet. Die Risikoidentifikation erstreckt sich auf sämtliche Funktionsbereiche sowie betriebliche Prozesse über alle Hierarchiestufen der Gruppe.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
83
Es wurden Berichtseinheiten definiert, in denen Risikoinventuren durchzuführen sind. Entspricht die Berichtseinheit einer rechtlichen Einheit, trägt der jeweilige kaufmännische Geschäftsführer die vollständige Verantwortung für das Risikomanagement (als Teil des Berichtswesens) seiner Berichtseinheit. Es bleibt ihm überlassen, einen weiteren Risikoverantwortlichen zu benennen, der für die Erfassung, Bewertung und Überwachung der Risiken zuständig ist. Von jeder Berichtseinheit werden mit dem Anspruch auf Vollständigkeit individuell Risiken identifiziert. Vor allem aber wird Augenmerk auf diejenigen Risiken gelegt, die zu einer Gefährdung des Unternehmensbestandes führen können. Dies erfolgt ungeachtet bereits bestehender Maßnahmen der Risikoeindämmung, welche an separater Stelle präzise erläutert werden und anschließend im Rahmen des Maßnahmencontrollings der Überwachung unterliegen. Ein explizites Nettorisiko wird allerdings nicht ermittelt. Aufsichtsrat
Vorstand
Risikomanagement
ZentralControlling
Geschäftsbereichsleitung AUTOMOBILE
Geschäftsbereichsleitung CONTRACT
Gruppengeschäftsführung Container
SERVICES
Geschäftsführung
Geschäftsführung
Geschäftsführung
Geschäftsführung
Geschäftsführung
Geschäftsführung
Geschäftsführung
Bereichsleitungen
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
„Hierarchische Ordnung“ des RMS Kommunikationswege Auswertungen
Abb. 18. Struktur der Risikokommunikation
Die Organisation des Risikomanagementprozesses wurde in einer Risikorichtlinie festgehalten. Diese beinhaltet sowohl eine genaue Aufgabenverteilung als auch die Informationswege im Rahmen der Risikokommu-
84
Dietmar Krull, Sandra Simonides
nikation. Ein besonderer Fokus liegt dabei auf der Vermeidung konkurrierender Berichterstattung. Die nachfolgende Abb. 19. veranschaulicht die grundsätzliche Vorgehensweise des Risikomanagementprozesses. Es handelt sich um einen Prozess, der von Aktionen und Beteiligten auf unterschiedlichen Ebenen abhängt. Informationen und Aktionen sind sowohl buttom up als auch top down gerichtet. - Ad-hoc-Meldungen
- Ziele und Strategien
- Kommunikation von Risiken
- Richtlinienkompetenz
- Identifikation und Bewertung
- Überwachung und Kontrolle
- Risikobewusstes Verhalten
BOTTOM UP
TOP DOWN
Abb. 19. Grundsätzliche Vorgehensweise im Risikomanagementprozess
4
Bewertung und Aggregation von Risiken
4.1 Instrumente
Das Risikomanagementsystem der BLG LOGISTICS GROUP wird durch die datenbankgestützte Softwareapplikation MIS Risk Management technologisch unterstützt. Dieses System erfüllt durch eine klare Strukturierung der Risiken sowie eine klare Zuordnung der Risiken zu Verantwortlichen auf verschiedenen Ebenen die zentralen Anforderungen an den Risikomanagementprozess. Die Entscheidung zugunsten dieser technischen Lösung erfolgte insbesondere aufgrund der hohen Synergieeffekte. Innerhalb des zentralen Controllings ist bereits ein MIS Planungstool zur Bilanz- und Ergebnisplanung im Einsatz. Die hier gesammelten Daten werden nun konsistent auch im Risikomanagement verwendet, dort erweitert und ergänzt sowie schließlich wieder dem Controlling zugeführt. Die Risikomanagementapplikation bietet die Möglichkeit, vernetzte Informationen zeitnah zur Verfügung zu stellen und ist damit eine Kommu-
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
85
nikationsplattform, die den gezielten Austausch von Informationen zwischen Controlling und Risikomanagement ermöglicht. 4.2 Risikobewertungen
Die BLG LOGISTICS GROUP ist ein heterogener Konzern, da unterschiedlich große Berichtseinheiten und auch unterschiedliche Risikofelder vorliegen. Jeder Berichtseinheit stehen individuelle Relevanzklassen zur Risikobewertung zur Verfügung. Die Relevanzklassen dienen als einheitlicher Maßstab auf allen Berichtsebenen. Sie orientieren sich wertmäßig an den im jeweiligen Forecast bzw. der Planung ermittelten EBT-Zahlen. Die Risikoverantwortlichen bewerten durch Expertenschätzungen die Auswirkungen von Risiken quantitativ und qualitativ. Im Fokus steht grundsätzlich die Quantifizierung von Risiken. Qualitative Angaben sollen gleichwohl erfolgen, damit alle Beteiligten sich ein umfassendes Bild von jedem Risiko machen können. Auf eine quantitative Einschätzung von Risiken wird in Einzelfällen verzichtet, wenn diese nur schwer möglich ist. Die Höhe des Risikoeinflusses wird nach unterschiedlichen Gesichtspunkten betrachtet. Zuerst erfolgt die Zuordnung des Risikos in eine der Relevanzklassen. Anschließend wird der Einfluss des Risikos im laufenden Jahr bewertet (vgl. Abb. 20). Dieser Wert wird in einen in GuV oder Forecast bereits berücksichtigten bzw. nicht berücksichtigten Wert unterteilt. Über eine direkte Verknüpfung mit der Planungsdatenbank steht der aktuelle EBT-Forecast ständig zur Verfügung. In einem zweiten Schritt erfolgt die Bewertung des Risikos für den gesamten Zeitraum (Gesamtschadenhöhe). Dieser Einfluss bezieht sich immer auf den im jeweiligen Forecast ermittelten EBT.
86
Dietmar Krull, Sandra Simonides
Abb. 20. Softwaregestützte Expertenschätzung
Die Werte aus der Einschätzung der Höhe des Risikoeinflusses und dessen Eintrittswahrscheinlichkeit werden in einer multidimensionalen Datenbank abgelegt und stehen somit für Auswertungen zur Verfügung. Dabei wird die Expertenschätzung (Risikoeinfluss und Eintrittswahrscheinlichkeit) bewusst nicht zu einem Erwartungswert multipliziert, sondern als Zusatzinformationen zum EBT bzgl. Forecast und Planung verwendet. Die Expertenschätzung basiert auf den Erfahrungen und dem Fachwissen der jeweiligen Risikoverantwortlichen bzw. der hinzugezogenen Personen. Annahmen, Grundlagen einer Schätzung oder Berechnungsschemata sind zu dokumentieren. Dieser Ansatz der Expertenschätzung wurde gewählt, um die Risikobewertung für die Fachanwender im Rahmen der Einführung des Risikomanagementsystems zu erleichtern. Zurzeit stehen keine Schadensdatenbanken, Erfahrungswerte oder dergleichen zur Verfügung. Insbesondere wurde diese Methode jedoch gewählt, damit zunächst der zu beurteilende Sachverhalt im Vordergrund steht, bevor die abstrakte Statistik höhere Bedeutung gewinnt. Ziel ist es, zukünftig geeignete Sensitivitätsanalysen, szenariobasierte Verfahren und/ oder Simulationsverfahren mit Augenmaß einzuführen und zu nutzen.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
87
4.3 Sicherung der Bewertungsqualität
Der Sicherung und Erhöhung der Bewertungsqualität dienen vor allem regelmäßige Schulungen der Risikoverantwortlichen und Kontrollen durch Geschäftsführung, Zentralcontrolling und zentrale Risikomanager. Ein geeignetes Berechtigungskonzept verhindert nicht nur unberechtigten Zugriff, sondern stellt auch sicher, dass ausschließlich autorisierte Personen Risikodaten ändern können. Mit Hilfe dieser Methode wird eine vollständige Erfassung und Dokumentation relevanter Risiken, die Identifikation neuer Kontexte oder kumulativer Effekte sowie Transparenz und Information gefördert. Auch umfassende Schulungen und Präsentationen stellen wichtige Elemente der Qualitätssicherung dar. Besonders hervorzuheben ist darüber hinaus ein Nachschlagewerk (Glossar) mit Beispielen, Erklärungen und möglichen Frühindikatoren. Es dient als Orientierungshilfe für die Identifikation und Kategorisierung der operativen und strategischen Einzelrisiken und zur Sicherstellung des einheitlichen Verständnisses der Risikosituation. Es erfüllt den Zweck einer Checkliste bei der Risikoidentifikation, vor allem dient es jedoch der Standardisierung. Dieses Nachschlagewerk soll – wie auch die Risikoichtlinie – ein einheitliches Grundverständnis erzeugen und damit gewährleisten, dass vergleichbare Informationen generiert und dokumentiert werden. 4.4 Ziele der Risikoaggregation
Ziel und Zweck des Risikomanagements ist neben der Erfüllung der zahlreichen externen Anforderungen in erster Linie das frühzeitige Erkennen und Abwenden von Risiken, die die unternehmensweite Zielerreichung (Einhaltung der Mittelfristplanung) gefährden könnten. Im Sinne eines kontinuierlichen Verbesserungsprozesses für alle betrieblichen Funktionen soll das Risikomanagement aber auch der Identifikation systemischer Verbesserungspotenziale dienen (z. B. im Schnittstellenmanagement, der Kommunikation oder der Prozessgestaltung und -steuerung). Das Risikomanagement unterstützt damit eine erfolgreiche Unternehmenssteuerung. Es schafft Transparenz über die eigene Risikosituation, unterstützt Entscheidungsprozesse durch fundierte Informationen und ermöglicht eine gezielte Verbesserung risikoträchtiger Verfahren und Prozesse. Um dies zu erreichen, müssen Risiken durch ein transparentes, leicht verständliches und den Strukturen des Unternehmens angemessenes Verfahren systematisch dargestellt und aggregiert werden. Dabei bedeutet Risikoaggregation für uns eine strukturierte Zusammenfassung, Zuordnung
88
Dietmar Krull, Sandra Simonides
und Aufbereitung wesentlicher Risiken nach verschiedenen Gesichtspunkten, wie z. B. nach Geschäftsbereichen und/oder Risikofeldern, ggf. nach Ursachen oder Auswirkungen, und anschließend getrennter Bewertung. Korrelationen bzw. Wechselwirkungen können dann in einem nächsten Schritt berücksichtigt werden.42 Ein Beispiel für eine einfache Gruppierung von Risiken ist der folgenden Abbildung zu entnehmen. In einer Matrix wird dargestellt, wie viele Risiken der Konzern mit welcher Relevanz in welchem Risikofeld bzw. in welcher Risikokategorie hat. Relevanz 5
4
3
2
1
1
2
3
4
5
Risikofeld
Abb. 21. Beispiel für gruppierte Risikodarstellung
Damit stellt die Risikoaggregation für uns eine Informationsverdichtung und Konsolidierung mit dem Ziel dar, aus einer Menge von Einzelrisiken einen möglichst ausgewogenen und für den Adressaten aussagekräftigen 42
Uns stehen derzeit noch keine analytischen/statistischen Verfahren zur Risikoaggregation zur Verfügung, eine Kennzahl wird nicht ermittelt. Für eine MonteCarlo-Simulation fehlt derzeit noch die entsprechende Datenbasis.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
89
Überblick über die Risikolage der Berichtseinheit bzw. des Konzerns zu gewinnen. 4.5 Aggregationsebenen
Unterhalb der Konzernebene stehen vier Konsolidierungs- bzw. Aggregationseinheiten nebeneinander: die drei Geschäftsbereiche AUTOMOBILE, CONTRACT und CONTAINER sowie der Bereich SERVICES. Unterhalb der Geschäftsbereichsebene wird auf Geschäftsfeld- bzw. Unternehmensebene aggregiert. Dies sind die einzelnen Tochtergesellschaften mit ihren Beteiligungen, in Einzelfällen auch Teilkonzerne. Es wird hier ganz bewusst darauf verzichtet, einen hochaggregierten Gesamtrisikowert zu bilden. Auf unterster Ebene werden in erster Linie Aufstellungen der relevantesten Risiken mit Zusatzinformationen (z. B. zur Wirkung und Erfüllungsgrad einer Maßnahme) erstellt. Auf Geschäftsbereichs- und Konzernebene stehen im Rahmen des Berichtswesens weitere Möglichkeiten der strukturierten Darstellung zur Verfügung. Hierzu zählt beispielsweise die Risikomatrix der Schadenhöhe und Eintrittswahrscheinlichkeit.
5
Integration in den Planungsprozess des zentralen Controllings
Zur Steigerung der Akzeptanz und Wirksamkeit des Risikomanagementsystems der BLG LOGISTICS GROUP wurde dieses in bestehende Prozesse und damit in den Arbeitsalltag der Mitarbeiter integriert. Das Risikomanagementsystem nutzt bis auf wenige Ausnahmen die bereits vorhandenen Organisations- und Berichtsstrukturen. Dies hat zusätzlich den Vorteil, dass üblicherweise anfallende Administrationskosten reduziert werden können. Bereits im Jahr 2004 erfolgte im zentralen Controlling die Implementierung eines Planungsmoduls als Baustein einer Management-Informationssoftware. Das standardisierte System wurde mit dem Ziel eingeführt, die monatliche Berichterstattung von Ist- und Planzahlen zu vervollständigen, zu vereinheitlichen sowie Analyse- und Steuerungsprozesse zentral und optimal zu gestalten (z. B. laufendes Monitoring der Maßnahmenumsetzung in den einzelnen Gesellschaften und Geschäftsbereichen). Das System basiert auf der GuV, der Bilanz und der Cashflow-Rechnung und ermittelt Kennzahlen für jede Berichtseinheit. Die wichtigste Kennzahl in diesem Zusammenhang ist das EBT. Plan- und Ist-Daten werden bisher zum Konzernergebnis zusammengeführt und bilden die Basis für die ex-
90
Dietmar Krull, Sandra Simonides
terne Berichterstattung. Die Steuerung des Konzerns erfolgte also bisher auf Basis der jeweiligen operativen Jahresplanung als Kernbestandteil der Mittelfristplanung mit einem Planungszeitraum von fünf Jahren. Die Integration des Risikomanagements in den Forecast-Prozess des Controllings erfolgt zunächst auf Basis des EBT (pro Berichtseinheit). Zwischen Risikomanagement und Controlling findet über eine Schnittstelle ein ständiger Datentransfer statt. EBT und Risikodaten werden dabei wechselseitig zur Verfügung gestellt. Aus dem Controllingsystem wird zunächst das über das gesamte Forecast-Jahr kumulierte EBT je Berichtseinheit in die Risikomanagementapplikation übernommen. Der zentrale Risikomanager bestimmt, wann im zweiten Schritt die Risikoeinflüsse übertragen werden sollen. Dabei werden die noch nicht und die bereits (in GuV oder Planung) berücksichtigten Risikoeinflüsse sowie die Gesamtschadenhöhen übergeben. Die Risikoeffekte für die jeweilige Berichtseinheit werden jedoch nicht als einzelne Risiken übertragen. Die berücksichtigten Einflüsse der Risiken auf das jeweilige EBT werden in Summe über alle Risiken für die jeweilige Berichtseinheit in das Controllingsystem zurückgespielt. Während die Jahresplanungen grundsätzlich finalen Charakter haben, können Forecasts infolge der neuen Informationen aus dem Risikomanagement unterjährig geändert werden. Die risikoadjustierten EBT bringen Transparenz über die Berücksichtigung der Risikosituation in den Plan-, Ist- und Forecastzahlen. Die Gegenüberstellung von Planung und adjustiertem Forecast bzw. aktueller Risikosituation ermöglicht eine Abweichungsanalyse (Plan-Ist/-Soll). Die Vernetzung von Planung/Controlling und Risikomanagement auf der Grundlage konsistenter Daten stellt eine übergreifende Kommunikationsplattform dar. Dadurch können schnell und effizient unterschiedliche Sichtweisen berücksichtigt werden. Dies hat sich als stabilisierend für die Unternehmenssteuerung erwiesen.
6
Berichtswesen und Ausblick
Das Berichtswesen orientiert sich an den jeweiligen Nutzergruppen Vorstand, Risikomanager, Geschäftsbereichsleitung, Geschäftsführer der Gesellschaften und Zentral-Controller. Eine individuell gestaltete Berichtsoberfläche bietet neben den operativen Berichten ein auf das Wesentliche konzentriertes Risikoreporting. Über die festgelegten Schwellenwerte je Berichtseinheit/ Berichtsebene kann aus einer generellen Konzernübersicht bis in die Detailinformationen
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
91
je Risiko verzweigt werden. Der wichtigste Aspekt ist hierbei die transparente Darstellung der Risikoeinflüsse auf die GuV, konkret das EBT, sowie die Auswahl der Aggregationsebene. Es werden, neben Risikoadjustierungen der Planung und des Forecast, die Risiken dargestellt, welche nicht zu einer Risikoadjustierung geführt haben. Teil des Berichtswesens sind auch grafische Darstellungen, wie z. B. das Risikoportfolio bzw. die Risikomatrix, die zusätzliche Analysemöglichkeiten bieten. Die Zukunft des Risikomanagements der BLG LOGISTICS GROUP liegt einerseits in seiner technisch weiterzuentwickelnden und vollständigen Integration in die Steuerungs- und Berichtssysteme des Konzerns einerseits und andererseits in der zielorientierten Nutzung der Informationen aus dem Risikomanagement im Sinne einer Risikominimierung. Die Ausweitung auf komplexere Analyse- und Simulationsmethoden gehört ebenso zu den Zielsetzungen im Prozess der Weiterentwicklung des Risikomanagementsystems wie verschiedene zusätzliche Darstellungs- und Berichtsvarianten sowie die Berücksichtigung der Risiken in Bezug auf weitere GuV-, Bilanz- und Cashflow-Positionen.
Integriertes Chancen- und Risikomanagement bei der BMW Group
Holger Sommerfeld, Elmar Steurer BMW Group
1
Ausgangslage und Zielsetzung
Die BMW Group gehört zu den zehn größten Automobilherstellern weltweit und verfügt mit ihren Marken BMW, MINI und Rolls-Royce über drei der stärksten Premiummarken in der Automobilbranche. Zudem hat das Unternehmen eine starke Marktposition im Motorradgeschäft und ist auch im Geschäft mit Finanzdienstleistungen erfolgreich.43 Die Modelloffensive und das daraus resultierende Wachstum innerhalb der vergangenen Jahre ist die strategische Antwort auf wettbewerbliche Veränderungen in der Automobilindustrie. In Folge dessen ist die BMW Group in den vergangenen Jahren stark gewachsen. Vor diesem Hintergrund ist die BMW Group einer Vielzahl von Chancen und Risiken ausgesetzt. Neben Schwankungen von Währungen, Zinsen und Rohstoffpreisen können auch steigende Komplexitäten und kürzere Innovationszyklen im Fahrzeugbau sowie ein zunehmender Wettbewerbsdruck auf den internationalen Absatzmärkten zu einer wachsenden Volatilität von Ergebnissen führen. Die BMW Group betreibt ein konzernweites Risikomanagement, um auf veränderliche Wettbewerbs- und Umweltbedingungen vorbereitet zu sein sowie eine nachhaltige Wertschöpfung im Unternehmen sicherzustellen. Die Forderung an das Risikomanagement ist daher, Risiken im Unternehmen vergleichbar zu machen und durch die Aggregation über alle Risi43
Vgl. BMW Group 2006, S 2
94
Holger Sommerfeld, Elmar Steurer
koarten und Geschäftsfelder hinweg Ergebnispotenziale optimal auszuschöpfen. Im betriebwirtschaftlichen Kontext ist es zweckmäßig, das Risiko einer Handlungsmöglichkeit durch die Wahrscheinlichkeitsverteilung ihrer potenziellen Ergebnisse zu beschreiben.44 Die Wahrscheinlichkeitsverteilung enthält alle für eine Entscheidung möglichen Tatbestände. Die Entscheidungstheorie hat eine ganze Reihe von operationalen Maßgrößen, wie z. B. Erwartungswert und Standardabweichung, zur Beschreibung des Risikos entwickelt. Den Risiken werden häufig Chancen als positive Ergebnisschwankungen gegenübergestellt. Dabei unterscheiden sich beide Ausprägungen einer Wahrscheinlichkeitsverteilung von Ergebnisschwankungen nur in der Festlegung des Nullpunktes für Gewinne und Verluste: Die Chance ist die Kehrseite der Risikomedaille.45 Das integrierte Risikomanagement bei BMW quantifiziert Chancen und Risiken anhand ihrer Cashflow-Effekte und berücksichtigt bei der Aggregation über alle Unternehmensbereiche hinweg die zwischen den Chancen- und Risikotreibern bestehenden Wirkungszusammenhänge in Form von Korrelationsmatrizen. Diese Methodik ermöglicht ein Abwägen und Steuern auf den verschiedenen Entscheidungsebenen unterhalb des Vorstands, insbesondere: • die Erfassung der gesamten Chancen-/Risikosituation des Unternehmens, • eine Vermeidung von Chancen-/Risikodopplung sowie Identifikation von „Natural Hedges“, • die Unterstützung bei der Risikokapitalallokation und bei Investitionsentscheidungen. Darüber hinaus stärkt ein integriertes Chancen- und Risikomanagement im Unternehmen das Bewusstsein zur Begrenzung von negativen Ergebnisschwankungen und zur Wahrnehmung von Chancen.
2
Integration von Risiken im Unternehmen
Die BMW Group verfolgt einen integrativen Risikomanagementansatz, der sämtliche relevante Chancen und Risiken über alle Geschäftsfelder hinweg einbezieht und auf allen organisatorischen Ebenen verankert ist. Der Risikobegriff wird innerhalb des bei der BMW Group gewählten Ansatzes 44 45
Vgl. Karten 1972, S 152 Vgl. Karten 1972, S 163
Integriertes Chancen- und Risikomanagement bei der BMW Group
95
finanzwirtschaftlich-statistisch aufgefasst, d. h. Risiko wird als Abweichung von einem Planwert interpretiert. In eine Risikoquantifizierung gehen entsprechend sowohl positive als auch negative Abweichungen ein. Als Folgerung hieraus ist das Chancen- und Risikomanagement deutlich mehr als nur eine Rechenmethodik. Vielmehr besteht es aus unterschiedlichen organisatorischen, prozessualen und methodischen Komponenten, die in einen Gesamtansatz zusammengefasst sind und in die Planungs- und Steuerungswelt der BMW Group integriert werden. Die systematische Erfassung und Bewertung von Chancen und Risiken aggregiert und reflektiert das Wissen, die Einschätzungen und die Erwartungen der Mitarbeiter sowie externer Quellen. Hierdurch soll das frühzeitige Erkennen von Chancen und Risiken sowie die Entscheidung über deren Eingehen weiter gefördert werden. Auf Einzelprojektebene liefert das Chancen- und Risikomanagement einen Mehrwert im Hinblick auf die Entscheidungsunterstützung durch Quantifizierung der möglichen betriebswirtschaftlichen Ergebnisse sowie die laufende Steuerung des Projektes. Auf Gesamtunternehmensebene stehen die Sicherstellung der Unternehmensexistenz sowie die optimale Risikokapitalallokation im Fokus. Zur Identifikation, Bewertung und Dokumentation von Risiken verwendet die BMW Group ein detailliertes Risikomanagementsystem, das durch die folgenden Schritte gekennzeichnet ist: • Entscheidungen werden auf Basis von Projektvorlagen getroffen, in denen Chancen und Risiken qualitativ dargestellt sind. Im Rahmen der langfristigen Unternehmensplanung, der jährlichen sowie der unterjährigen Planung werden Chancen und Risiken von Geschäftsaktivitäten beurteilt und Zielerreichungs- und Risikobegrenzungsmaßnahmen abgeleitet. • Über das konzernweite Berichtssystem werden Entscheidungsträger rasch und umfassend über den Grad der Zielerreichung informiert. • Ein konzernweites Netzwerk von Risikobeauftragten führt regelmäßige Risikoerhebungen durch, in denen alle wesentlichen Risiken identifiziert und bewertet werden.
96
Holger Sommerfeld, Elmar Steurer
In vielen Risikomanagementsystemen dominiert nach wie vor der Blick auf das Verlustpotenzial von Risiken. Folglich rückt die Risikovermeidung in den Vordergrund. Anders ist jedoch der Blickwinkel der Entscheidungsträger. Der unternehmerische Blick konzentriert sich auf die Chancennutzung bei aktiver Kontrolle von akzeptierten Risiken. Mindestanspruch an ein integriertes Chancen- und Risikomanagement ist daher, dass Risikoaspekte und Wertschöpfungspotenziale gegeneinander abgewogen werden. Die verschiedenen Risikoarten sind je nach ihrer organisatorischen Verankerung zu integrieren. Es geht darum, zentral koordinierte Risiken aus einer Top-Down Perspektive mit dezentral gesteuerten Risiken im Sinne eines Bottom-Up Ansatzes einheitlich zusammen zu führen und zu bewerten (vgl. Abb. 22). Die Koordination von zentral und dezentral gesteuerten Risiken erfolgt dabei in unterschiedlicher Ausprägung der drei Risikoarten. Die strategischen Risiken werden maßgeblich durch die Preis- und Volumeneffekte auf den weltweiten Absatzmärkten geprägt. Beispielsweise kann die Eintrittsstrategie für einen neuen Absatzmarkt mit ihren Auswirkungen auf andere Risiko- und Chancentreiber ergänzend zum Controlling und zur Unternehmensstrategie durch die Risikomanagementfunktion erfasst und bewertet werden. Für die operativen Risiken lässt sich festhalten, dass diese sowohl zentral als auch dezentral gesteuert, grundsätzlich aber selten bezüglich ihrer monetären Auswirkungen stringent bewertet werden. In der BMW Group werden alle wichtigen operativen Risiken, wie z. B. mögliche Probleme bei der Auswahl von Lieferanten oder Bewertung der Konsequenzen von Betriebsunterbrechungen, entweder vom Risikomanagement oder von der zuständigen Fachfunktion mit Unterstützung des Risikomanagements bewertet. Kennzeichnend für diese Art von Risiken ist, dass sie oft versicherbar sind. Der wesentliche Beitrag eines zentralen Chancen- und Risikomanagements ist daher für die Unternehmenssteuerung, die Höhe des Selbstbehalts auf Basis einer aggregierten Gesamtbetrachtung aller Risiken festzulegen. Die Finanzrisiken werden von Industriekonzernen üblicherweise auf zentraler Ebene abgedeckt. Dies erstreckt sich über einheitliche Richtlinien für Finanzgeschäfte, die Nutzung von „Natural Hedge“-Möglichkeiten, wie dem weltweiten Einkauf von Material und Anlagen bei exportorientierten Unternehmen, bis hin zum Einsatz derivativer Finanzinstrumente.
Integriertes Chancen- und Risikomanagement bei der BMW Group
97
Vorgehensweise
Risikoarten
Top-Down Operative Risiken
Finanzrisiken ABS Financing at BM W
Strategische Risiken
Bottom-Up
Abb. 22. Integriertes Risikomanagement
Der systematische und professionelle Umgang mit allen Risikoarten ist für die Wettbewerbsfähigkeit eines Unternehmens von entscheidender Bedeutung. Dabei geht es nicht allein um die systematische Abarbeitung von Regelungskatalogen, sondern um die Optimierung des übergreifenden Chancen-/Risikoprofils. Dadurch kann das integrierte Risikomanagement auch einen positiven Beitrag zur Steigerung des Unternehmenswerts liefern.46 Aus diesem Anspruch heraus lassen sich unterschiedliche Perspektiven für die Zielsetzung eines integrierten Risikomanagements ableiten, die sich aber grundsätzlich auf die drei Dimensionen „Einheitliches Verständnis“, „Risikoarten“ und „Methoden“ beziehen (vgl. Abb. 23).
46
Vgl. Pfennig 2000, S 1296
98
Holger Sommerfeld, Elmar Steurer
Dimension 1
Einheitliches Verständnis Chancen und Risiken werden in standardisierter Form durchgängig in allen Planungs-, Entscheidungs- und Steuerungsprozessen geführt.
Dimension 2
Risikoarten Integration von Finanzrisiken, operativen und strategischen Risiken.
Dimension 3
M ethoden Verknüpfung mit Zielsystem und Entscheidungsunterstützung.
Abb. 23. Dimensionen des integrierten Risikomanagements
Das Ziel eines integrierten Chancen- und Risikomanagements ist somit, eine verlässliche Risikoaggregation über mehrere Risikoarten, die Unternehmensressorts und die verschiedenen Geschäftsfelder hinweg durchzuführen.
3
Organisation des Chancen- und Risikomanagements
Die BMW Group ist von einem hohen Maß an dezentraler Verantwortung geprägt. Dieses Prinzip spiegelt sich auch in der Umsetzung des Chancenund Risikomanagements wider. Die organisatorische Gestaltung bei der Umsetzung und Implementierung erfolgte unter Bewertung der folgenden Kriterien: • Erfassung aller relevanter Chancen und Risiken sowie dem Know-How für die Bewertung derselben, • effiziente Umsetzung unter Vermeidung nicht unbedingt notwendiger zusätzlicher Schnittstellen, • Integration in den bestehenden betriebswirtschaftlichen Managementansatz, da das Chancen- und Risikomanagement ein elementarer Bestandteil der finanziellen Steuerung ist, • „Check and Balance“ sowohl hinsichtlich der Bewertung als auch der Einhaltung der Risikonahmestrategie und – im operativen Doing – Einhaltung der allokierten Risikokapitalbudgets.
Integriertes Chancen- und Risikomanagement bei der BMW Group
99
Ein wesentliches Element der Umsetzung ist das Risikonetzwerk. Die Netzwerkpartner haben je nach Position im Netzwerk unterschiedliche Aufgaben. Die Zusammenarbeit basiert auf gegenseitigem Vertrauen, enthält jedoch auch Elemente, die einen möglichen Interessenkonflikt bei der Chancen- und Risikobewertung zu kompensieren suchen. Das Netzwerk umfasst weiterhin Fachstellen, die sich mit einzelnen Risikoarten spezialisiert beschäftigen, wie z. B. Unternehmensversicherungsgeschäft, Informationsschutz, Ressort-IT-Stellen und operative Abteilungen mit Risikomanagementaufgaben (wie Financial Services), Projektverantwortliche bei der Fahrzeugentwicklung, im Treasury sowie bei Planungs- und Monitoringstellen. Bei der Definition und dem Management des Netzwerks wurde auf die Erfahrungen und Strukturen zurückgegriffen, die im Rahmen der Umsetzung des KonTraG gesammelt bzw. aufgebaut wurden. Das Netzwerk hat im Wesentlichen die Aufgabe der Identifikation von Chancen und Risiken und deren Bewertung. An das Controlling wurden zusätzlich zum bisherigen Tätigkeitsfeld der betriebswirtschaftlichen Steuerung die Aufgaben und Kompetenzen übertragen, gemeinsam mit den jeweiligen relevanten und betroffenen Fachstellen die Chancen- und Risikobewertungen durchzuführen. Die Erstellung einer betriebswirtschaftlichen Ergebnisplanung geht mit der Chancenund Risikobewertung einher, da i.d.R. die gleichen Fachstellen bei der Business Case-Erstellung und der Chancen- und Risikobewertung involviert sind. Während ein Planstand den aus aktueller Sicht wahrscheinlichsten Fall zu beschreiben versucht, quantifiziert die Chancen- und Risikobewertung die möglichen Bandbreiten der einzelnen Faktoren und in der Aggregation auch die Bandbreite des Gesamtergebnisses. Alle genannten Stellen sind weitestgehend in den dezentralen Risikomanagementkreislauf involviert, der die Identifikation, Bewertung und Aggregation auf Business Case-Ebene sowie die Umsetzung von Risikomanagementmaßnahmen auf Projektebene umfasst. Die zentrale Stelle Chancen- und Risikomanagement betreibt und koordiniert insbesondere den zentralen Risikomanagementkreislauf und hat eine ordnungspolitische Funktion inne. In dieser Abteilung wird die Gesamtunternehmenssicht verantwortet und weiterentwickelt. Hierzu gehören die Bestimmung der Risikotragfähigkeit und die Entscheidungsvorbereitung über das maximal einzugehende Risiko, die Risikonahmestrategie und die Risikokapitalallokation. Die Chancen- und Risikomanagement-Stelle hat die Aufgabe, innerhalb des vom Vorstand gesetzten Rahmens die Risikolimite zu überwachen, risikoreduzierende Maßnahmen einzufordern und Ansätze der Risikoreduktion vorzuschlagen. Sie besitzt die Methodenhoheit und bestimmt die Bewertungs- und Aggregationsmethodik sowie die zu berücksichtigenden Chancen-Risikocluster. Dies ist Voraussetzung
100
Holger Sommerfeld, Elmar Steurer
dafür, die Aggregation über unterschiedliche Investitionsvorhaben und Risikoarten zu ermöglichen. Über die Ergebnisse sämtlicher Chancen- und Risikobewertungen wird die Stelle informiert, um auf dieser Basis die Aggregation der in den einzelnen Bereichen ermittelten Chancen und Risiken vorzunehmen. Darüber hinaus werden durch den Quervergleich und die Kumulation des Wissens eine hohe Qualität und Vergleichbarkeit der Chancen- und Risikobewertungen sichergestellt. Es wird hierdurch eine Art Vier-Augen-Prinzip umgesetzt. Inhaltlich zusammenhängend mit der Methodenhoheit ist die Coachingfunktion, welche als zentraler Ansprechpartner für die Durchführung und Weiterentwicklung der Chancen- und Risikobewertungen wahrgenommen wird. Dadurch, dass strategische Chancen und Risiken im Vorstand und in Bereichsleitergremien diskutiert werden, sind auch diese Ebenen mit Aufgaben des Chancen- und Risikomanagements betraut. Dies zeigt, dass das Chancen- und Risikomanagement ein unternehmensweiter Ansatz ist, nicht nur eine Aufgabe, auf die eine Stabsabteilung allein fokussiert ist. Die Entscheidung über die Risikonahmestrategie und die Höhe des Risikokapitals im Verhältnis zur Risikotragfähigkeit kann und muss vom Vorstand getroffen werden.
4
Umsetzung des Risikomanagements in Unternehmensbereichen
Im Folgenden wird aufgezeigt, wie die im Finanzbereich angewandte Methodik zum Management von finanziellen Risiken auch beim Management von Fahrzeugprojekten einen Wertbeitrag leistet. 4.1 Integriertes Management von finanziellen Risiken
Preisschwankungen an den weltweiten Devisen-, Geld- und Kapital- sowie Rohstoffmärkten haben nicht nur Auswirkungen auf das Ergebnis im Fahrzeuggeschäft, sondern auch der Financial Service Aktivitäten der BMW Group. Da rund 50 % der Konzernumsätze außerhalb des Euro-Währungsraumes anfallen und die Beschaffung des Produktionsmaterials und der Finanzmittel ebenfalls weltweit erfolgt, hat das Währungsrisiko eine erhebliche Bedeutung für das Unternehmensergebnis. Veränderungen des Zinssatzes bestimmen den Erfolg des Asset Managements im Pensionsgeschäft und wirken sich direkt auf das Zinsergebnis aus. Bonitätsrisiken von Kunden und Lieferanten sowie Restwertrisiken aus dem Leasinggeschäft des Financial Services ergänzen das Portfolio der finanziellen Risiken des
Integriertes Chancen- und Risikomanagement bei der BMW Group
101
Unternehmens. Entsprechend dem definierten Verständnis von Risiko als einer Zufallsvariable werden die Auswirkungen dieser finanziellen Risiken auf die unternehmerischen Cashflows als Wahrscheinlichkeitsverteilungen dargestellt. Die Fülle der vorhandenen statistischen Daten zu den Veränderungen von Finanzmarktparametern bzw. die großen Kundenportfolien im Bankgeschäft des Unternehmens ermöglichen objektive Abschätzungen der jeweiligen Wahrscheinlichkeitsverteilungen. Der integrierte Risikomanagementansatz macht sich die unterschiedlich ausgeprägten Wechselwirkungen zwischen einzelnen finanziellen Risiken zu Nutze, indem die Wahrscheinlichkeitsverteilungen der Cashflows nicht einfach addiert, sondern aggregiert werden.47 Die Aggregation von Zufallsvariablen führt bei Korrelationsbeziehungen kleiner 1 zu einer Dämpfung des Risikos der gesamten Wahrscheinlichkeitsverteilung, d. h. die Standardabweichung der neuen Verteilung ist kleiner als die Summe der einzelnen Standardabweichungen. Bei den finanziellen Risiken der BMW Group hat sich gezeigt, dass der aggregierte Cashflow-at-Risk bis zu einem Drittel niedriger ist als der aufsummierte Cashflow-at-Risk. Das führt entweder zu einer entsprechenden Reduzierung des erforderlichen Risikokapitals oder bei gleich bleibendem Risikokapital können zusätzliche Ergebnischancen wahrgenommen werden. Hier wird der Wertbeitrag eines integrierten Steuerungsansatzes für das Unternehmen besonders deutlich. Maßnahmen zur Risikominderung oder zum Risikotransfer führen daher auch zu geringeren Kosten für das Unternehmen im Vergleich zu einer Politik, die auf das Management einzelner Risiken abstellt. 4.2 Integriertes Risikomanagement in Fahrzeugprojekten
Die für die Aktivitäten im Finanzbereich erfolgreich eingesetzten Methoden des Risikomanagements eignen sich grundsätzlich auch für alle anderen Risikoarten im Unternehmen, sofern Wahrscheinlichkeitsverteilungen von Cashflows ermittelt werden können. Zur Steigerung des Unternehmenswertes müssen alle Fahrzeugprojekte einen positiven Wertbeitrag leisten. Dieser wird anhand einer dynamischen Cashflow-Rechnung über den gesamten Lebenszyklus des Projektes als Barwert ermittelt. Das integrierte Risikomanagement in der BMW Group dient dabei der Entscheidungsunterstützung auf selektiver Basis, um einen möglichen Handlungsbedarf rechtzeitig zu identifizieren. Ein neues Fahrzeugmodell wird hinsichtlich der relevanten Chancen- und Risikofaktoren 47
So genannter Portfolioeffekt, vgl. auch Markowitz 1952
102
Holger Sommerfeld, Elmar Steurer
auf den Prüfstand gestellt, indem die entsprechenden Wahrscheinlichkeitsverteilungen der Cashflows den Zusammenhang zwischen Rendite und Chancen bzw. Risiken transparent machen. Denn Fahrzeugprojekte sind, obwohl sie die gleiche Rendite erwarten lassen, durchaus unterschiedlichen Ergebnisvolatilitäten ausgesetzt. Als Standard hat sich bei BMW eine Bewertung auf Basis der drei Chancen-Risikofelder Fahrzeugeigenschaften, Prozesse und Marktumfeld entwickelt, um potenzielle Chancen- und Risikofaktoren zu identifizieren und zu priorisieren (vgl. Abb. 24). Risikomanagementsysteme nutzen dabei möglichst die vorhandenen Organisations- und Berichtsstrukturen des Unternehmens. Daher spiegelt sich in dieser Aufteilung im Wesentlichen auch die organisatorische Zuständigkeit der jeweiligen Fachbereiche für die Risiken wider. Die Verantwortung des Vertriebs liegt vor allem in der Beurteilung der für das Marktumfeld relevanten Risiken. Die bei Prozessen auftretenden Risiken sind größtenteils im Bereich der Fertigung zu finden. Aus Marktanforderungen und Fertigungstechnologien lassen sich die Anforderungen für die Fahrzeugeigenschaften ableiten. Risiken in diesem Umfeld sind dann überwiegend im Bereich der Entwicklung angesiedelt. Fahrleistungen Fahreigenschaften Komfort Cost of Ownership Qualit ät Zuverl ässigkeit CO2 Lieferantenstruktur
Fahrzeug eigen schaften ABS Financing at BMW
Mega - Events Globale Chancen/Risiken
Prozesse
Fremdvergabe Out - Sourcing Innovationen Fertigungstechnik Standorte
Chance/ Risiko
Marktumfeld
Wettbewerber Design/Image Substitution Antrieb Interieur
Abb. 24. Chancen- und Risikofelder bei Fahrzeugprojekten
Die Notwendigkeit zur Erstellung eines Chancen-/Risikoprofils von Fahrzeugentwicklungen ist zu Beginn des Produktentstehungsprozesses am höchsten, um Fehleinschätzungen zu verringern. Die Aussagekraft ist jedoch umso geringer, je länger die zeitliche Vorlaufzeit bis zum Produktionsstart ist. Der Mehrwert des Konzepts ist dadurch gegeben, dass eine Entscheidungshilfe zur strukturierten und rechtzeitigen Abwägung von
Integriertes Chancen- und Risikomanagement bei der BMW Group
103
Chancen und Risiken geboten wird. Damit wird gewährleistet, dass Produktentwicklungen in einer Gesamtschau von Unternehmensstrategie und kostengünstiger Herstellung erfolgen. Die Erstellung eines Chancen-/Risikoprofils für ein Fahrzeugprojekt erfolgt in den vier Stufen Identifikation, Bewertung, Quantifizierung und Aggregation (vgl. Abb. 25). Für die relevanten Chancen-/Risikofaktoren (Stufe 1) werden Szenarien für positive und negative Abweichungen beschrieben, die mit Eintrittswahrscheinlichkeiten bewertet werden (Stufe 2). Anschließend werden diese Szenarien hinsichtlich ihrer monetären Auswirkung als Abweichung vom Planwert quantifiziert (Stufe 3). Die Aggregation aller Risikofaktoren mittels Simulationstechnik unter Berücksichtigung einer Korrelationsmatrix ergibt eine Wahrscheinlichkeitsverteilung der Cashflows (Stufe 4). Als Risikomaße erhält man dann den Erwartungswert dieser Verteilung sowie den aggregierten Cashflow-at-Risk (CFaR) bzw. den aggregierten Cashflow-at-Chance (CFaC). Sie verdeutlichen die möglichen Schwankungen der Cashflows aus dem Fahrzeugprojekt um den Planwert. Der Abgleich zwischen dem Erwartungswert und dem Planwert gibt einen Hinweis auf vorhandene Puffer in der Projektplanung. Die Qualität des Chancen-/Risikoprofils ist durch eine möglichst objektive Datengrundlage zu gewährleisten. Hierzu dienen Markterfahrungen in Form von Statistiken, Auswertungen von Industrie- und Verbraucherverbänden sowie quantitative Markterwartungen auf Basis von ökonometrischen Modellen oder Prognosen. Die Aussagefähigkeit wird erhöht, wenn im Unternehmen historische Daten, wie z. B. eingetretene Schäden, in Schadensdatenbanken zur Verfügung stehen. Kennzeichnend für den Datenerhebungsprozess in der Praxis ist jedoch, dass oft keine Historie verfügbar ist. Der Input besteht daher aus einem Mix zwischen historischen (objektiven) sowie subjektiven Einschätzungen. Zur Plausibilisierung dieser individuellen Schätzungen dient eine Durchschnittsbildung der Abschätzungen von Experten aus verschiedenen Fachbereichen. Dazu zählen neben den Experten des jeweiligen Fachbereichs auch Vertreter des Controllings, des Risikomanagements und der konzernstrategischen Abteilungen. Faktisch haben diese Treffen die Funktion, die notwendigen Kompromisse zwischen Risikoeinschätzungen und geschäftspolitischen Gesichtspunkten herbeizuführen. Durch die Chancenund Risikobewertung lässt sich der geplante Verlauf der Aufwendungen, insbesondere der Investitionen und Entwicklungskosten, sowie der Erträge über den Verkauf der Fahrzeugvolumina mit einer Bandbreite unterlegen. Diese verdeutlicht die maximalen Schwankungen der geplanten Cashflows im Sinne von zulässigen negativen und positiven Abweichungen von den Planwerten.
104
Holger Sommerfeld, Elmar Steurer
Aggregation
Quantifizierung
Bewertung
Identifikation
Risiko Wahrscheinlichkeit
Chance
Plan
Ermitteln und Priorisieren von Chance - und Risikofaktoren
Ermitteln von Eintrittswahrscheinlichkeiten f ü r worst case , Plan und best case
Negative Abweichungen
Positive Abweichungen
Quantifizierung der Auswirkung CFaR Planwert Erwartungswert
Wirkungszusammenhänge und Aggregation
CFaC
Auswirkung [Cashflow]
Darstellung • für einzelne Chancen/Risiko-Faktoren • für Gesamtobjekt in standardisierter Form
Abb. 25. Ermittlung des Chancen-/Risikoprofils bei Fahrzeugprojekten
Ein zusätzlicher Mehrwert wird durch die Erstellung eines Chancen-/ Risikoprofils geschaffen, indem die Bewertung im Zeitablauf der Entwicklung zu ausgewählten Zeitpunkten vorgenommen werden kann. Dies trägt zur Entscheidungsunterstützung für die Ressourcenallokation, insbesondere bei Prozessthemen im Bereich der Fahrzeugentwicklung, bei. Ökonomischen Nutzen entfaltet solch ein Chancen-/Risikoprofil, wenn die zusätzlich vorhandenen Informationen über die Chancen und Risiken des Fahrzeugprojekts auch zur Optimierung der Kosten des Risikomanagements genutzt werden. Die Entwicklung eines Fahrzeugs ist zwangsläufig mit dem Eingehen von Risiken verbunden. Daher geht es keinesfalls nur um die Verbannung sämtlicher Risiken aus dem Projekt. Vielmehr soll das Chancen-/Risikoprofil optimiert werden. In diesem Sinne lassen sich die Ergebnisse der Chancen- und Risikobewertung für ein Fahrzeugprojekt in Aussagen zu den Nutzenpotenzialen überführen: • frühzeitiges Erkennen wichtiger Risiko- und Werttreiber, • ausgewogenes Abwägen von Chancen und Risiken bei Investitionsentscheidungen, • Begrenzung teurer Eskalationsprozesse, • frühzeitiges Ergreifen gezielter Maßnahmen zur Risikobegrenzung, • erhöhte Effizienz beim Ressourceneinsatz. Bei einem Einsatz über das gesamte Fahrzeugportfolio hinweg kann das Risiko gezielt über den Risiko- und Renditebeitrag zum Unternehmenser-
Integriertes Chancen- und Risikomanagement bei der BMW Group
105
gebnis einzelner Fahrzeugprojekte, unter Berücksichtigung von Substitution und Markenbeitragskomponenten, optimiert werden – analog zur Vorgehensweise eines Portfoliomanagers bei der Allokation der ihm zur Verfügung stehenden Investmenttitel.
5
Aggregation von Chancen- und Risiken als Basis zur Steuerung des Risikokapitals
Die Quantifizierung aller Finanzrisiken, operativen Risiken und strategischen Risiken als Zufallsvariable und ihre segmentspezifische Aggregation ist idealtypisch natürlich über das gesamte Unternehmen vorstellbar. Die Aggregation der Risiken unter Berücksichtigung ihrer Wechselwirkungen definiert dann die Gesamtrisikoposition des Unternehmens. Daran gemessen wird auch die relative Bedeutung bestimmter Einzelrisiken deutlich. Die damit verbundenen methodischen Herausforderungen, insbesondere die komplexen Berechnungsverfahren und die Grenzen bei der Bestimmung notwendiger Parameter, sowie die Voraussetzung einer Aussage zur gerade noch zulässigen Risikotragfähigkeit unterstreichen die Bedeutung eines kompetenten Chancen- und Risikomanagements im Unternehmen. Aus der so ermittelten Gesamtverteilung kann der Cash-Flow-at-Risk für das Unternehmen als ein „realistic worst-case“ Ereignis bestimmt werden, das mit einer definierten Wahrscheinlichkeit innerhalb eines bestimmten Planungszeitraumes nicht überschritten wird. Mit dem aggregierten Chancen-/Risikopofil auf unternehmensübergreifender Sicht liegt eine wesentliche Basis für die Unterstützung der betriebswirtschaftlichen Unternehmenssteuerung vor. Auf der zentralen Ebene werden über den Chancen- und Risikomanagementansatz die Risikonahmestrategie der BMW Group, wesentliche relevante Faktoren für die Bestimmung der Höhe des Risiko- und das Eigenkapital (und somit die Kapitalstruktur) determiniert. Des Weiteren ist aus zentraler Sicht die Allokation des Risikokapitals zu steuern und die Einhaltung der Risikolimite zu monitoren und ggf. einzufordern. Die Risikotragfähigkeit wird wesentlich vom ökonomischen Eigenkapital eines Unternehmens (als primäre Verlustdeckungsmasse, vereinfacht als bilanzielles Eigenkapital zzgl. Reserven ermittelbar) determiniert. Die Festlegung der Risikonahmestrategie und damit des Anteils der Risikotragfähigkeit, der als Risikokapital zur Abdeckung unternehmerischer Risiken verwendet werden soll, ist von der Unternehmensführung festzulegen (vgl. Abb. 26). Dabei spielen nicht nur die persönliche Risikobereitschaft der Entscheidungsträger, sondern auch z. B. die bestehende Bonität, die Bran-
106
Holger Sommerfeld, Elmar Steurer
che und die Wettbewerbsintensität eine Rolle. Aus der Festlegung der Höhe der Risikotoleranz mittels Konfidenzniveau lässt sich ableiten, inwieweit das Unternehmen willens und fähig ist, Unterschreitungen des Cashflows bis zu der durch das Konfidenzniveau gegebenen Wahrscheinlichkeit aufzufangen. Es sollen neben dem bestandsgefährdenden Ausfall der Bedienung des Schuldendienstes auch weitere wesentliche Vorhaben des Unternehmens wie geplante Investitionen, Dividenden, Pensionsverpflichtungen und Tantiemen abgesichert werden. Auf Basis eines industrieüblichen Konfidenzniveaus von beispielsweise 95 % lassen sich für die Steuerung der einzelnen Risikoarten Risikolimite in Form von Cashflow-at-Risk Begrenzungen definieren. Das dann noch „offene“ Risiko von 5 % wird durch das Risikokapital nicht abgedeckt. Je nach der Verfügbarkeit von Risikokapital bzw. der erlaubten Risikotoleranz für das einzelne Risiko werden Maßnahmen zum Risikotransfer, wie z. B. Termingeschäfte oder Optionen, eingeleitet bzw. die Risikoposition ausgeweitet, um zusätzliche Chancenpotenziale zur Wertgenerierung wahrzunehmen. Wahrscheinlichkeit Geplante Investitionen werden gekürzt
Mindest Cashflow
Kürzung der Tantiemen
Kürzung der Dividende Mögliches Übernahmeziel Bedienung des Schuldendienstes wird eingestellt Risikotoleranz
Mindest Cashflow = Schuldendienst + Investitionen + Dividenden + Pensionsverpflichtungen
Risikoquantifizierung in zwei Schritten: 1. Festlegung der maximal akzeptablen Unterschreitungswahrscheinlichkeit (=Risikotoleranz) 2. Ermittlung des erforderlichen Risikokapitals um Unterschreitungen des Cashflow bis zur in 1.) genannten Wahrscheinlichkeit auffangen zu können
€ Cashflow Planwert Cashflow Risikokapital
Abb. 26. Festlegung des Risikokapitals und der Risikotoleranz
Die Risikokapitalallokation ist eine der zentralen Aufgaben für die betriebswirtschaftliche Steuerung eines Unternehmens. Über sie wird festgelegt, wie das von den Shareholdern zur Verfügung gestellte Eigenkapital in unterschiedlichen Aktivitäten der BMW Group verwendet wird. Die Steuerung über die Risikokapitalallokation hat auch zur Folge, dass Renditeansprüche an Investitionsvorhaben nicht am WACC (durchschnittliche Gesamtkapitalkosten) gemessen werden, sondern über den notwendi-
Integriertes Chancen- und Risikomanagement bei der BMW Group
107
gen Risikokapitalbedarf projektindividuell und damit mittels ihres Beitrags zum Risikoprofil des Gesamtunternehmens formuliert werden. Dies erfordert die Festlegung risikoadjustierter Renditeansprüche. Grundsätzlich besteht der Anspruch auf das Eigenkapital eine entsprechende Rendite zu erwirtschaften. Je nach Verhältnis von Eigenkapital zu allokiertem Risikokapital weicht die Eigenkapitalrenditeforderung vom Verzinsungsanspruch auf das Risikokapital (über Kennzahlen wie dem RORAC ausgedrückt) ab. Risikonahmestrategie, Risikokapitalallokation und Renditeanspruch sind grundsätzliche geschäftspolitische Entscheidungen und damit auf Vorstandsebene zu treffen. Die Analyse möglicher Abhängigkeiten von einzelnen Chancen-/Risikofaktoren über das Gesamtunternehmen ermöglicht auch die Identifikation von Klumpenrisiken. Eine Veränderung des zugrunde liegenden Faktors hätte eine starke Auswirkung auf die Vermögensposition. Für derartige Risiken wäre im Rahmen der Kapitalallokation entsprechend überproportional viel Risikokapital vorzuhalten. Ob dies beabsichtigt ist, ist eine strategische und geschäftspolitische Fragestellung. Ein derartiges Chancen-/ Risikoprofil ist Voraussetzung für dessen Optimierung. Diese führt zu einer Verbesserung des Verhältnisses von erwarteter Rendite zu eingegangenem Risiko. Durch die Identifikation von Klumpenrisiken wird aufgezeigt, in welchen Bereichen die größten Risiken des Konzerns liegen, um durch geeignete Maßnahmen gegensteuern zu können. Eine Reihe von Risikotransfermaßnahmen zur Steuerung des Chancen-/ Risikoprofils hat einen projektübergreifenden Charakter (wie z. B. der Abschluss von Versicherungen, Währungssicherungsgeschäfte, Vertragsgestaltung mit Lieferanten). Die Frage über den Risikobehalt oder Risikotransfer ist damit ein weiterer Steuerungsimpuls auf Gesamtunternehmensebene. Die Steuerungsimpulse aus dem dezentralen Risikomanagementkreislauf resultieren sowohl aus der Berechnung von Bandbreiten auf Einzelprojektebene als auch aus den Prozessen der Identifikation und Bewertung von Risiken. Auf Einzelprojektebene führt die Chancen- und Risikobewertung zu einer Identifikation der wesentlichen Chancen- und Risikotreiber in bewerteter Form. Sie dient zur Entscheidungsunterstützung der jeweiligen Entscheiderebene, da Chancen und Risiken, d. h. mögliche Ergebnisse und Zielanspannungen, in aggregierter und verständlicher Art dargestellt werden. So ist aus einem Abgleich von der Bandbreite des betriebswirtschaftlichen Ergebnisses und dem Zielwert der Zielanspannungsgrad im Rahmen der gegebenen Strukturen und Projektinhalte ablesbar. Auf dieser Basis können von den dezentralen Riskownern Maßnahmen definiert werden, um Risiken abzumildern und/oder Chancen zu heben. Die Ressourcenallokation auf Einzelprojektebene kann aus einem Ab-
108
Holger Sommerfeld, Elmar Steurer
gleich des ermittelten mit dem gewünschten Chancen-/Risikoprofil abgeleitet werden. Folglich ist die Chancen- und Risikobewertung keine einmalige Analyse, sondern vielmehr ein Monitoring- und Reportinginstrument, das durch eine regelmäßige Aktualisierung zur Unterstützung der Zielerreichung dient. Die Durchführung bzw. Aktualisierung der Chancen- und Risikobewertung fördert die bereichsübergreifende Sicht und hat dadurch eine Qualitätsverbesserung der Planung zur Folge. In diesem Zusammenhang ist darauf hinzuweisen, dass über die Chancen- und Risikobewertung auch die geforderte Flexibilität in vor- und nachgelagerten Wertschöpfungsstufen quantifiziert wird. Wenn z. B. die möglichen Volumenschwankungen im Fahrzeugabsatz in bewerteter Form vorliegen, so ist dies ein wertvoller Parameter für die Planung der Flexibilitätsanforderung der Produktionswerke, da grundsätzlich davon ausgegangen werden kann, dass eine höhere Flexibilität mit höheren Fixkosten einhergeht. Die Ergebnisse der regelmäßigen Aktualisierungen werden auch an die zentrale Risikostelle weitergeleitet, sodass jederzeit eine Bestimmung des Gesamtunternehmensrisikos möglich ist. Die Notwendigkeit der Planung von risikoreduzierenden Maßnahmen erfolgt aus dem Abgleich des ermittelten Risikos mit dem für ein Projekt vorgesehenem Risikolimit (allokiertes Risikokapital). Dies ist die inhaltlich-logische Verbindung zwischen dezentralem und zentralem Risikomanagementkreislauf. Solange die Risikolimite eingehalten werden, liegt die Entscheidungskompetenz über die Durchführung von Maßnahmen mit dem Ziel der Optimierung von eingegangenem Risiko und erwartetem Ertrag in den dezentralen Einheiten. Im anderen Fall werden Maßnahmen zur Risikoreduktion eingefordert bzw. gegebenenfalls eine Reallokation des Risikokapitals diskutiert, wenn dies zu einer Verbesserung des Rendite-/Risikoverhältnisses auf Gesamtunternehmensebene führt. Das bewusste Eingehen von Risiken und Chancen ist eine unternehmerische Entscheidung und die Basis unternehmerischen Handelns. Die Verantwortung verbleibt innerhalb der BMW Group bei den dezentralen Einheiten. Dies bedeutet, dass im Rahmen der gesetzten und regelmäßig überprüften Risikolimite die Verantwortung für die Risikonahme und die Zielerreichung in der BMW Group bei den dezentralen Einheiten liegt. Die Genehmigung von Risikolimiten und die Formulierung der entsprechenden Ertragsansprüche können dagegen nur auf projektübergreifender Ebene erfolgen. Ergänzend werden auf unterschiedlichen organisatorischen und funktionalen Ebenen weitere Steuerungsinstrumente genutzt, die an den jeweiligen Anwendungsbereich sowie den notwendigen operativen Detailgrad hin angepasst sind.
Integriertes Chancen- und Risikomanagement bei der BMW Group
6
109
Ausblick
Eigenkapitalgeber setzen ihr Kapital dort ein, wo sie den größten Wertzuwachs erwarten können. Der Wert eines finanziellen Engagements hängt sowohl von den zukünftigen Erträgen als auch von den damit verbundenen Ertragsschwankungen ab. Der Risikomanagementansatz von BMW trägt diesem Aspekt Rechnung, indem Transparenz über die aggregierte Risikosituation hergestellt wird. Somit ergibt sich auch die Möglichkeit, bei unternehmerischen Entscheidungen die erwarteten Erträge mit den eingegangenen Risiken abzuwägen. Das Aufzeigen eines Chancen-/Risikoprofils in einzelnen Unternehmensbereichen, wie etwa dem Management von Finanzrisiken und von einzelnen Fahrzeugprojekten ist notwendig, aber nur ein erster Schritt. Die Erkenntnisse aus der Analyse, Quantifizierung und dem Einsatz von Risikomitigationsmethoden bei spezifischen Risikosituationen sind in einer weiteren Entwicklungsstufe auf das gesamte Unternehmen zu übertragen. Die Methodik ist durchgängig bei allen wichtigen Entscheidungen einzusetzen. Die Gesamtrisikoschau auf alle unternehmerischen Aktivitäten ist dann die Basis für eine konsistente Top-Down Steuerung der Risiko- und Chancenpotentiale und gewährleistet damit den effektiven und effizienten Einsatz der knappen Ressource Eigenkapital. Die Erfahrung bei der BMW Group hat gezeigt, dass die Akzeptanz des Denkens in Bandbreiten die wesentliche Voraussetzung für eine erfolgreiche Implementierung eines Chancen- und Risikomanagements ist. Das Planen, Bewerten und Steuern in Wahrscheinlichkeitsverteilungen und damit letztendlich das Akzeptieren von Unsicherheiten in Planungs- und Steuerungsprozessen erfordert einen längerfristigen Entwicklungsprozess, der mit der parallelen Existenz unterschiedlicher betriebswirtschaftlicher Steuerungswelten nebeneinander umgehen kann und zu dem Zielvereinbarungs- und Anreizsysteme kompatibel sind. Nach den bisherigen Erfahrungen lässt sich zusammenfassen, dass sich die Investitionen in einen solchen Ansatz lohnen, da insbesondere auch die damit einhergehenden Diskussionen über die Zusammenhänge zwischen Erfolgs- und Risikofaktoren und die Erkenntnisse über Bereichsgrenzen hinweg einen hohen wertstiftenden Charakter haben.
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
Tibor Papp, Beata Szoboszlai MOL Plc.
Übersetzt aus dem Englischen von Martina Reinecke, SAP AG
1
Die Öl- und Gasgesellschaft MOL Plc.
Das vor 15 Jahren gegründete ungarische Unternehmen MOL (Hungarian Oil & Gas Plc.) gehört zu den führenden Öl- und Gasgesellschaften Mitteleuropas und ist sowohl im Upstream- als auch im DownstreamGeschäft48 tätig. MOL war das erste staatliche Öl- und Gasunternehmen in Mittel- und Osteuropa, das privatisiert wurde. Die Aktie des Unternehmens ist an den Börsen von Budapest, Warschau und Luxemburg notiert und wird im Internationalen Orderbook (IOB) der Londoner Börse gehandelt. Die MOL Group verfügt über ein umfassendes, klar ausgerichtetes, effizientes und wachsendes Portfolio im Bereich Exploration und Produktion. Die Förderanlagen für das Upstream-Geschäft befinden sich in Ungarn und Russland, wobei die derzeitige Fördermenge bei etwa 95.000 boe49 pro Tag liegt. Darüber hinaus ist MOL an weiteren Erschließungs- und Entwicklungsprojekten im Jemen, in Pakistan, Kasachstan und im Oman beteiligt.
48
Upstream steht für Förderung und Exploration, Downstream für Raffinierung und Weiterverarbeitung. 49 Maßeinheit: Barrels of oil equivalent
112
Tibor Papp, Beata Szoboszlai
Das Downstream-Geschäft der MOL Group besteht aus zwei hochmodernen Raffinerien mit einer Gesamtkapazität von etwa 270 kbbl50 pro Tag. Die in diesen Raffinerien produzierten Benzin- und Diesel-Kraftstoffe entsprechen bereits heute der ab 2009 geltenden EU-Qualitätsrichtlinie. Die Raffinerieprodukte werden über Großhändler in ganz Mitteleuropa vertrieben. MOL ist in Bezug auf das Absatzvolumen an Tankstellen in Ungarn und der Slowakei marktführend. Die MOL Group setzt sich zusammen aus der Muttergesellschaft MOL, TVK (größtes petrochemisches Unternehmen in Ungarn) und Slovnaft (staatliche Ölgesellschaft der Slowakei). Die MOL Group ist außerdem mit 25 % und einer Aktie an der kroatischen Ölund Gasgesellschaft INA beteiligt.
2
Zentrale Organisation des Risikomanagements
Im Jahr 2005 beschloss die MOL Group, ihre Aktivitäten im Bereich Risikomanagement erheblich auszuweiten und so das Risikobewusststein bzw. die Risikokultur unternehmensweit zu stärken. Zu diesem Zweck wurde die zentrale, eigenständige Organisation Gruppen-Risikomanagement (GRM) eingerichtet, die direkt an den Gruppen-CFO berichtet. Ende 2005 wurde mit der Einführung eines Konzepts für das Enterprise Risk Management (ERM) begonnen. Bis zu diesem Zeitpunkt war eine zentrale Funktion innerhalb des Bereichs Treasury für das Risikomanagement zuständig. Zu den Aufgabenbereichen zählten das Management von Finanzrisiken (Wechselkurse, Zinssätze und Rohstoffpreise) und der Abschluss von Versicherungen zur Abdeckung der wichtigsten operationellen Risiken.
50
Maßeinheit: Kilo (tausend) Barrel
Einführung einer Methodik zur Risikoaggregation bei der MOL Group Die neue Organisationseinheit Group Risk Management (GRM) wurde im Januar 2006 geschaffen
Chairman
GCEO
Die Funktion Risikomanagement wurde vom Bereich Treasury in die neue Einheit „Group Risk Management” verlagert
Die Funktion Risikocontroller wurde neu geschaffen, wobei jeder Controller für mehrere Geschäftsbereiche zuständig ist
Risikoberichte werden monatlich, quartalsweise und jährlich für das obere Management und den Bilanzprüfungsausschuss erstellt
Kennzahlen für die Risikoquantifizierung als Grundlage für zentrale Entscheidungsprozesse (z. B. strategische Überprüfung, Kapitalverteilung)
Maßnahmen zur Risikominderung und Know-how zu Best Practices müssen geschäftsbereichsübergreifend optimiert werden
Geschäftsbereichsleiter
GCFO
E&P GT
Treasury
R&M
Ret
L
PC
Group Risk Management
P&C
Kreditmanagement Liquiditätsmgnt. Kapitalmärkte Finanzverwalter Landesgesellschaft
Analysen
113
Versicherungen
UpstreamRisikocontroller
DownstreamRisikocontroller
Marktrisiko GRM-Modellierung
Abb. 27. Überblick konzernweites Risikomanagement
Die relativ kleine Organisationseinheit Gruppen-Risikomanagement besteht aus einem Team von etwa zehn Mitarbeitern, dem Experten aus dem Öl- und Gasgeschäft und Risikomanagement-Experten angehören. Die Risikoaggregation erfolgt bei der MOL Group auf der Grundlage der Methodik für das ERM. Das Konzept zielt im Wesentlichen darauf ab, unterschiedliche Risikoklassen (finanzielle, operationelle und strategische Risiken) anhand einer einheitlichen Methodik konzernweit zu analysieren und zu verwalten sowie Risikoberichte zu erstellen. Die Hauptaufgaben des Gruppen-Risikomanagements sind im Einzelnen: Finanzrisikomanagement
• Ausarbeiten der Strategien und Richtlinien für das Finanzrisikomanagement - Erfassen und Überprüfen von Daten - Prüfen von Finanzrisiken, Sensitivitätsanalyse - Definition von Grenzen und Strategien • Absicherungsvorschläge, Analysieren von Verträgen - Einleiten von Sicherungsgeschäften auf der Grundlage des Risikomanagementmodells (Ausführung durch Treasury) - Einleiten von Sicherungsgeschäften auf der Grundlage der Koordination mit den Geschäftsbereichen (Ausführung durch Treasury) - Analyse der Sicherungsgeschäfte - Erstellen von Geschäftsvorschlägen
114
Tibor Papp, Beata Szoboszlai
Versicherungen
• Analyse der Selbstbeteiligung • Festlegen der Strategie für das Verlängern von Versicherungen • Verlängerung der Policen für alle Versicherungsprodukte (Sachschäden, Betriebsunterbrechung, Haftpflichtversicherung) • Kontrolle des Versicherungsmaklers • Verwalten der konzerneigenen Versicherungsgesellschaft (MOL Re) • Unterstützung der Geschäftsbereiche bei der Fallbearbeitung Risikobewertung und Berichterstellung (Konzernweit)
• Messen, Modellieren und Analysieren von Risiken - Erfassen und Prüfen von Markt- und Plandaten für Finanzrisiken (Preis, Volumen, Vorhersage, Marktwert) - Ausarbeiten von Marktanalysen und Vorschlägen (Marktüberwachung, Vorhersage, Auswahl der Zinsperiode) - Erfassen von Daten zur Wahrscheinlichkeit und Tragweite von strategischen und operationellen Risiken mit Hilfe der Risikoverantwortlichen - Modellieren (Einbinden der Daten in das Modell, Durchführen von Cashflow-at-Risk-Simulationen) - Aktualisieren der Risikopyramide • Berichterstellung - Bereitstellen von Informationen zu abgeschlossenen Transaktionen (Genehmigungsverantwortlicher, Kunde) - Erstellen des Monatsberichts zu Finanzrisiken (für Management und Prüfungsausschuss) - Erstellen der Quartalsberichte zu allen Risiken für Geschäftsbereichsleiter, Vorstand und Prüfungsausschuss - Vorschläge für Vorstand/Geschäftsbereichsleiter Zusätzlich zu den drei Hauptaufgaben soll die Funktion GRM auch die Entscheidungsprozesse des Konzerns und der Geschäftsbereiche unterstützen.
3
Modell des Enterprise Risk Management
Das ERM basiert auf einem Bottom-up-Modell, das sämtliche Geschäftsbereiche der MOL Group gemeinsam betrachtet. Das Modell ist in erster Linie für strategische Entscheidungsprozesse konzipiert und somit auf den Zeitraum der nächsten zehn Jahre ausgerichtet, wobei für jedes Jahr aus-
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
115
führliche Berechnungen angestellt werden. Mit der Quantifizierung von Risiken wird der bisherige Ansatz, Projekte ausschließlich anhand ihrer Rendite oder ihres Barwerts zu vergleichen, um eine zusätzliche Dimension ergänzt. In der Realität ist es möglich, dass der erwartete Barwert für zwei Projekte (nahezu) gleich ist, jedoch eines dieser Projekte stärkere Schwankungen bzw. eine breitere Verteilungskurve der möglichen Barwertergebnisse aufweist. Dieses Projekt wäre bei einem Vergleich dann als riskanter einzustufen. Die Berücksichtigung derartiger Risiko-RenditeAspekte bietet den Unternehmen theoretisch großen Nutzen. In der Praxis gestaltet sich das Ganze jedoch schwierig, da die Bewertung von Projekten im Rahmen eines Portfolios erfolgen sollte. Das bedeutet, dass die Projekte anhand ihres Beitrags zu den Risiko-Rendite-Eigenschaften des gesamten Portfolios verglichen werden sollten. Dies kann aber ein völlig anderes Ergebnis zur Folge haben. Für die ERM-Modellierung werden zunächst die Risiken und zugrunde liegenden Risikotreiber definiert, die möglicherweise Auswirkungen auf die Umsätze oder Kosten haben. Zur Identifizierung der relevanten Risiken (Abbildung des so genannten Risikobaums), Erfassung der erforderlichen Werte und Bewertung der Auswirkungen einzelner Risiken führt das GRM-Team ausführliche Gespräche mit den Leitern und Experten der jeweiligen Bereiche. Es nutzt darüber hinaus verschiedene interne und externe Datenbanken, wie z. B. Benchmarking, Branchenanalysen und Untersuchungen. Dabei kommt ein Bottom-up-Modell zum Einsatz. Es basiert auf separaten und umfassenden Volumen- und Preisdaten für die einzelnen Produktionsbereiche, die vom Bereich Planung & Controlling bereitgestellt werden oder als Marktkurse verfügbar sind. Diese Volumenund Preisvariablen werden im Rahmen der Monte-Carlo-Simulation variiert. Humankapital Ruf des Unternehmens
Marktrisiko (Wechselkurse, Rohstoffpreise)
Finanzrisiken
Rückgang der Nachfrage im Volumengeschäft Verlust von Marktanteilen
Kreditrisiko
Störfälle in Produktionsanlagen
Auswirkung auf Shareholder Value
Ausfall von IT-Systemen
Preisverfall Steigende Kosten Erfolg von Firmenübernahmen Längerfristige Unterbrechungen der Erdölförderung
Logistische Störfälle Ökologische Störfälle
Strategische Risiken
Operationelle Risiken
Neue gesetzliche Anforderungen
Kriminelle Aktivitäten
Abb. 28. ERM befasst sich mit drei zentralen Risikogruppen
116
Tibor Papp, Beata Szoboszlai
Es werden in erster Linie Finanzrisiken, strategische und operationelle Risiken analysiert. • Finanzrisiken umfassen Marktrisiken (z. B. Risiken durch schwankende Rohstoffpreise, Kursrisiken) und Kreditrisiken (z. B. Kontrahentenausfallrisiken). • Zu den strategischen Risiken zählen ein Rückgang der Nachfrage im Volumengeschäft, der Verlust von Marktanteilen, Preisverfall (mangelnde Preisgestaltungsmöglichkeiten), steigende Kosten, der Erfolg von Firmenübernahmen, längerfristige Unterbrechungen der Erdölförderung und neue gesetzliche Anforderungen. • Unter die operationellen Risiken fallen Störfälle in Produktionsanlagen, der Ausfall von IT-Systemen, logistische Störfälle, ökologische Störfälle und kriminelle Aktivitäten. Bei der Abbildung auf die einzelnen Geschäftsbereiche und Identifizierung der zugrunde liegenden Risikotreiber lassen sich viele dieser Risiken weiter aufgliedern. Risikotreiber werden insbesondere im Fall operationeller Risiken häufig in Risikotreiber mit erheblichen Auswirkungen und Risikotreiber mit geringen Auswirkungen unterteilt. Die Klassifizierung von Risiken erfolgt dabei auf der Grundlage von Erfahrungen, da die Analyse sowohl interner als auch externer Verlustdaten zwei unterschiedliche Risikogruppen ergab. Risiken mit geringen Auswirkungen können zwar häufiger vorkommen, haben jedoch keine signifikanten Auswirkungen auf die Geschäftstätigkeit – der Verlust liegt unter der definierten Obergrenze –, während Risiken mit erheblichen Auswirkungen selten oder möglicherweise noch nie eingetreten sind. Diese Untergliederung von operationellen Risiken ist auch für die Entwicklung und Analyse der Versicherungsstrategie des Unternehmens von großem Nutzen. Darüber hinaus lassen sich auch die Auswirkungen von Risiken in die Gruppen materielle Schäden und Störung der Geschäftstätigkeit unterteilen. 3.1 Übernahme von Daten in das ERM-Modell
Nach der Identifizierung von Risiken (Ereignissen) und der wichtigsten Risikotreiber, die sich auf das Ergebnis in den einzelnen Geschäftsbereichen und auch das Ergebnis des gesamten Konzerns, z. B. bei Übernahmen, auswirken können, müssen für die einzelnen Risikotreiber die Eintrittswahrscheinlichkeit und die Tragweite quantifiziert werden. Nur so kann das Ausmaß der Auswirkungen auf die zukünftigen Finanzergebnisse des Konzerns berechnet werden. Das Wahrscheinlichkeitsattribut eines Risikotreibers beschreibt die Eintrittswahrscheinlichkeit eines Risikos und
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
117
lässt sich in vielen Fällen als Häufigkeit, mit der ein Ereignis eintritt, interpretieren. Die Auswirkungen werden meist durch eine Wahrscheinlichkeitsverteilung beschrieben. Wahrscheinlichkeitsverteilungen bestehen im Idealfall aus einer möglichst gleichmäßigen Kurve mit aussagekräftigen Daten, d. h. mehreren Datenpunkten oder Schlüsselparametern (z. B. Normalverteilung: Mittelwert und Schwankungsbreite). In vielen Fällen und insbesondere bei strategischen Risiken ist die Berechnung der Verteilung jedoch schwierig und selbst für Experten problematisch, wenn keine Erfahrungswerte aus der Vergangenheit vorliegen. So reicht das Spektrum von relativ präzisen Verteilungen bis hin zu eher groben Schätzungen. Im optimalen Fall werden der Erwartungswert des Ereignisses und die Schwankungsbreite ermittelt, oder anstelle der Schwankungsbreite werden Werte für die Tragweite an bestimmten Quantilen der experimentell ermittelten Verteilungen definiert, z. B. bei einer Wahrscheinlichkeit von 5 % und 95 %. Oft lassen sich für die Tragweite lediglich Durchschnitts-, Mindest- und Höchstwerte schätzen. In diesen Fällen wird aus den verfügbaren Datenpunkten eine ungefähre Verteilungskurve erstellt, wobei abhängig vom jeweiligen Risikotreiber unterschiedliche Hochrechnungsmethoden oder eine diskrete Verteilungsform zum Einsatz kommen. Die Tragweite kann anteilig definiert werden, beispielsweise als Anzahl der betroffenen Tage, Prozentsatz des Produktionsverlustes oder einfach als Wert. Wahrscheinlichkeit %
Wahrscheinlichkeitsverteilung
Wahrscheinlichstes Ergebnis
Parameter
„Eintrittsort” der Auswirkungen Hauptrisiko
Auswirkungen auf Cashflow
Umsatz
Betriebsergebnis
Selbstkosten
Steuern
Energie
Sonst. Kosten
Die Eingabe von Daten für diese Kurve und ihre zeitliche Entwicklung erfolgt durch Experten, die von den Geschäftsbereichsleitern unterstützt werden Kennzahl zur Messung der Auswirkungen auf den Cashflow
Operativer Cashflow
Freier Cashflow
Personal
Risikotreiber
Transportkosten Umlaufvermögen Investitionsaufwand
InvestitionsCashflow
€
Auswirkungen auf Cashflow
Die Eingabe von Daten für diese Kurve und ihre zeitliche Entwicklung erfolgt durch Experten, die von den Geschäftsbereichsleitern unterstützt werden Parameter
Korrelationen
Mit Unterstützung der Geschäftsbereichsleiter werden Korrelationen zwischen Risikotreibern und/oder Hauptrisiko ermittelt
Abb. 29. Grundsätzliches Vorgehen zur Quantifizierung der Gesamtrisiken
118
Tibor Papp, Beata Szoboszlai
Daten für Finanzrisiken lassen sich vergleichsweise einfach erfassen, da historische Preise sowie durch Marktdaten gestützte Schätzungen für die Zukunft, z. B. in Form von Terminpreisen, zur Verfügung stehen und es allgemein anerkannte Methoden zur Berechnung der Schwankungsbreiten dieser Werte gibt. • Für operationelle Risiken stehen verschiedene Datenbanken zur Verfügung. Für die Häufigkeit und Tragweite von Ereignissen können auch unternehmensinterne Statistiken herangezogen werden. In einigen seltenen Fällen lassen sich diese Werte nur anhand von Schätzungen der Experten ermitteln. In aller Regel werden diese Schätzungen jedoch bereits zur Ermittlung der Versicherungsrisiken und der entsprechenden Versicherungsprämien von unabhängigen Experten vorgenommen. • Strategische Risiken bilden die Risikogruppe, die am schwierigsten zu identifizieren und zu modellieren ist und für die sich auch nur schwer Daten finden lassen. Bei strategischen Risiken kommen daher weitestgehend Einschätzungen und Ansichten von Experten sowie Erkenntnisse aus Gesprächen und Arbeitsgruppen zum Tragen, die nach Möglichkeit durch externe Studien usw. gestützt werden. Erforderliche Informationen/Aktivitäten Schritt 1
Identifizieren aller wichtigen Risikotreiber
Auswahl des Schritt 2 Quantifizierungsverfahrens
• Branchenanalyse, Gespräche mit Management • Validierte Risikopyramide für die konzernweiten Hauptrisiken und Risikotreiber • Auswahl der Hauptrisiken mit Auswirkungen auf finanzielle Kennzahlen • Definition der Quantifizierungsverfahren für die Hauptrisiken (Identifizieren der Basisvariablen, die variiert werden) • Definition relevanter Korrelationen
Schritt 3
Schätzen der Wahrscheinlichkeit der Risikotreiber
Schritt 4 Bewerten der Auswirkungen der Risikotreiber
• Historische Daten als Diskussionsgrundlage und zur Stützung der Ergebnisse • Erörterung ausgewählter Parameter mit der Geschäftsführung -
Definieren der Wahrscheinlichkeiten
-
Definieren der Auswirkungen auf den Cashflow (oder andere Kennzahlen)
-
Definieren der Korrelationen
• Erstellen der Verteilungen für die Risikosituation mit Hilfe eines Risikomodellierungswerkzeugs
Simulation der Auswirkungen Schritt 5 auf den Cashflow
• Daten aus dem Bereich Planning & Controlling dienen als Grundlage für die Berechnungen • Die Aggregation aller Risiken und Geschäftsbereiche erfolgt durch die Definition von Korrelationen
Abb. 30. Prozessschritte der Risikoquantifizierung
Einführung einer Methodik zur Risikoaggregation bei der MOL Group 3.2
119
Integrierte Risikoquantifizierung
Die Quantifizierung von Risiken erfolgt mit Hilfe der Monte-CarloSimulation, die auf einer sehr großen Zahl von Simulationsdurchläufen basiert, d. h. die Ergebnisse werden aus zahlreichen möglichen Konstellationen der Eingaben berechnet. Dabei verhalten sich die Eingaben wie stochastische Variablen. Das Modell erzeugt nach den gemeinsam mit den Experten aus den Geschäftsbereichen festgelegten Verteilungskurven in jedem Simulationslauf Zufallswerte für die Eingabevariablen. Korrelationen werden ebenfalls berücksichtigt. Sie werden jedoch nicht direkt zwischen den Risikotreibern selbst definiert – was eine stärkere Subjektivität des Modells zur Folge hätte –, sondern zwischen den zugrunde liegenden Basisvariablen. Korrelationen ergeben sich auch auf natürliche Weise durch die Tatsache, dass bei der Quantifizierung weiterer Risikotreiber verschiedene solcher Basisvariablen („Bausteine“ - die Basis des Risikobaums) zum Einsatz kommen. So ist zwar keine Korrelation zwischen verschiedenen technologischen Entwicklungen in der Automobilindustrie definiert, z. B. Verbreitung von Hybridfahrzeugen und Entwicklung von Wasserstoffmotoren. Da aber beide Risikotreiber auf dem Kauf von Neuwagen basieren und in starkem Ausmaß vom Wachstum des BIP abhängen, wird eine Korrelation implizit vorausgesetzt. Da das BIPWachstum auch bei völlig anderen Risikotreibern eine Rolle spielt, z. B. geänderte Nachfrage nach petrochemischen Produkten, gibt es auch mit diesem Risikotreiber eine implizite, jedoch nicht quantifizierte Korrelation. Strategische Risikotreiber werden unabhängig voneinander betrachtet, analysiert und von messbaren, im Optimalfall marktbezogenen oder offiziellen Daten, abgeleitet. Aufgrund verschiedener gemeinsamer Variablen, die diesen Risikotreibern zugrunde liegen, lassen sich in manchen Fällen nachträglich implizite Korrelationen feststellen. Die aggregierten Ergebnisse werden nach einem der Value-at-RiskMethode ähnlichen Verfahren interpretiert (Operating- oder Free-Cashflow-at-Risk, EBIT oder EBITDA-at-Risk, NPV-at-Risk). Neben den Risiken werden hierbei auch die Chancen berücksichtigt. Die Analyse wird auf Jahresbasis, derzeit von 2007 bis 2015, für die einzelnen Geschäftsbereiche und für den Konzern als Ganzes durchgeführt. Die Anzahl der Durchläufe ist variabel und liegt in der Regel zwischen 3.000 und 5.000. Um aussagekräftigere Zahlen zu erhalten, werden in manchen Fällen auch mehr als 5.000 Durchläufe ausgeführt. Die Ergebnisse der einzelnen Durchläufe der Monte-Carlo-Simulation sind Rohdaten. Um ein Risikoprofil ausarbeiten zu können, d. h. die Simulationsergebnisse auf einer Kurve abbilden zu können, werden die großen Rohdatenbestände in Bandbreiten mit einer Standardgröße gegliedert. Sie
120
Tibor Papp, Beata Szoboszlai
bestehen aus kleinen Intervallen jeweils gleicher Größe – in der Regel 100 – und reichen vom kleinsten bis zum größten Ausgabewert. Anschließend wird die Anzahl der während der Monte-Carlo-Simulation erzeugten Datenpunkte berechnet, die in die einzelnen Bandbreiten fallen. Diese werden als Häufigkeiten bezeichnet. Die standardisierte Häufigkeit der einzelnen Bandbreiten-Größen wird dann auf die Bandbreiten abgebildet, um die Verteilungskurve zu erstellen.
Abb. 31. Quantifizierung von Störfällen in Produktionsanlagen
Beim ERM wird auch der Erwartungswert der Simulationsergebnisse berechnet. Zur besseren Veranschaulichung sind in den abgebildeten Verteilungskurven außerdem bestimmte Punkte dargestellt, beispielsweise die Werte des 5 % und des 95 % Quantils. Beim ersten Ausgabewert (z. B. EBITDA) beträgt die Wahrscheinlichkeit 5 %, dass der tatsächliche Wert darunter liegt. Beim zweiten Wert beträgt die Wahrscheinlichkeit, dass der tatsächliche Wert darüber liegt, ebenfalls 5 %. Entsprechendes gilt für andere Punkte, die auf der Kurve dargestellt sind. Es lässt sich außerdem die Wahrscheinlichkeit berechnen, dass die tatsächlichen Werte über (x %) oder unter den geplanten Zahlen (100-x %) liegen. Der Bericht zu den Simulationsergebnissen zeigt zum einem die Risiken für ein bestimmtes Jahr und liefert zum anderen ein dynamisches Bild der zeitlichen Entwicklung der Simulationsergebnisse. Die Kurve dieser Entwicklung ist erwartungsgemäß normalverteilt, da die Risiken in der Regel bei weiter in der Zukunft liegenden Schätzungen zunehmen.
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
121
Mittelwert
50 %
50 % Planwert
Wahrscheinlichkeit
X%
9% 8%
5. Perzentil
95. Perzentil
6% 5%
5%
5%
3% 2% Ausgabe (z. B. EBITDA)
0%
Abb. 32. Wahrscheinlichkeitsverteilung der Simulationsergebnisse
Ausgabe (z. B. EBITDA) Mean Plan 95% Percentile 5% Percentile
Zeit 2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
Abb. 33. Zeitliche Entwicklung der Simulationsergebnisse
3.3 Unternehmensspezifische Details, Merkmale und Herausforderungen
Die Anzahl der mit dem ERM-Modell ermittelten Risiken beträgt derzeit 75, wobei sich diese Risiken bei Bedarf weiter aufgliedern lassen. Den einzelnen Risiken können wie geschildert mehrere Risikotreiber zugrunde liegen.
122
Tibor Papp, Beata Szoboszlai
Abb. 34. Aufgliederung strategischer Risiken (Risikopyramide)
Einige methodische Beispiele sollen das Konzept für die Risikoaggregation veranschaulichen: • Bei der Modellierung von Wechselkursen werden die impliziten – von den Optionsprämien abgeleiteten – Volatilitäten für die unterschiedlichen Währungen erfasst. Mögliche zukünftige Währungsschwankungen werden mit Hilfe von logarithmischen Normalverteilungen für die von Makroanalysten berechneten zukünftigen Erwartungswerte modelliert bzw. für Schätzwerte beim Vergleich der Ergebnisse mit den Planzahlen. Korrelationen zwischen Währungen werden berücksichtigt. • Bei den Preisen für Rohstoffe, wie Erdöl, Erdgas, petrochemische Produkte, bilden ebenfalls die impliziten Volatilitäten und Korrelationen zwischen den verschiedenen Rohstoffen die Basis für die Simulation. Schwankungen der Produktpreise werden mit Hilfe von logarithmischen Normalverteilungen für die Terminkurse modelliert. Im Modell wachsen die Eingabeschwankungen jährlich um die Quadratwurzel der Zeit. Der Spread für Brent/Ural wird separat modelliert. • Der risikobereinigte Crack-Spread, der im Raffineriegeschäft von entscheidender Bedeutung ist, wird als Differenz zwischen den risikoberei-
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
•
•
•
•
123
nigten Produktpreisen und dem Rohstoffpreis modelliert. Es werden auch historische Volatilitäten für die unterschiedlichen Rohstoffe und Korrelationen zwischen Produkten berücksichtigt. Für den CrackSpread wird die Untergrenze bei Null festgelegt. Sämtliche Korrelationen zwischen den Marktrisiken werden in einer Korrelationsmatrix erfasst. Im Hinblick auf den Umgang mit den Volatilitäten der Wechselkurse und Rohstoffpreise sowie den Korrelationen steht die MOL Group in ständigem Dialog mit renommierten Theoretikern, führenden Unternehmen und Analysten. Wie bereits beschrieben, antizipieren die Volatilitäten Veränderungen in der Zukunft, da sie auf der Grundlage der Kursnotierungen am Optionsmarkt berechnet werden. Die Mean Reversion wird nicht direkt in die Preisbildungsprozesse eingebunden. Die Verwendung von geeigneten Kurven mit impliziter Volatilität stellt jedoch längerfristig gesehen eine gewisse Reversion sicher. Im Hinblick auf Korrelationen müssen historische Kursnotierungen verwendet werden. Da keine impliziten Kovarianzwerte zur Verfügung stehen, ist eine Berechnung von Korrelationen, die Veränderungen in der Zukunft antizipieren, nicht möglich. Im Fall von Rohstoffen sind Korrelationen aufgrund der technologischen Abhängigkeiten immer gegeben. Bei Wechselkursen kann die Stabilität auch aufgrund von Erfahrungen vorausgesetzt werden, weshalb eine vollständige Überprüfung nur einmal jährlich vorgenommen wird. Da die Korrelationsdaten lediglich zur Einschätzung des Risikoumfangs und nicht für den Handel verwendet werden, bietet die Methode ein ausreichendes Maß an Genauigkeit. Neben den oben dargestellten Beispielen für Marktrisiken soll noch ein Beispiel für strategische Risiken angeführt werden: In das Modell wird eine Korrelation zwischen dem Rückgang des Marktanteils auf einem bestimmten Markt und dem Sinken der Margen eingefügt, um zu veranschaulichen, dass der Verlust von Marktanteilen auch schwindende Margen zur Folge hat. Derartige direkte Korrelationen zwischen strategischen Risikotreibern – die im Modell sehr selten vorkommen, damit die Objektivität gewährleistet bleibt – beruhen auf Markterfahrungen und werden gemeinsam von Experten im Außendienst und dem Leiter der Finanzabteilung auf der Grundlage von Ergebnissen unterschiedlicher Studien definiert. Im Bereich der operationellen Risiken werden auch ökologische Störfälle als mögliche Folgeereignisse berücksichtigt, die beispielsweise durch den Ausfall von Anlagen oder Naturkatastrophen verursacht werden können. Ebenfalls berücksichtigt werden die Auswirkungen abgesicher-
124
Tibor Papp, Beata Szoboszlai
ter und versicherter Risiken, so dass das Modell nur noch die verbleibenden Risiken, z. B. Selbstbeteiligung bei Versicherungen, oder gar keine Risiken mehr enthält. Zwischen den Daten und Ereignissen des ERM-Modells bestehen Wechselbeziehungen, selbst wenn bestimmte Risiken unterschiedlichen Risikoklassen angehören. Wenn also beispielsweise die Wahrscheinlichkeit einer Erhöhung der Förderabgaben in einem Land (strategisches Risiko) im Falle eines hohen Preisniveaus für Erdöl (Marktrisiko) größer ist, entstammt dieser Ölpreis als Eingabewert für den strategischen Risikotreiber der Simulation der Marktrisiken im Modell. Somit gibt es theoretisch bei keiner der zahlreichen Konstellationen in den Durchläufen der MonteCarlo-Simulation Diskrepanzen zwischen Eingabedaten und möglichen Ereignissen. Diese Logik zeigt sich auch, wenn verschiedene Risikotreiber teilweise identische Variablen aufweisen, wie im Beispiel der unterschiedlichen technologischen Entwicklungen bei Automotoren. Bei der Analyse eines Ergebnisses der vielen Tausend Durchläufe der Monte-CarloSimulation wird der Entwicklung von Hybridfahrzeugen und Wasserstoffmotoren und sogar der geänderten Nachfrage nach petrochemischen Produkten dasselbe BIP-Wachstum zugrunde gelegt. Da das BIP-Wachstum variiert wird, kann es sich natürlich in den einzelnen Durchläufen unterscheiden, so dass auch für die oben genannten Risikotreiber unterschiedliche Szenarien entstehen. Aus technischer Sicht basiert das ERM-Modell auf separaten Arbeitsmappen, die mit Hilfe integrierter Verknüpfungen gleichzeitig ausgeführt werden. Die erfassten Eingaben aus den Geschäftsbereichen, Planung & Controlling, Treasury, Marktdaten, Schätzungen der Experten aus Workshops und Gesprächen sowie externen Informationen werden in Form von Kapitalflussrechnungen dargestellt. Bei jedem Durchlauf werden sowohl für die einzelnen Geschäftsbereiche als auch für den gesamten Konzern neue Zahlen für diese Kapitalflussrechnungen erzeugt. Neben den bereits erwähnten risikobereinigten Kapitalflussrechnungen werden zu Vergleichszwecken separate Blätter ohne Simulation verwendet, die feste Schätzwerte oder Terminkurse als Eingaben enthalten. Die Ergebnisse der letzten Bottom-up-Blätter sollten mit den Ergebnissen der normalen Berechnungen von Planung & Controlling im Top-down-Modell vergleichbar sein. Mit Hilfe des ERM lassen sich die Risiko-Rendite-Attribute von Geschäftsbereichen, Projekten und betrieblichen Entscheidungen identifizieren. Es kann außerdem berechnet werden, wie sich Risikotypen und einzelne Risiken auf die Renditeschwankung auswirken. Diese Berechnungen bieten einen besseren Einblick in die Ursachen und Merkmale unterschied-
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
125
licher Risikotypen und ermöglichen eine Kategorisierung in Risiken, die in Kauf genommen werden – nach einer von den Aktionären gebilligten Strategie, z. B. den generellen Rohstoffpreisen –, in Risiken, die auf natürliche Weise durch andere Geschäftsbereiche der MOL Group abgesichert sind, z. B. sind Risiken aus dem Bereich Exploration and Produktion auf natürliche Weise durch die Bereiche Vertrieb und Marketing abgesichert – und in Risken, die durch spezielle Hilfsmittel gemindert werden müssen , z. B. Versicherungen oder in Sonderfällen das Sichern der Rohöl- oder Kraftstoffpreise auf dem Markt durch Derivate. Wenn ein Risiko bereits gemindert ist, beispielsweise durch eine Versicherung, wird dies natürlich ebenfalls berücksichtigt. Priorisierung von Risikotreibern und Überwachung der Maßnahmen zur Risikominderung
Mit Hilfe einer Analyse der Risikotreiber können Risiken identifiziert werden, die bestimmte Grenzwerte überschreiten oder bei denen das geplante Ergebnis das Risikoausmaß nicht rechtfertigt Die Risikoverantwortlichen und das Group Risk Management können gemeinsam KostenNutzen-Analysen durchführen und so die optimalen Maßnahmen zur Risikominderung bestimmen Diese Maßnahmen können dann mit Hilfe der regelmäßigen Risikoberichte überwacht werden
Risikokategorie Risiko
Risikoverant- Erforderliche Risikotreiber wortl. Maßnahmen
Finanzrisiko Marktrisiko
Crude-Spread & Crack-Spread
Auf natürliche Weise durch den Bereich R&M abgesichert
Finanzrisiko Marktrisiko
Wechselkurse
Absicherung
Finanzrisiko Marktrisiko
Gaspreis
Regierungslobby
Strategisches Wirtschaftliches Risiko Risiko
Kontrahentenausfallrisiko
Überprüfung der Ratingrichtlinien der Partner
Strategisches Nachteilige Risiko Regierungsmaßnahmen
Widerrufsvereinbarungen
Regierungslobby, Vertragsvereinbarungen
Strategisches Geologische Risiko Risiken
Überschätzung der Reserven
Bessere Prozesse und Technologien
Strategisches Nachfrage im Risiko Volumengeschäft
Verbrauch
Suche nach Wachstumsmärkten
OperatioBetriebsunternelles Risiko brechung
Mangelnde Ausrüstung
Bessere Beschaffungsund Kontrollprozesse
OperatioBetriebsunternelles RIsiko brechung
Unzureichende Wartung
Bessere Kontrollprozesse
Fortschrittsbericht
Abb. 35. Priorisierung wichtiger Maßnahmen zur Risikominderung
Die Risikominderung empfiehlt sich nicht für alle Risiken – manche Risiken werden aufgrund der Unternehmensstrategie bewusst in Kauf genommen. Das Risikomanagement sollte auf Konzernebene erfolgen, wobei Portfolioauswirkungen zu berücksichtigen sind, da manche Risiken (z. B. Ölpreisrisiko) durch andere Geschäftsbereiche ausgeglichen werden. Die Ausarbeitung von Plänen für die Geschäftskontinuität, Instrumente für das Krisenmanagement und sonstige Programme zur Risikokontrolle (z. B. Sicherheitspläne) werden durch das ERM ebenfalls unterstützt. Die MOL Group verfolgt eine ehrgeizige Wachstumsstrategie und befindet sich folglich auf Wachstumskurs, der durch strategische Risiken nachhaltig beeinflusst werden kann. Im Zeitverlauf erhalten diese strategischen Risiken im Gesamtrisikoprofil immer größeres Gewicht. Strategische Risiken lassen sich aber am schwierigsten erfassen und quantifizie-
126
Tibor Papp, Beata Szoboszlai
ren, da in der Regel keine oder nur wenige historische Daten zur Verfügung stehen. Die Risikoeinschätzung muss daher auf der Grundlage von Annahmen des GRM-Teams und von Experten erfolgen, die trotz der Unabhängigkeit von den Geschäftsbereichen subjektiv sein können. Das GRM-Team versucht dabei, einen Mittelweg zwischen der Komplexität des Modells und dem damit verbundenen Aufwand zu finden. Es werden daher nach Möglichkeit keine unnötigen Details berücksichtigt, um nicht den Überblick über das Verhalten der wichtigsten Risikofaktoren zu verlieren. Die Definition einer Mindestgrenze für die Tragweite, d. h. nur Risiken über dieser Grenze werden im Modell berücksichtigt, stellt ein Element des verfolgten Ansatzes dar. Vor der Implementierung des Enterprise Risk Management wurde bereits ein Modell zur Berechnung von Finanzrisiken eingesetzt. Dieses Modell basierte ebenfalls auf dem Cashflow-at-Risk-Konzept und lieferte nach unseren Erfahrungen gute Ergebnisse. Beim Beschluss, das Risikomanagement um wichtige neue Risikotypen zu erweitern, lag es daher nahe, auch die bereits vorhandenen Werkzeuge und Kenntnisse zu nutzen. Im Hinblick auf verschiedene spezielle Problemstellungen, z. B. die Berücksichtigung schwer quantifizierbarer Szenarien bei einzelnen Risikotreibern, werden in erster Linie interne Wissensressourcen genutzt, um das Modell bestmöglich weiterzuentwickeln. Das Gruppen-Risikomanagement erstattet dem Vorstand, der Finanzabteilung, dem Bilanzprüfungsausschuss des Aufsichtsrats und dem oberen Management der jeweiligen Geschäftsbereiche über die Ergebnisse des ERM-Modells Bericht.
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
127
Anteil der Risikotreiber am Konzernrisiko (2006)3 EBITDA-at-Risk (2006, konzernweit)
% 4%
5. Perzentil
Mittelwert
95. Perzentil
2% 0%
Anteil am Konzernrisiko nach Geschäftsbereich3 GasTr 10 %
Schmieröle 15 %
Risiko
Risikotreiber
Finanzrisiko
Marktrisiko
Crude-Spread & Crack-Spread
25,00 %
Finanzrisiko
Marktrisiko
Wechselkurse
10,00 %
Finanzrisiko
Marktrisiko
Gaspreis
10,00 %
Strategisches Risiko
Wirtschaftliches Risiko
Kontrahentenausfallrisiko
6,00 %
Strategisches Risiko
Nachteilige Regierungsmaßnahmen
Widerrufsvereinbarungen
6,00 %
Strategisches Risiko
Geologische Risiken
Überschätzung der Reserven
6,00 %
Strategisches Risiko
Nachfrage im Volumengeschäft
Verbrauch
6,00 %
Operationelles Risiko
Betriebsunterbrechung
Mangelnde Ausrüstung
8,00 %
Operationelles Risiko
Betriebsunterbrechung
Unzureichende Wartung
8,00 %
Sonstige: 15 %
Grenzwert: 3 %
EBITDA 1
BNHUF
Petrochem. Produkte 15 %
Kategorie
Strategisches Risiko 30 %
R&M 30 %
Relativer Anteil
Finanzrisiko 50 %
Anteil am Konzernrisiko nach Risikotyp4 E&P 15 %
1 2 3
Handel 15 %
Alle Kennzahlen können berechnet werden (OCF, FCF, EBIT). Operationelles Risiko nach Versicherung berechnet Alle Anteilsberechnungen basieren auf dem Abstand zwischen dem 5. und 95. Perzentil der EBITDA-Verteilung.
Operationelles 2 Risiko 20 %
Abb. 36. Beispiel regelmäßiger Risikoberichte für die Geschäftsführung
Die Berichte werden quartalsweise für den Bereich Enterprise Risk Management und monatlich für den Bereich Financial Risk Management erstellt. Das obere Management erhält außerdem einen Bericht zur aggregierten Gesamtrisikoposition.
4
Zukünftige Anwendungsbereiche des ERM-Modells
Das GRM-Team ist derzeit mit dem Abschluss der ERM-Implementierung beschäftigt, wurde jedoch bereits gebeten, durch die Bereitstellung aggregierter Risikoinformationen an der Prüfung potenzieller Firmenübernahmen mitzuwirken. Bereits 2005 wurde die mittelfristige strategische Planung durch eine erste Bewertung der strategischen Risiken unterstützt. Auch in nächster Zeit wird das Enterprise Risk Management bei der Prüfung des gegenwärtigen und zukünftigen Portfolios der MOL Group sowie der einzelnen Portfolioelemente eine wichtige Rolle spielen. Regelmäßige und systematische Risikoberichte, Risiko-Rendite-Darstellungen und verschiedene weitere Anwendungsbereiche (z. B. Kapitalverteilung, Leistungsbewertung, Kennzahlen) können die Grundlage für Entscheidungsprozesse im Unternehmen bilden. Das Gruppen-Risikomanagement zielt darauf ab, die Ergebnisse der ERM-Modellierung systematisch in die Entscheidungsprozesse, beispiels-
128
Tibor Papp, Beata Szoboszlai
weise bei der Kapitalverteilung, beim Aufbau des Portfolios und beim Performance Management, einzubinden. In Verbindung mit einer klar definierten Risikobereitschaft des Unternehmens ist das ERM ein hervorragendes Hilfsmittel für den Aufbau eines Unternehmensportfolios, das durch die Berücksichtigung der Ergebnisse der Risikoquantifizierung bei der Budgetierung und CAPEX-Verteilung optimale Risiko-Rendite-Merkmale aufweist. Optimierung des Risiko-Rendite-Portfolios Rendite Efficient Frontier
1/t NPV + PV(CAPEX) PV (CAPEX)
-1
Verbindung zur Risikobereitschaft M K J
Zielportfolio A P
Gegenwärtiges Portfolio
D
Z
F
Risiko NPV-at-Risk/NPV
Abb. 37. Portfolioentwicklung auf Konzern- und Geschäftsbereichsebene
Hinsichtlich der oben erwähnten zukünftigen Anwendungsbereiche ist geplant, mit Portfoliotheorien der Finanzmärkte zu arbeiten, die jedoch zunächst an die Anforderungen des Unternehmens angepasst werden müssen. Dabei gilt es auch zu prüfen, welche Risiko-Rendite-Kennzahlen für die Zwecke am besten geeignet sind. Des Weiteren muss eine Methode für die richtige Behandlung von Synergien ausgearbeitet werden, die beim Abbilden einzelner Geschäftsbereiche oder Projekte auf der Matrix auftreten. Die Anwendungsbereiche des ERM-Modells werden also kontinuierlich weiterentwickelt, wobei jedoch bereits in den eineinhalb Jahren, in denen das Modell eingesetzt wird, viel versprechende Erfolge erzielt wurden.
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
5
129
Nicht quantifizierbare Auswirkungen des ERM
Die Erfahrungen beim Einsatz von ERM in den Geschäftsbereichen haben gezeigt, dass das Modell aufgrund der interaktiven Vorgehensweise bei der Risikoquantifizierung und der Validierung von Eingaben und Methoden große Akzeptanz findet. Sobald das Konzept für die Risikoquantifizierung fest in die Prozesse integriert ist, kann es die Grundlage weiterer Anwendungen bilden, die auf eine Optimierung des Risiko-Rendite-Portfolios abzielen. Die MOL Group ist der Ansicht, dass das Enterprise Risk Management insbesondere durch diesen aktiven Beitrag zur Optimierung des RisikoRendite-Portfolios den Shareholder Value positiv beeinflussen wird. Mit Hilfe des ERM wird das Prozesswissen für den Bereich Risikomanagement im gesamten Unternehmen verfügbar gemacht und das Risikobewusstsein erfasst alle Geschäftsbereiche. Das obere Management, der Vorstand und die Leiter der Geschäftsbereiche können sich dadurch besser auf die wichtigsten Risiken und das Ergreifen entsprechender Maßnahmen zur Risikominderung konzentrieren. Allein durch die Schaffung eines zentralen Bereichs Gruppen-Risikomanagement, der alle Geschäftsbereiche systematisch überprüft und analysiert, wurden bereits erste Lösungsansätze für verschiedene Problemstellungen gefunden.
Teil 3 Fallstudien aus der Elektrizitätswirtschaft
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
Carsten Durchholz Vattenfall Europe AG
1
Einleitung
1.1 Branche/Struktur
Der Vattenfall Europe Konzern ist ein voll integriertes Energieversorgungsunternehmen, das die Wertschöpfungskette vom Braunkohletagebau über Grund- und Spitzenlastkraftwerke, Transport- und Verteilnetze bis zum Endkunden abbildet. Wesentlicher Bestandteil ist ebenfalls die Erzeugung, Verteilung und der Verkauf von Fernwärme. Als Teil der schwedischen Vattenfall Gruppe agiert Vattenfall Europe vor allem im Osten Deutschlands (Tagebaue/Erzeugung/Transportnetz) und in Berlin und Hamburg (Fernwärme/Stromendkunden). Der zentrale Zugang zum Energiehandelsmarkt (Großmarkt) wird durch Vattenfall Trading Services gewährleistet. Hier werden durch aktiven Energiehandel die energiewirtschaftlichen Portfolien täglich gesteuert und in ihrem Risikogehalt adjustiert. 1.2 Risikomanagement
Unter Risikomanagement wird ein ganzheitlicher Prozess der Identifikation, Bewertung und Steuerung von Risiken im gesamten Unternehmen vor dem Hintergrund des KonTraG und weiterer verwandter Normen verstanden. Ziel ist es, über die rechtlichen Mindestanforderungen hinaus durch ein strukturiertes Risikomanagementsystem keine regulatorische Bürokra-
134
Carsten Durchholz
tie, sondern ein betriebswirtschaftliches Instrument zur Managementunterstützung zu schaffen. Eine durchgängige Bewertungssystematik sorgt für Vergleichbarkeit der im Konzern sehr unterschiedlichen Risiken. Der ganzheitliche Ansatz schafft Transparenz über alle Ebenen der Wertschöpfungskette bis hin zu den administrativen Funktionen. Wesentlich ist hierbei, die notwendige Informationsbasis für die Entscheidungen zu liefern, die eine effiziente Steuerung ermöglichen. Ein einheitlicher Bewertungsmaßstab, auch auf aggregierten Ebenen, schafft vergleichbare Bedingungen und Anforderungen für die Geschäftsbereiche. Generell werden alle Risiken, also Marktpreis-, Kredit- und operative Risiken, erfasst und bewertet. Risiko ist grundsätzlich definiert als potenzielle Abweichung vom Plan bzw., dem Value-at-Risk Konzept51 folgend, als mögliche negative Wertentwicklung eines Portfolios für die Marktrisiken des Energiehandels. Die Marktpreis- und Kreditrisiken des Kernbereiches Energie werden zusätzlich gesondert betrachtet. Aufgrund der sich ständig verändernden Preissituation am Großhandelsmarkt bzw. der Börse findet eine tägliche Überwachung der Risikomandate für diese „schnellen“ Portfolien statt. Dem gegenüber werden die sich langsamer verändernden Risiken (z. B. technisch geprägte Risiken) regulär quartalsweise berichtet.
Abb. 38. Überblick Risikomanagement und Risikocontrolling 51
Zur Vertiefung sei z. B. empfohlen Jorion 2007
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
135
1.3 Organisation
Bei Vattenfall Europe kommt ein Ansatz mit zentralen und dezentralen Elementen zum Einsatz. Die Prozesssteuerung, Methodenentwicklung, Richtlinienkompetenz im Konzern und die tägliche unabhängige Überwachung des Energiehandels ist in einer zentralen Organisationseinheit in der Holding unterhalb des CFO angesiedelt. Diese Einheit stellt sicher, dass der Risikomanagementprozess im Gesamtunternehmen gelebt wird und berichtet die Gesamtrisikosituation an den Konzernvorstand. Zu den Aufgaben gehören auch die Sicherung der Bewertungsqualität, die zentrale Dokumentation und die im Folgenden näher beschriebene Aggregation der Risiken auf verschiedenen Ebenen. Dezentral werden von den Bereichen verantwortliche Risikoeigner benannt. Basierend auf den zentralen Vorgaben identifizieren, bewerten und berichten sie über die Risiken in ihrem Verantwortungsbereich. Dabei werden sie durch das zentrale Risikomanagement durch Schulung, Hilfestellungen und im fachlichen Dialog unterstützt. Die Risikoeigner haben im Rahmen ihres Tagesgeschäfts auch die risikorelevanten Parameter zu beachten (Risikosteuerung). Bei der Bewertung der Risiken spielt neben den in den Bereichen vorliegenden Schadenhistorien auch die Erfahrung und das Fachwissen der Risikoeigner selbst oder hinzugezogener Experten eine große Rolle. Dieses wird durch die strukturellen Vorgaben in einheitlicher Weise abgefragt und dokumentiert. 1.4 Softwareunterstützung
Vattenfall Europe hat 2003 eine Softwareapplikation zur IT-technischen Unterstützung des konzernweiten Risikomanagementprozesses implementiert und seither permanent weiterentwickelt. Ziel der Softwareeinführung war es dabei, die sich in den täglichen Arbeitsabläufen des Risikomanagements ergebenden Herausforderungen zu bewältigen. So ist es für die Risikomanager zentral, jederzeit den aktuellen Informationsstand aller Risiken im Blick zu behalten. Da es sich bei einem Risiko definitorisch um die mögliche (negative) Abweichung von einem Planwert handelt, müssen im Rahmen der Risikobewertung den Risikoeignern immer die entsprechenden Planzahlen (z. B. Instandhaltungsaufwand, Absatzerlöse), deren Über- oder Unterschreitung das jeweilige Risiko darstellt, für die jeweiligen Bewertungsperioden sowie die entsprechenden Planannahmen vorliegen. Die Zusammenführung der dezentral erhobenen Risikoinformationen sowie deren Verdichtung zu einem Risikobericht ist so effizient wie mög-
136
Carsten Durchholz
lich automatisiert zu gestalten. In den Perioden zwischen der quartalsweisen Standardberichterstattung ist jederzeit die Risikoüberwachung sicherzustellen und bei gravierenden Risikoveränderungen auch ein ad-hoc Reporting zu ermöglichen. Eine wirtschaftsprüferkonforme Archivierung der Risikoinformationen ist unabdingbar. Zusätzlich ist es wünschenswert, dass die Software auch für die Risikoaggregation auf den entsprechenden Bereichs-, Unternehmens- und Konzernebenen die technische Plattform zur Verfügung stellt.
2
Aggregation
2.1 Verständnis
Unter Risikoaggregation verstehen wir die Ermittlung einer Kennzahl für die gemeinsame Wirkung mehrerer Risiken. Merkmal für die Zusammenfassung können hier Geschäftsbereiche, Legaleinheiten, Portfolien, aber auch sachliche Attribute (z. B. alle ITRisiken, die Risiken eines Projektes oder eines Vertragswerkes) sein. Da nur im Ausnahmefall unter strengen Voraussetzungen analytische Verfahren zur Berechnung zur Verfügung stehen, wird zur Ermittlung dieser Kennzahl die Monte-Carlo-Simulation52 eingesetzt. In der Vergangenheit noch gelegentlich wegen des Rechenaufwands gescheut, stehen heutzutage meist genügend Rechenleistung und einfach zu bedienende Programme (z. B. in Form von Excel-add-ins) zur Verfügung. Diese Funktionalität wird auch innerhalb der bei uns zur Erfassung und Verwaltung eingesetzten Riskmanagement-Applikation angeboten. Wesentlich beim Einsatz der Monte-Carlo-Simulation ist, dass je nach Zusammensetzung des Risikoportfolios die aggregierte Kennzahl mehr oder weniger deutlich unterhalb der Summe der Einzelrisiken53 liegt. Damit wird also eine je nach konkretem Sachverhalt teilweise sehr deutliche Überschätzung des tatsächlichen Gesamtrisikos eines Geschäftes bzw. Unternehmens durch einfache Summation verhindert. Von Seiten mancher Kritiker wird oft eingewendet, das Verfahren stelle sehr hohe Anforderungen an die Qualität des Inputs. Da diese Qualität meist in der Praxis nicht gegeben sei, hätte eine aggregierte Zahl keine Aussagekraft und werde daher besser nicht ermittelt. Dem Sachvortrag dieser Kritiker schließen wir uns durchaus an, die Schlussfolgerung teilen 52
Als Einführung wird empfohlen Frey u. Nießen 2004 Zur Bewertung der Einzelrisiken und den sich aus dem Ziel einer Monte-CarloSimulation ergebenden Notwendigkeiten vgl. Voraussetzungen und Durchführung 53
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
137
wir allerdings nicht. Wir sehen im Gegenteil eine Menge Gründe, eine Aggregation durchzuführen, die weiter unten im Einzelnen erläutert werden. Richtig ist sicherlich, dass es einer adäquaten kommunikativen Begleitung bedarf. Durch Schulung und klare Darstellung der Aussagekraft und der Grenzen einer aggregierten Kennzahl ist für eine richtige Interpretation bei den Berichtsempfängern zu sorgen. Ebenfalls dient die Aggregation als permanenter Ansporn für das Risikomanagement, die Bewertungsqualität hoch zu halten und zu verbessern. 2.2 Motivation 2.2.1
Gesetzliche Vorgabe
Als Forderung aus dem KonTraG ist ein Überwachungssystem (d. h. ein Risikomanagementsystem) einzurichten, das bestandsgefährdende Entwicklungen frühzeitig erkennt. In einem als wirtschaftlich gesund vorausgesetzten Unternehmen wird es keine oder nur sehr wenige Risiken geben, die alleine schon bestandsgefährdend sind. Eine Bestandsgefährdung kann also in der überwiegenden Mehrzahl der Fälle nur aus einem Zusammenwirken bzw. einer Vielzahl von Risiken entstehen. Es ist unseres Erachtens deshalb nicht mit einer schlichten Aufnahme aller Einzelrisiken getan. Auch im IDW PS340 wird im Zusammenhang mit der Bestandsgefährdung explizit vom Zusammenwirken von Risiken bzw. deren Wechselwirkung (=Gesamtsicht) gesprochen, ohne auf die Methodik der Messung dieser Wirkung explizit einzugehen. Die Risikoaggregation bietet unseres Erachtens eine geeignete Möglichkeit, diese Gesamtsicht zu erstellen und der Risikotragfähigkeit gegenüber zu stellen. Gerade weil die Risikotragfähigkeit klassisch im Eigenkapital des Unternehmens, also einer hochaggregierten Kennzahl, gemessen wird, ist es notwendig, dem eine ebenfalls hochaggregierte Risikokennzahl gleicher Dimension gegenüber zu stellen. 2.2.2
Qualität
Eine ausreichende Qualität in den Einzelbewertungen ist, wie im Abschnitt Qualitätssicherung noch dargelegt wird, eine notwendige Voraussetzung zur Ermittlung aggregierter Risikokennzahlen. Umgekehrt kann aber auch der Wunsch nach Qualität in der Einzelbewertung Motivation für die Aggregation sein. Die Durchführung einer Aggregation liefert den nötigen Anreiz, die Bewertungen der Einzelrisiken gemäß den Anforderungen durchzuführen. Gleichzeitig ist für den Risikoeigner ersichtlich, warum er zu einer Quantifizierung und deren detaillierter Beschreibung/Begründung angehalten wird. Dabei sollte ihm zurückgespiegelt werden, welchen Ein-
138
Carsten Durchholz
fluss seine Risikobewertung auf aggregierte Kennzahlen der verschiedenen Ebenen nimmt, um die Motivation zu erhöhen. So kann sich im Sinne einer positiven Verstärkung eine Verbesserung der Aussagekraft von Risikogrößen sowohl auf Einzel- als auch auf aggregierter Ebene entwickeln. 2.2.3
Voraussetzungen
Um eine Risikoaggregation mittels Monte-Carlo-Simulation durchführen zu können, bedarf es der quantitativen Bewertung aller Risiken durch vollständige Verteilungsfunktionen. Hier kommen im Bereich der Marktpreisrisiken Normalverteilungsmodelle in Frage, im technischen Bereich (Fehler/Ausfälle) sind oft auch Exponentialverteilungen adäquat. Um dem Wunsch der Risikoeigner nach einer maßgeschneiderten Verteilung nachzukommen, haben wir eine so genannte n-Punkt-Verteilung entwickelt. Hier werden bestimmte Quantile als Stützstellen der Verteilung vordefiniert, aus denen dann die gesamte Verteilung geschätzt wird. Der Risikoeigner unterlegt diese Stützstellen mit entsprechenden typisierten inhaltlichen Szenarien und Schadenhöhen und erläutert diese. Für alle Risiken wird in Anlehnung an das Value-at-Risk Konzept das 95 %-Quantil ermittelt und als repräsentativer „Risikowert“54 für das Einzelrisiko berichtet.
Abb. 39. Risiko = Abweichung vom bzw. Streuung um den Planwert
54 Wenn in diesem Kapitel von der Summe von Einzelrisiken die Rede ist, so bezieht sich das stets auf die so ermittelten Risikowerte.
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
2.2.4
139
Durchführung
Die Bewertung aller Risiken im Vattenfall Europe Konzern erfolgt auf Basis der zentralen Planungs- und Steuerungsgröße EBIT. Risiken als potenzielle Planabweichungen werden also als Wahrscheinlichkeitsverteilung der möglichen negativen Abweichungen vom EBIT (als Schäden) bewertet. Diese sowohl der Dimension als auch dem Inhalt nach gleichnamige Bewertung ermöglicht es, die gemeinsame Wirkung einer beliebigen Anzahl von Risiken auf den EBIT durch einfache stochastische Aggregation mittels Monte-Carlo-Simulation ohne weitere große Modelle durchzuführen. Dabei werden die benötigten Verteilungen des EBIT für die entsprechende Aggregation aus der zentralen Riskmanagement-Applikation in Excel importiert, gemäß den Zusammenfassungskriterien innerhalb der Excel-Tabelle summiert und die Monte-Carlo-Simulation mittels Crystal Ball® angestoßen.
Abb. 40. Ergebnis einer Monte-Carlo-Simulation mittels Crystal Ball®
Vorteil dieser manuellen Vorgehensweise ist die hohe Flexibilität, die auf Wunsch sehr kurzfristig die Zusammenfassung nach beliebigen Merkmalen wie z. B. Geschäftsfelder oder Legaleinheiten, aber auch Themen wie IT-Risiken oder Personalrisiken erlaubt. Die Durchführung erfordert allerdings mehr Aufwand als in einem vorgefertigten Modell, wie es die verwendete Risikosoftware anbietet, da hierbei jeweils für eine neue Aufgabenstellung ein neues Modell zu entwickeln ist bzw. vor Benutzung ein vorhandenes Modell zu überprüfen und gegebenenfalls zu aktualisieren ist. Dieses manuelle Vorgehen birgt auch die Gefahr, dass sich Fehler einschleichen. Alternativ kann ein Unternehmensmodell in der Risikosoftware hinterlegt werden, welches einmal programmiert (abhängig von der Detaillierung) fast jede Auswertung auf Knopfdruck ermöglicht. Allerdings ist da-
140
Carsten Durchholz
bei der Aufwand, zunächst ein konsistentes Unternehmensmodell zu entwickeln, das dann flexibel auch nach Teilaspekten ausgewertet werden kann, auch deutlich höher. Ferner ist der Pflegeaufwand bei Umstrukturierungen zu bedenken. 2.2.5
Korrelation
Als Anwender der Monte-Carlo-Simulation zur Risikoaggregation wird man gelegentlich gefragt, ob man auch Korrelationen verwende, schließlich sei deren Ermittlung recht schwierig. Technisch ist eine Festlegung von Korrelationen zwischen den als Zufallsgrößen modellierten einzelnen Risikopositionen bei der Monte-Carlo-Simulation immer erforderlich. Leider suggerieren manche Tools, so auch Crystal Ball®, dem unerfahrenen Anwender, es ginge auch ohne Korrelationen. Wird keine Korrelationsmatrix aktiv vom Anwender bestimmt, so geht Crystal Ball® grundsätzlich von einer Nullkorrelation aus und weist den Anwender nicht explizit darauf hin. So wünschenswert eine einfache Bedienung von Programmen ist, so deutlich ist davor zu warnen, ob der Einfachheit „mal schnell“ eine Monte-Carlo-Simulation ohne die nötige inhaltliche Vorbereitung zu machen. Es stellt sich die Frage, wie man zu verwendbaren Korrelationsmatrizen kommt. Hier plädieren wir generell für einen Mittelweg zwischen ausschließlicher Ableitung aus beweisbaren Fakten bzw. gesicherten Daten und plausiblen Überlegungen mit Augenmaß und „gesundem Menschenverstand“. So sind wir in unserer Praxis zu dem Schluss gekommen, dass eine Nullkorrelation für im großen Konzern ja oft völlig unterschiedliche Risiken aus verschiedenen Bereichen eine brauchbare Basisannahme darstellt. Der denkbare Ansatz, zunächst eine vollständig positive Korrelation zu unterstellen und damit im Zweifel das höchstmögliche Risiko auszuweisen, scheint zwar vorsichtig, übertreibt aber die Risiken auf aggregierter Ebene und verzerrt damit Steuerungsinformationen. Gerade wo Risikobewertungen auf Expertenwissen beruhen bzw. Risiken inhaltlich und organisatorisch keine Zusammenhänge aufweisen, kann der Beweis einer bestimmten Korrelation auch kaum gelingen. Dort wo die entsprechenden Daten oder plausible Sachgründe vorliegen, werden die Korrelationen entsprechend eingestellt. Negative Korrelationen erhalten dabei, da sie bei der vorgestellten Berechnungsmethode stets risikomindernd wirken, besonderes Augenmerk. Es ist sicherzustellen, dass sie langfristig/strukturell gültig sind und nicht nur temporär/zufällig. Hierzu eignet es sich, möglichst lange Datenreihen durch Experten inhaltlich auf Plausibilität bzw. einen Erklärungsansatz verifizieren zu lassen und auch zu prü-
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
141
Sep. 06
Jul. 06
Mai 06
Mrz. 06
Jan. 06
Nov. 05
Sep. 05
Jul. 05
Mrz. 05
1 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 0
Mai 05
fen, ob Strukturbrüche in der Zukunft absehbar sind. Ein Unterschätzen des aggregierten Risikos aufgrund einer nicht nachhaltigen negativen Korrelation sollte vermieden werden.
Abb. 41. Im Zeitverlauf schwankende Korrelation am Beispiel Strom versus CO2
3
Qualitätssicherung
Die Qualität einer durch Monte-Carlo-Simulation ermittelten aggregierten Risikokennzahl hängt – von denkbaren Fehlern in der technischen Durchführung abgesehen – ausschließlich von der Qualität der Risikobewertungen ab. Um hier eine akzeptable Qualität zu erreichen und dauerhaft sicherzustellen, greift ein mehrstufiges System. Zunächst werden die Risikoeigner direkt von den Bereichen für ihre künftige Aufgabe ausgewählt. Den Auftakt bildet dann eine umfassende Schulung durch das zentrale Risikomanagement, in dem Risikomanagementsystem, statistische Grundlagen, Bewertungsmethoden und konkrete Beispiele vermittelt werden. Insbesondere dort, wo die Risikobewertung weniger statistisch aus Datenreihen abgeleitet ist, als auf Expertenwissen beruht, sind die Überlegungen, Berechnungen und Hintergründe zu dokumentieren. Bei der Ersterfassung erfolgt überwiegend eine gründliche Erörterung. Auch im Folgenden wird die Gelegenheit zum fachlichen Dialog genutzt, z. B. der Informationsaustausch zwischen Risikoeignern verwandter Inhalte aus verschiedenen Teilen des Unternehmens angeregt.
142
Carsten Durchholz
Neben diesem permanenten inhaltlichen Qualitätssicherungsprozess erfolgt grundsätzlich bei jeder Aggregation eine weitere Prüfung der Risikobewertungen nach formalen und statistischen Kriterien durch das zentrale Risikomanagement. Dabei wird zunächst die Vollständigkeit, also die Angabe aller relevanten Parameter zur Beschreibung der Verteilungsfunktion, geprüft. Darüber hinaus wird durch Vergleich mit typischen Verteilungsformen bzw. ähnlich gelagerten Risiken aus dem Konzern eine Plausibilisierung durchgeführt. Im Zweifel wird hier ein weiterer Dialog mit dem Risikoeigner angestoßen, um die Qualität zu verbessern. Ferner werden nach der Simulation die Einflüsse auf das Ergebnis analysiert (Sensitivitätsanalyse), damit die Risiken mit besonders hohem Einfluss auf das Gesamtergebnis einer priorisierten Betrachtung unterzogen werden können. Insgesamt meinen wir, damit eine ihrer Bedeutung adäquate Qualität der Bewertung bei den Risiken überwiegend erreicht zu haben. Die Sicherung dieses Qualitätsstandards bleibt aber permanente Aufgabe.
4
Kommunikation
Um das Ziel, Lieferung entscheidungsrelevanter Information zur Verbesserung der Geschäftsentscheidungen, zu erreichen, bedarf es nicht nur hochwertigen Inputs. Aufgrund der komplexen Aussage und für die nicht damit Befassten wenig durchsichtigen Ermittlung der aggregierten Risikokennzahlen, ist das Risikomanagement verpflichtet, die Ergebnisse empfängerorientiert aufzubereiten und verständlich zu präsentieren. Dazu ist es sicher nicht erforderlich, jedes Mitglied des Managements eines Kompaktkurses in Statistik zu unterziehen. Es gilt, unter Weglassung der „technischen" Details die Aussagen der Ergebnisse ehrlich und kritisch zu präsentieren. Die offene Auseinandersetzung mit der Qualitätsproblematik kann helfen, Misstrauen gegenüber einer Blackbox abzubauen. Die aus der MonteCarlo-Simulation mit beliebiger Nachkommastellenzahl ermittelte Risikokennzahl ist in der Darstellung der Dimension entsprechend anzupassen. Das bedeutet zum Beispiel, bei mehreren hundert Millionen Euro definitiv auf die Nennung von Nachkommastellen (= Hunderttausenden) zu verzichten. Auch muss im Vortrag deutlich werden, dass eine Ergebnisveränderung von nur wenigen Prozenten in einem großen Portfolio allein kein Zeichen einer Änderung der Risikolage ist, sondern eine normale Schwankung innerhalb eines als stabil zu bezeichnenden Korridors. Nicht zuletzt erscheint es uns unbedingt erforderlich, hochaggregierte Risikokennzahlen nur im Zusammenhang mit inhaltlichen Erläuterungen und Analysen der Ursachen und Schwerpunkte zu kommunizieren.
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
5
143
Weitere Anwendungsfälle
5.1 Richtige Bepreisung von Produkten
Grundsätzlich gehen wir davon aus, dass bei der Preisfestsetzung für ein Produkt noch nicht alle Kostenbestandteile mit gesicherten Preisen versehen werden können. Dies gilt insbesondere dann, wenn in hohem Maße Rohstoffe mit volatilen Preisen einfließen oder Parameter auf der Abnahmeseite, z. B. Mengen oder Abnahmezeitpunkte, nicht sicher sind. Damit das Produkt langfristig profitabel ist, müssen diese Schwankungen (Risiken) in der Preisfindung berücksichtigt werden, um nachhaltige Verluste zu vermeiden. Je größer diese Risiken im Verhältnis zur Marge sind, umso wichtiger ist es, ausreichend Risikopuffer einkalkuliert zu haben. Je stärker der Wettbewerb ist, d. h. wenn nur sehr kleine Preisdifferenzen über den Geschäftsabschluss entscheiden, desto größer ist auf der anderen Seite die Gefahr, sich durch großzügige Zuschläge aus dem Markt zu kalkulieren und damit die nötigen Deckungsbeiträge zur Fixkostendeckung zu verlieren. Der Druck von beiden Seiten führt dazu, dass nur eine richtige Einpreisung von Risiken langfristig erfolgreich sein kann. Unter einer richtigen Einpreisung wird hierbei ein Wert verstanden, bei dem die insgesamt eingenommenen Risikozuschläge die Schäden im langfristigen Mittel decken. Pauschale Zuschläge können deshalb bei engen und wettbewerbsintensiven Märkten zur Fehlsteuerung führen. Ebenso ist zu beachten, dass ein einfaches Aufaddieren der (singulär richtig berechneten) Zuschläge für verschiedene Risken fast zwangsläufig zu einer Überschätzung des Gesamtrisikozuschlags führt. Es bietet sich also auch hier an, auf Basis qualitativ hochwertiger Informationen über die Einzelrisiken mittels einer MonteCarlo-Simulation den für das einzelne Produkt richtigen aggregierten Risikozuschlag zu berechnen. 5.2 Bewertung von Projekten
Das klassische Controlling stellt bewährte Verfahren zur Bewertung von Projekten zur Verfügung. Üblicherweise wird hierbei auf Basis von Annahmen ein Modell zur Ermittlung eines internen Zinsfußes berechnet. Dieser Zinsfuß (oder ein äquivalent berechneter Kapitalwert) beschreibt die Vorteilhaftigkeit eines Projektes entweder gegenüber einer Mindestanforderung oder gegenüber alternativen Verwendungen eines Projektbudgets. Dieses Basisszenario kann noch um alternative Annahmen (WorstCase, Best-Case) und „was-wäre-wenn“ Berechnungen ergänzt werden
144
Carsten Durchholz
(auch als Sensitivitäten bezeichnet). Letztere Erweiterungen stellen zwar einen Schritt in die Richtung der spätestens seit Markowitz auf den Kapitalmärkten verwendeten Rendite-Risiko-Ansätze dar, führen ihn aber nicht konsequent zu Ende. Einzelne Szenarien haben keine Aussage über ihre Eintrittswahrscheinlichkeit, ebenso sind die Extreme nicht mit Wahrscheinlichkeiten unterlegt. Hier bietet die stochastische Projektbewertung eine Erweiterung. Mit dem Ziel, eine Monte-Carlo-Simulation durchzuführen, werden ausgewählte Annahmen im Planungsmodell mit Wahrscheinlichkeitsverteilungen hinterlegt. Dies geht technisch besonders einfach, wenn das Planungsmodell bereits in Excel abgebildet ist, da bequem die entsprechenden add-ins eingesetzt werden können. So können die Annahmen in der Planung, die Schwankungen unterworfen sind, als Risikofaktoren für eine Aggregation im komplexen Planungsmodell integriert werden. Allerdings ist dabei eine Beschränkung auf Größen mit wesentlichem Einfluss sinnvoll. Nach Durchführung der Monte-Carlo-Simulation ist das Ergebnis nicht nur ein Zinsfuß oder Kapitalwert, sondern eine Wahrscheinlichkeitsverteilung dieser Größen. Hier können nun beliebige Quantile untersucht werden und auf die Erfüllung von Vorgaben geprüft werden, z. B. dem Erreichen einer Mindestrendite mit 90 % Wahrscheinlichkeit. Auch kann untersucht werden, welcher Risikofaktor wie viel zur Gesamtunsicherheit des Projektergebnisses beigetragen hat. Dies könnte dazu führen, eine Einflussgröße vor der Projektentscheidung zu sichern, z. B. ein Wechselkursrisiko durch ein Devisengeschäft zu sichern, um die Gesamtschwankung des Projektergebnisses zu verringern. Die Analyse von mittlerer Rendite und deren Volatilität erlaubt einen Vergleich von Projekten im klassischen Portfolioansatz und somit eine Auswahlentscheidung auch auf Basis der eigenen Risikofreudigkeit. 5.3 Bewertung von Akquisitionen
Die konsequente Anwendung des Portfolioansatzes führt auch beim Thema Akquisitionen zu einer denkbaren Erweiterung klassischer Ansätze. Grundsätzlich wird bei einer Akquisition die Frage gestellt, ob das Übernahmeobjekt zum Unternehmen „passt“. Dieses „passen“ wird vielfach entweder als (Kosten-)Synergie verstanden oder in der Ergänzung von Geschäftsfeldern gesehen. Es geht also vereinfacht ausgedrückt entweder um Einsparung, z. B. durch Skaleneffekte, oder Umsatzausweitung, z. B. durch Cross-Selling. Ergänzend hierzu kann auch die Dimension „Risiko“ einer näheren Betrachtung unterzogen werden.
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
145
Angenommen, eine bedeutende Akquisition würde vollständig und für den Kapitalmarkt erkennbar durch die Aufnahme frischen Fremdkapitals finanziert, so ist davon auszugehen, dass sich die dafür zu entrichtende Zinsmarge über den risikolosen Zinssatz hinaus an der Risikohaftigkeit des Unternehmens nach erfolgter Akquisition bemisst.55 Dies bedeutet aber im Gegenzug, dass unter sonst völlig identischen Bedingungen aufgrund der geringsten Finanzierungskosten das Unternehmen das höchste Gebot abgeben kann, welches nach erfolgter Akquisition das geringste Risiko hat. Sollte im Extremfall die Akquisition bei einem Kaufinteressenten das Unternehmensrisiko steigern, während es für den anderen einen Hedge darstellt, so kann und sollte letzterer einen höheren Preis bieten. Exemplarisch und sehr stark vereinfacht bedeutet dies für die Energiebranche zum Beispiel, dass bei ausschließlicher Risikobetrachtung ein Betreiber von Gaskraftwerken eher einen Gaserzeuger als ein weiteres Kraftwerk übernehmen sollte. Prinzipiell ist für die konsequente Durchführung auch hier eine Risikoaggregation mittels Monte-Carlo-Simulation sinnvoll. Im Ergebnis kann dann die Veränderung der Gesamtrisikoposition vor und nach Übernahme analysiert werden. Auch wenn die Durchführung einer solchen Berechnung während der Due-Dilligence vielleicht nicht vollumfänglich möglich ist, so sollten diese Überlegungen zumindest Anregung sein, die Frage „Passt der Übernahmekandidat?“ auch explizit unter Risikogesichtspunkten zu beantworten und wenigstens mit vereinfachten Ansätzen auch numerisch zu unterlegen. Gleiches gilt im Übrigen auch für den Verkauf eines Geschäftsfeldes. Gerade im hochgradig vertikal integrierten Konzern könnte die Aufgabe eines Geschäftsfeldes eine sichtbare Ausweitung der Gesamtrisikoposition zur Folge haben. 5.4 Risikoadjustierte Performancemessung
Die Beurteilung von Geschäftsbereichen und deren Management anhand von Zielergebnissen bzw. Zielrenditen ist gängige Praxis. Soweit dies nicht mit stark differierenden Risiken verbunden ist, mag eine einheitliche Zielrendite zu einer erfolgreichen Steuerung führen. Ein Geschäftsfeld mit hohen Risiken, also starken Ergebnisschwankungen, benötigt (virtuell) einen höheren Anteil am gemeinhin teuren Eigenkapital in seiner Funktion als Risikopuffer. Somit ist bei der Ermittlung von Zielrenditen das Risiko schon im Nenner zu berücksichtigen. Ferner verlangt der Kapitalmarkt 55 Auch Ratingagenturen erklären die Risikoposition des Unternehmens als wesentlichen Einflussfaktor auf ihre Bewertung.
146
Carsten Durchholz
normalerweise einen höheren Rückfluss in Form einer Risikoprämie, die im Zähler zu berücksichtigen wäre. Konkret sind die Ansätze zur Berücksichtigung von Risiken innerhalb der verschiedenen in Wissenschaft und Praxis diskutierten Definitionen von Renditemessung vielfältig. Im Rahmen dieses Beitrages können weder die unterschiedlichen Verfahren zur Berücksichtigung von Risiken bei der Performancemessung erschöpfend diskutiert werden, noch ist es möglich, die bei Vattenfall Europe konkret eingesetzten Modelle detailliert zu beschreiben. Festzustellen bleibt aber, dass eine korrekte Betrachtung nur dann möglich ist, wenn einem Geschäftsfeld mit einer Vielzahl von Risiken die richtige Risikokennzahl zugeordnet wird. Eine einfache Summation genügt auch hier nicht. Sie würde ein Geschäftsfeld mit vielen diversifizierten Risiken einem Geschäftsfeld mit wenigen Hauptrisiken gegenüber tendenziell benachteiligen. Zu diskutieren wäre noch, ob das „stand-alone“ Risiko eines Geschäftsfeldes Basis für Kapitalbedarf und Verzinsung sein sollte, oder eher der marginale Beitrag zum Unternehmensrisiko. 5.5 Praktische Erwägungen
Folgt man Kritikern und verzichtet auf eine offizielle Berechnung aggregierter Risikokennzahlen, stößt man relativ schnell auf das Phänomen, dass inoffizielle, also nicht vom Risikomanagement erstellte oder sanktionierte Kennzahlen, von Dritten aus vorhandenen Informationen über Einzelrisiken ermittelt und verbreitet werden. Schnell findet sich jemand, der dem Manager den Wunsch nach einer Gesamtzahl für seinen Bereich erfüllt. Dies ist dann meist ohne die methodischen Möglichkeiten der MonteCarlo-Simulation eine einfache Summe. Diese kann nun bei einem größeren und gut durchmischten Risikoportfolio leicht ein Vielfaches der mittels Simulation ermittelten Größe betragen. Sie steht dann im krassen Missverhältnis zu den tatsächlichen Gegebenheiten und eventuell für andere Einheiten korrekt ermittelten Kennzahlen. Schon um diese Verwirrung zu verhindern, die aus einem „mal schnell“ Addieren entsteht, empfiehlt es sich, allen potenziell Interessierten seitens des Risikomanagements eine korrekt aggregierte Kennzahl anzubieten. Diese dürfte in der weit überwiegenden Mehrzahl der Fälle trotz gewisser Unschärfen insbesondere bei der Berücksichtigung von Korrelationen die betriebswirtschaftlich sinnvolleren Aussagen liefern. In der Praxis hat sich die Anzahl der bei uns durchgeführten Aggregationen in den letzten Jahren mehr als verdoppelt.
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
6
147
Fazit und Ausblick
So einfach die Durchführung von Aggregationen mittels Monte-CarloSimulation technisch geworden ist, verlangt sie doch inhaltlich ein hohes Maß an Vorbereitung und Qualität beim Input, sowie Nachbereitung und Kommunikation beim Output. Nur so können Informationen von betriebswirtschaftlicher Werthaltigkeit generiert werden, die den Zielen einer transparenten und einheitlichen Entscheidungsvorbereitung gerecht werden. Sowohl die formalen Gründe für den Einsatz einer Risikoaggregation mittels Monte-Carlo-Simulation, als auch einige Anwendungsgebiete haben wir dargelegt. Diese Auflistung ist nicht unbedingt erschöpfend. So mag es auch für ein Industrieunternehmen interessant sein, seine versicherbaren Risiken quasi in Spiegelung dessen, was der Versicherer tut, entsprechend zu untersuchen und Optimierungsmodelle zu betreiben. Auch wenn es sich hierbei nicht unbedingt um Risikoaggregation im Sinne des Beitrages handelt, geht es doch um den Einsatz der Monte-Carlo-Simulation. Wichtigste Aufgabe des Risikomanagements im Zusammenhang mit der Aggregation ist es, die Qualität auch in wechselnden Umfeldern zu erhalten und bei Risikoeignern und Berichtsempfängern vertieftes Verständnis zu erreichen und auszubauen (Risikokommunikation). Neben der korrekten Anwendung auf bewährten Einsatzgebieten ist zu überlegen, wo durch den Einsatz von aggregierten Kennzahlen weiterer Mehrwert zu schaffen ist. Einer aggregierten Risikokennzahl steht bei der Frage nach der Bedeutung des Risikos immer eine Risikotragfähigkeit gegenüber. Es erscheint uns notwendig, die Messung der Risikotragfähigkeit mit gleicher Sorgfalt weiterzuentwickeln und sich von pauschalen Ansätzen wie dem klassischen „halben Eigenkapital“ zu lösen. Auch die Fragestellung der Wirkung der Dimension Zeit auf die Risikobewertung erscheint uns ein interessantes Forschungsfeld.
Risikoaggregationsmethoden im Risikomanagement der EnBW
Thilo Enders, Thomas Vetter, Uwe Wagner EnBW AG
1
Das Unternehmen EnBW Energie Baden-Württemberg AG56
Die EnBW Energie Baden-Württemberg AG mit Hauptsitz in Karlsruhe ist mit rund fünf Millionen Kunden das drittgrößte deutsche Energieunternehmen. Mit derzeit rund 20.259 Mitarbeiterinnen und Mitarbeitern hat die EnBW 2006 einen Jahresumsatz von 13.219,4 Millionen Euro erzielt. Unsere Kernaktivitäten konzentrieren sich auf die Geschäftsfelder Strom, Gas sowie Energie- und Umweltdienstleistungen (s. Abb. 42). Über unser Engagement in Baden-Württemberg hinaus sind wir in ganz Deutschland sowie in weiteren Märkten Mittel- und Osteuropas aktiv.
56
www.enbw.com
150
Thilo Enders, Thomas Vetter, Uwe Wagner
Abb. 42. Die Energie Baden-Württemberg AG
Die EnBW Energie Baden-Württemberg AG übt als operative Holding die Leitungsfunktion im EnBW-Konzern aus. Die EnBW Kraftwerke AG betreibt den überwiegenden Teil des EnBW-Kraftwerksparks und verfügt mit eigenen und teileigenen Kraftwerken, Beteiligungen und langfristigen Kraftwerksbezugsverträgen über ein ausgewogenes Erzeugungsportfolio aus Kernenergie, Kohle, Gas, Wasser und sonstigen erneuerbaren Energieträgern. Die EnBW Trading GmbH ist für den Handel mit physischen und finanziellen Handelsprodukten sowie für Strom- und Lieferverträge mit Handelspartnern verantwortlich. Die EnBW Transportnetze AG betreibt das Übertragungsnetz und sorgt für einen transparenten und gleichberechtigten Netzzugang aller Strommarktteilnehmer zum Höchstspannungsnetz der EnBW (220 und 380 kV). Die EnBW Regional AG betreibt das Hoch-, Mittel- und Niederspannungsnetz der EnBW (110, 20 und 0,4 kV) und erbringt netznahe und kommunale Dienstleistungen in den Bereichen Strom, Gas, Wasser und Telekommunikation. Sie ist ebenfalls für die Beziehungen zu den Kommunen und Stadtwerken in Baden-Württemberg verantwortlich. Die Gasversorgung Süddeutschland GmbH ist eine der größten regionalen deutschen Ferngasgesellschaften. Sie transportiert Erdgas in ihrem Baden-Württembergischen Netz. Die EnBW Gas GmbH ist die zentrale Gasendverteilgesellschaft im EnBW-Konzern. Die EnBW Vertriebs- und Servicegesellschaft mbH vertreibt Energie (Strom, Gas und Fernwärme), Wasser sowie Energie- und Servicedienst-
Risikoaggregationsmethoden im Risikomanagement der EnBW
151
leistungen an Industrie-, Gewerbe- und Privatkunden, Stadtwerke und Kommunen. Die Yello Strom GmbH vertreibt deutschlandweit Energie an Privat und Gewerbekunden. Die EnBW Energy Solutions GmbH erbringt im Rahmen von Contractingmodellen energienahe Dienstleistungen. Sie bewirtschaftet Energieanlagen und Arealnetze der Kunden und beliefert ihre Kunden mit Eigenstrom, Wärme und Kälte.
2
Risiko und Risikomanagement
Der Begriff „Risiko“ ist nicht allgemeingültig definiert. Da die Beurteilung der Entwicklung und des Erfolgs eines Unternehmens unmittelbar von den Zielvorstellungen der Anteilseigner und des Managements abhängt, liegt es nahe, einen zielbezogenen Risikobegriff zu verwenden Im EnBW-Konzern wird Risiko als der potenzielle Ertrags- oder Vermögensverlust definiert, der sich aus möglichen Gefährdungen ergibt. Mögliche Gefährdungen sind entweder grundsätzlich planbare, aber dennoch der Zufälligkeit unterliegende oder nicht prognostizierbare Ereignisse. Das Risikomanagement im EnBW-Konzern ist ein Prozess, der in allen Konzerngesellschaften und Mehrheitsbeteiligungen installiert ist. Die Ordnungsfunktion nimmt das Konzernrisikomanagement in der EnBW-Holding wahr. Dazu gehören das Festlegen von Richtlinien, Methoden und Begriffsdefinitionen. Beim Aufbau des Risikomanagements orientiert sich der EnBWKonzern am COSO Framework57 für das Enterprise Risk Management. Dieses zielt auf eine breite Anwendergruppe und beschränkt sich nicht auf eine Industrie- oder Dienstleistungsart. Es enthält jedoch keine konkreten Handlungsanweisungen, sondern beschreibt die verschiedenen Elemente, die ein unternehmensweites Risikomanagement enthalten sollte. Die Identifikation von Risiken wird dezentral in Eigenverantwortung durch die Konzerngesellschaften/Beteiligungen durchgeführt, das heißt, Risiken werden dort identifiziert, wo sie auftreten. Anschließend werden für die identifizierten Risiken Risikoszenarien entwickelt und jedes Szenario nach Schadenspotenzial und Eintrittswahrscheinlichkeit bewertet. Das Schadenspotenzial, bewertet in Euro, ist die Differenz zwischen Planszenario und Risikoszenario. Die Eintrittswahrscheinlichkeiten klassifizieren wir in vier Klassen von „sehr gering“ bis „sehr hoch“. Der verbalen Be57 COSO (Committee of Sponsoring Organizations of the Treadway Commission), www.coso.org
152
Thilo Enders, Thomas Vetter, Uwe Wagner
schreibung entsprechen Bandbreiten von prozentualen Eintrittswahrscheinlichkeiten. Der Grund für die Klassifizierung ist die mangelnde Verfügbarkeit von geeigneten Statistiken, um Eintrittswahrscheinlichkeiten präzise ermitteln zu können. Ein Vorteil dieser Vorgehensweise ist auch die unseres Erachtens bessere Eignung der Klasseneinteilung zur Risikokommunikation. Zur Unterstützung des Risikomanagementprozesses verwenden wir eine eigenentwickelte Software. Diese Applikation ist über Intranet und Internet erreichbar, so dass alle Konzerngesellschaften unabhängig voneinander ihren Risikomanagementprozess durchführen können. Alle Risiken des Konzerns werden in einer zentralen Datenbank erfasst. Für das Berichtswesen setzen wir einen kommerziellen Reportgenerator ein, so dass alle Anwender das gleiche standardisierte Layout nutzen. Das Berichtswesen in der EnBW wird in Abhängigkeit von Schadenspotenzial und Eintrittswahrscheinlichkeit der Risiken durchgeführt. Entlang der Konzernstruktur werden die identifizierten Risiken berichtet, wenn sie jeweils über konzernweit einheitlichen Schwellenwerten liegen. Auf diese Art wird das Berichtswesen gestrafft und der Berichtsempfänger erhält die für ihn wesentliche Information über die Risikolage. Auf jeder Berichtsebene werden gegebenenfalls auch Einzelrisiken zusammengefasst. Die abschließende Aggregation wird vom Konzernrisikomanagement für die Risikoberichterstattung an den Vorstand und den Aufsichtsrat vorgenommen. Die Aggregation wird aus zwei Gründen durchgeführt: Ein Aspekt ist die Analyse des Risikoportfolios hinsichtlich kumulierender Risiken, der Andere die Übersichtlichkeit des Berichtswesens. Ein zu detaillierter Risikobericht schafft keine Transparenz. Transparenz ist jedoch das erklärte Ziel eines erfolgreichen Risikomanagements. Auf Konzernebene verdichten wir alle Risken zu ca. 20 – 30 so genannten Key Risks. Diese sind im Wesentlichen statistisch unabhängig voneinander. Eine Verdichtung auf eine einzige Risikokennzahl wird nicht durchgeführt, da diese die Transparenz über die Risikolage nicht weiter erhöht. Das Konzept der Key Risks fördert, im Gegensatz zu einer singulären Kennzahl, die Risikokommunikation durch Plastizität. Die in der EnBW angewandten Aggregationsmethoden werden im folgenden Abschnitt beschrieben.
Risikoaggregationsmethoden im Risikomanagement der EnBW
3
153
Aggregationsmethoden
3.1 Aggregation durch Value-at-Risk-Methoden
Die Vorgehensweise der Aggregation auf eine Risikokennzahl geht auf die Finanzbranche zurück. Vorreiter war JP Morgan.58 Ein Vorstandsmitglied forderte die Handelsabteilung auf, täglich eine Kennzahl zu ermitteln, die den möglichen Verlust an einem beliebigen Tag im nächsten Monat beschreibt. Das Ergebnis war die Value-at-Risk-Methode59, das Schätzen des 95 %-Quantils einer Gewinn- und Verlustverteilungsfunktion. Bei einem typischen Monat mit 20 Arbeitstagen entspricht das 5 %-Quantil der Verteilungsfunktion dem möglichen Verlust an einem Arbeitstag. Bei dieser Methode ist Risiko als der mögliche Verlust in Folge von Kursverlusten definiert. Dieses Schätzverfahren etablierte sich in den folgenden Jahren als Standard für die Bewertung von Handelsrisiken im Bankenbereich. Bewertet werden nicht nur Risiken einzelner Produkte, sondern Produktsegmente, Portfolios und das gesamte Unternehmen. Der Value-at-Risk-Ansatz stellt hohe Anforderungen an die Datengrundlage. Alle wesentlichen Risikotreiber müssen statistisch hinreichend genau beschrieben werden. Das bedeutet im Einzelnen, dass für alle Risikotreiber eine Verteilung ableitbar und eine Schätzung der gegenseitigen Abhängigkeiten (Korrelationen) robust möglich sein muss. Darüber hinaus muss gewährleistet sein, dass sich die der Schätzung zugrunde liegenden Annahmen über den zu prognostizierenden Zeitraum nicht verändern. Dies impliziert unter anderem, dass eine Risikoabschätzung mittels Value-atRisk nur für den „Normalbetrieb“ möglich ist. Im „Extremfall“ sind Korrelationen von Teilrisiken deutlich abweichend. An die Stelle der Diversifizierung des Risikos durch Einzelrisiken tritt dann die Verstärkung. Aus diesem Grund führen wir ergänzend Stresstests auf Basis von Szenarien durch.60 Dazu gehören beispielsweise Szenarien mit extremen Entwicklungen der Rohstoffpreise. Liegen zu einem Risiko oder einem Risikoportfolio Daten in hinreichend guter Qualität vor, sind die VaR-Methoden auch außerhalb der Finanzbranche adäquate Verfahren zum Abschätzen von Risiken im „Normalbetrieb“. Typische Beispiele sind Risiken in den Bereichen Finanzund Liquiditätsplanung. Wir setzen diese Methoden in diesen Bereichen sowie im Energiehandel ein. 58
Vgl. Mina u. Yi Xiao 2001 Siehe z. B. Contingency Analysis 2002 60 Vgl. Contingency Analysis 2005 59
154
Thilo Enders, Thomas Vetter, Uwe Wagner
Für den überwiegenden Teil der Risiken nach KonTraG61 (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) genügen die vorhandenen Daten nicht der erforderlichen Qualität. Entweder ist die Datenhistorie zu kurz, oder sie ist durch Sondereffekte nicht nutzbar. Bei internen Daten sind dies beispielsweise Restrukturierungen des Konzerns und Veränderungen der Geschäftsprozesse. Aber auch externe Daten unterliegen Strukturbrüchen, so dass auch in diesem Fall eine vermeintlich große Datenmenge in der Praxis klein sein kann. In diesen Fällen nutzen wir in der EnBW drei weitere Verfahren zur Risikoaggregation. Als Prinzip für alle drei Verfahren gilt, dass nur Risiken mit gleicher Ursache aggregiert werden. Alternativ dazu wäre es ebenfalls möglich, Risiken mit gleicher Auswirkung zu aggregieren. Beide Prinzipien sind grundsätzlich gleichwertig. Wir haben uns für den Ursachenbasierten Ansatz entschlossen, da operative Risikomitigationsmaßnahmen in der Regel bei den Ursachen und nicht bei den Auswirkungen ansetzen sollen. Würde weder das eine noch das andere Prinzip angewandt, ergäben sich aggregierte Risiken mit unterschiedlichen Ursachen und unterschiedlichen Auswirkungen. Ein effektives Managen ist dann auf Grund der höheren Komplexität deutlich erschwert. Für jede Risiko reduzierende Maßnahme wäre zu klären, welche Ursachen und welche Auswirkungen betroffen sind. Diese unnötige Komplexität ist durch Einhalten des oben beschriebenen Prinzips leicht zu umgehen. Ferner ist die Risikokommunikation ein Teil des Risikomanagementprozesses, und für die Kommunikation gilt, je komplexer der Sachverhalt, umso schwerer ist er zu vermitteln. 3.2 Aggregation bei perfekter Korrelation
Der einfachste Fall der Aggregation ist die Addition bzw. Subtraktion. Addieren beziehungsweise subtrahieren führt zu einer korrekten Lösung, wenn die Teilrisiken perfekt positiv bzw. negativ korreliert sind. Änderungen der Gesetzeslage oder regulatorische Rahmenbedingungen sind typische Beispiele. Sie treffen mehrere Konzerngesellschaften und der potenzielle Schaden ist die Summe der potenziellen Einzelschäden entlang der Wertschöpfungskette.
61
Vgl. Bundesministerium der Justiz 1998
Risikoaggregationsmethoden im Risikomanagement der EnBW
155
3.3 Aggregation durch Neubewertung mittels Szenariotechnik
Die am häufigsten eingesetzte Methode ist die Aggregation von Teilrisiken zu einem Key Risk mittels einer Neubewertung auf Basis von Szenarien. Die Szenarien werden von Experten entwickelt und enthalten alle relevanten Aspekte der Teilrisiken. Wir verwenden in der Regel drei Szenarien, die einen mittleren, einen günstigen und einen ungünstigen Risikoverlauf beschreiben. Ein Beispiel ist die Bewertung einer kleineren Konzerngesellschaft, wobei die Teilrisiken auf Konzernebene wegen ihrer geringen monetären Auswirkung nicht relevant sind. Eine Aggregation der Teilrisiken beantwortet die Frage nach dem kumulierten Gesamtrisiko der Gesellschaft.62 Wir leiten Szenarien aus den Planungsprämissen der Unternehmensplanung ab. Typischerweise entsprechen der günstige Risikoverlauf einer geringfügigen negativen Abweichung von den Planungsprämissen und der ungünstige Risikoverlauf einer deutlichen negativen Abweichung. Zum Erstellen eines Chancen- und Risikoprofils werden darüber hinaus Szenarien gebildet, die positive Abweichungen zu den Planungsprämissen beschreiben. Wir wenden dieses Verfahren auf kleinere Einheiten mit einem Geschäftsmodell von geringer Komplexität an. Prinzipiell ist dieses Vorgehen auch für größere Einheiten denkbar, allerdings sind dann singuläre Ereignisse mit einen bedeutenden Beitrag zum Gesamtrisiko gesondert zu berücksichtigen. 3.4 Aggregation durch Neubewertung mittels Modellierung
Für ein umfangreiches Portfolio von Teilrisiken ist es nicht immer möglich, Szenarien zu entwickeln, die alle Teilaspekte abdecken. In diesem Fall modellieren wir das Portfolio unter Vernachlässigung der Detailinformation aus den Teilrisiken. Das folgende Beispiel verdeutlicht diese Vorgehensweise. Zur Stromproduktion steht der EnBW ein heterogener Kraftwerkspark zur Verfügung. Die wesentlichen Typen sind thermische Kraftwerke (Kohle-, Gas- und Kernkraftwerke) sowie Wasserkraftwerke (Laufwasser-, Speicher- und Pumpspeicherkraftwerke). Der Einsatz jedes einzelnen 62
Dies ist ein Beispiel für eine Aggregation hinsichtlich der Auswirkungen. Das Vorgehen ist in diesem Fall gerechtfertigt, da die einzelnen Risiken auf Konzernebene wegen ihres geringen Schadenspotenzials keine Relevanz haben. Das Managen der Risiken findet in der Tochtergesellschaft statt. Dort liegen die Risiken in nicht aggregierter Form vor.
156
Thilo Enders, Thomas Vetter, Uwe Wagner
Kraftwerks ergibt sich aus einer täglichen Optimierung in Abhängigkeit von Brennstoffkosten und verkaufter Strommenge. Fällt ein Teil des Kraftwerksparks ungeplant aus, muss die EnBW Ersatzstrom beschaffen. Das Key Risk „Deckungsbeitragsverlust bei der Stromproduktion“ beschreibt den ungeplanten Ausfall eines Teils des Kraftwerksparks. Bewertet wird das Risiko mit den Kosten für die Ersatzstrombeschaffung abzüglich eingesparter variabler Kosten. Reparaturaufwendungen werden hier nicht berücksichtigt. Auf Grund der Komplexität jedes Kraftwerks gibt es zahlreiche Risiken, die einen ungeplanten Stillstand zur Folge haben können. Dazu gehören beispielsweise Leckagen von Rohrleitungen, Ausfälle von Kühlmitteloder Speisewasserpumpen sowie Defekte am Generator oder an den Turbinen. Stark vereinfacht lassen sich die Einzelrisiken je nach Kraftwerkstyp clustern (s. Tabelle 9). Tabelle 9. Risikoartenclusterung
Thermische Kraftwerke Wärmeproduktion Turbinen Generator Kühlung etc.
Wasserkraftwerke Wasserleitung Turbinen Generator Pumpen etc.
An jedem Kraftwerksstandort werden im Rahmen des EnBWRisikomanagementprozesses regelmäßige Risikoinventuren zur Identifikation spezifischer Einzelrisiken durchgeführt. Jedes identifizierte Risiko wird anschließend nach möglicher Schadenshöhe und Eintrittwahrscheinlichkeit bewertet. Würden wir diese zahlreichen Teilrisiken mit Szenarien aggregieren, müssten wir präzise Annahmen hinsichtlich der Häufigkeit jedes einzelnen Risikos und der Korrelation zwischen je zwei Risiken treffen. Gerade diese Informationen liegen in den seltensten Fällen vor. Stattdessen beschreiben wir ergänzend die Nichtbeanspruchbarkeit63 von Teilen des Kraftwerksparks mit einem numerischen Modell und schätzen mit diesem die möglichen Deckungsbeitragsverluste gesamthaft für den Kraftwerkspark ab. Dies wird im Folgenden näher dargestellt. Zur Modellierung unterscheiden wir den technischen Aspekt, d. h. die unplanmäßige Nichtbeanspruchbarkeit eines jeden Kraftwerks und den finanziellen Aspekt der entgangenen Deckungsbeiträge durch den Anlagen-
63 Nichtbeanspruchbarkeiten eines Kraftwerks sind Nichtverfügbarkeiten und unplanmäßige Einschränkungen aufgrund äußerer Einflüsse.
Risikoaggregationsmethoden im Risikomanagement der EnBW
157
ausfall. Marktpreisrisiken stehen bei dieser Betrachtung nicht im Vordergrund. Diese werden an anderer Stelle im Konzern erfasst und gemanagt. Im ersten Schritt erfolgt auf Basis historischer Daten und Expertenwissen die Abbildung der Kraftwerksausfallcharakteristik für die einzelnen Anlagen. Im darauf folgenden Schritt werden die Kraftwerksausfälle simuliert und die entgangenen Deckungsbeiträge ermittelt. a) Abbildung der Kraftwerksausfallcharakteristik:
Zum Abschätzen der Verteilung der unplanmäßigen Nichtbeanspruchbarkeit von Kraftwerken leiten wir zuerst eine typische Verteilungsfunktion ab und passen diese anschließend an die EnBW-Kraftwerke an. Da unser Kraftwerkspark wegen der beschränkten Anzahl an Kraftwerken statistisch gesehen nicht repräsentativ ist, greifen wir bei der Modellierung der Kernkraftwerke auf die VGB64 Statistiken zur Verfügbarkeit von Kernkraftwerken der Jahre 1994–2004 zurück (s. Abb. 43). Wir verwenden die Angaben zur „geplanten Arbeits-Nichtverfügbarkeit“ (Plan-NV) und zur „Arbeitsausnutzung“, womit in guter Näherung die historische Beanspruchbarkeit der Kernkraftwerke ermittelt werden kann. Für Kohle- und Wasserkraftwerke liegen keine vergleichbaren öffentlich zugänglichen Daten für die Ermittlung der Beanspruchbarkeit vor. 30
Häufigkeit
25
20
15
10 5
0 0
10
20
30
40
50
60
70
80
90
100
Arbeitsausnutzung ohne Plan-Nichtverfügbarkeit in %
Abb. 43. Arbeitsausnutzung ohne Plan-NV deutscher KKW (1994–2004)
64 Verband der Großkessel-Besitzer, europäischer Fachverband für die Strom- und Wärmeerzeugung
158
Thilo Enders, Thomas Vetter, Uwe Wagner
Die insgesamt 208 Werte liegen im Intervall [0 %, 100 %] mit einem Mittelwert von 91,9 % und einer Standardabweichung von 13 %. Neun Ereignisse werden im Modell als Extremwert behandelt, da sie deutlich von der Mehrheit der Ereignisse abweichen (hier Ereignisse, die eine Arbeitsausnutzung von weniger als 70 % aufweisen). Für die Beschreibung der historischen Häufigkeitsverteilung verwenden wir eine β-Verteilung. β-Verteilungen haben den Vorteil, dass sie über einem festen Intervall definiert sind, in unserem Fall null bis hundert Prozent.65 Um den Extremwerten der historischen Verteilung gerecht zu werden überlagern wir die β-Verteilung mit einer Gleichverteilung, deren Größe von der Häufigkeit der seltenen Ereignisse abhängt. Die daraus resultierende modifizierte β-Verteilung wird durch drei Parameter vollständig definiert. Diese Parameter schätzen wir mit Hilfe der vorliegenden historischen Daten ab. Die Übereinstimmung der modellierten mit der historischen Verteilung ist sehr gut (s. Abb. 44). 30 25
Häufigkeit
20
Erwartungswert der verwendeteten Verteilung
15 10 5 0 75
80
85
90
95
100
Arbeitsausnutzung ohne Plan- Nichtverfügbarkeit in % Historische Daten
Verwendete Verteilung
Abb. 44. Häufigkeitsverteilung der historischen Arbeitsausnutzung ohne Plan-NV
Anhand einer Auswertung der historischen Daten je Kraftwerk zeigt sich, dass wir die oben genannten drei Parameter jeweils in Abhängigkeit vom Erwartungswert der Verteilung angeben können. Demzufolge passen 65
Vgl. Weisstein 2003
Risikoaggregationsmethoden im Risikomanagement der EnBW
159
wir die abgeleitete typische Verteilung für die „Arbeitsausnutzung ohne geplante Arbeits-Nichtverfügbarkeiten“ eines deutschen Kernkraftwerks im nächsten Schritt an die Gegebenheiten der EnBW an. Dazu gleichen wir die Erwartungswerte der geschätzten modifizierten β-Verteilung an die jeweiligen Erwartungswerte für die eigenen Kraftwerke an. Für die fossil befeuerten Kraftwerke verfahren wir entsprechend, allerdings treffen wir hier vereinfachend die Annahme, dass die Form der für die KKW ermittelten Verteilung auch auf diese anwendbar ist. Diese Annahme ist notwendig, da keine hinreichend guten Daten für konventionelle Kraftwerke für die Ermittlung der Beanspruchbarkeit veröffentlicht werden und die Anzahl der eigenen Kraftwerke für eine Verteilungskurvenbestimmung nicht ausreicht. Allerdings liefert ein Abgleich der eigenen historischen Häufigkeitsverteilung mit den modellierten Verteilungen eine Indikation, welche diese Annahme rechtfertigt. Im nächsten Schritt erfolgen die Monte-Carlo-Simulation der unplanmäßigen Nichtbeanspruchbarkeiten und die Ermittlung der damit verbundenen, entgangenen Deckungsbeiträge. b) Simulation unplanmäßiger Nichtbeanspruchbarkeiten und entgangener Deckungsbeiträge:
Für die Monte-Carlo-Simulation nutzen wir die Software Crystal Ball®66. Die entgangenen Deckungsbeiträge bewerten wir monetär aus der Differenz der geplanten zur simulierten Beanspruchbarkeit. Die Abschätzung erfolgt einmal jährlich und zusätzlich bei größeren Marktpreisveränderungen. Wir führen sie für den Zeitraum der Mittelfristplanung der EnBW durch. Dieser beträgt derzeit drei Jahre. Das Ergebnis der Abschätzung soll hier anhand eines fiktiven Kraftwerksparks dargestellt werden. Der fiktive Kraftwerkspark besteht aus drei Kernkraftwerken und zwei Steinkohleblöcken (s. Tabelle 10). Als Bewertungszeitpunkt verwenden wir die Notierungen an der Börse EEX in Leipzig67 (s. Tabelle 11).
66 67
Decisioneering, Inc., www.crystalball.com European Energy Exchange, www.eex.de
160
Thilo Enders, Thomas Vetter, Uwe Wagner
Tabelle 10. Fiktiver Kraftwerkspark
Kraftwerksblock
Leistung [MW]
KKW 1 KKW 2 KKW 3 Steinkohle 1 Steinkohle 2
1.100 900 500 600 500
Arbeitsbeanspruchbarkeit ohne planmäßigem Anteil 97 % 95 % 90 % 89 % 93 %
Tabelle 11. Jahres-Base und -Peak68 an der EEX
Liefertermin 2007 Liefertermin 2008 Liefertermin 2009
Jahres-Base [€/MWh] 44,10 42,42 43,07
Jahres-Peak [€/MWh] 60,56 59,21 59,15
Die in der Monte-Carlo-Simulation für ein stabiles Ergebnis erforderliche Anzahl der Ziehungen ist u. a. von der Anzahl der Kraftwerke und der eingesetzten Verteilungsfunktionen abhängig. Im betrachteten Beispiel wurde die Simulation mit 500.000 Ziehungen durchgeführt. Auf Basis der simulierten unplanmäßigen Nichtbeanspruchbarkeiten erhält man eine Verteilung der Deckungsbeitragsverluste (s. Abb. 45) beziehungsweise die einzelnen Quantile (s. Tabelle 12). Tabelle 12. Quantile der geschätzten Verteilung
Quantil 2,5 % 5% 10 % 20 %
Deckungsbeitragsverlust 2007-2009 [Mio. €] 170 130 77 29
68 Jahres-Base ist der Preis bei täglicher Lieferung für ein Jahr von 0:00 bis 23:59 Uhr, Jahres-Peak bei Lieferung von Montag bis Freitag jeweils von 8:00 bis 19:59.
Risikoaggregationsmethoden im Risikomanagement der EnBW
161
Abb. 45. Simulierte Verteilung des Deckungsbeitragsverlusts
Demnach liegt der Deckungsbeitragsverlust bei dem im Beispiel angeführten fiktiven Kraftwerkspark mit einer Wahrscheinlichkeit von 5 % unter 130 Mio. €. Der ermittelte Wert beschreibt vollständig das Aggregat aller Teilrisiken an allen Kraftwerksstandorten, die zu einem unplanmäßigen Ausfall führen können. Annahmen zu Korrelationen von Teilrisiken müssen nicht getroffen werden.
4
Zusammenfassung
Eine Risikoberichterstattung, angepasst an die spezifischen Bedürfnisse der unterschiedlichen Adressaten, bedarf einer systematischen Informationsverdichtung. Mit Hilfe der hier vorgestellten Methoden sind wir in der Lage, die Risikosituation des Konzerns vollumfänglich zu beschreiben und den Schwerpunkt auf die bedeutendsten Risiken zu legen. Die beschriebenen Methoden haben jeweils den Vorteil, dass sie Risiken so genau wie möglich beschreiben und ohne nicht fundierte Annahmen auskommen. Sollten über die Verdichtung hinaus Detailinformationen nötig sein, greifen wir auf unsere zentrale Risikodatenbank zurück und fügen diese Detailinformation den Risikoberichten gegebenenfalls bei. Das Konzept der Key Risks zur Risikokommunikation hat sich bei der EnBW bewährt. Es erhöht die Übersichtlichkeit und strukturiert das Risikoportfolio. Die Folge ist ein hohes Maß an Transparenz über die Risikolage des Konzerns.
Risikoaggregation in der Praxis des AxpoKonzerns
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck Axpo AG und Oliver Wyman (Bernhard Brodbeck)
1
Der Axpo-Konzern
1.1 Überblick
Der Axpo-Konzern vereinigt drei erfahrene, traditionsreiche Schweizer Energiefirmen unter einem Dach. Die Axpo-Gruppe gehört zu 100 % direkt oder indirekt den Schweizer Kantonen: Zürich, Aargau, Appenzell Innerrhoden, Appenzell Ausserrhoden, St. Gallen, Thurgau, Schaffhausen, Glarus und Zug. Zu den Kerngeschäften der Axpo-Gruppe gehören die Stromproduktion, die Transportnetze, der Handel, der Verkauf von Energieprodukten und die Erbringung von stromgebundenen Dienstleistungen. Rund 3000 qualifizierte Mitarbeitende gewährleisten die Stromversorgung von zirka 40 % des Schweizer Strommarkts69, welcher aus Endverbrauchern, Kantonswerken sowie Industrie- und Gewerbetreibenden besteht. Im Schweizer Markt steht die Axpo-Gruppe für Sicherheit, Qualität und Langfristigkeit. Für die Gewährleistung einer zuverlässigen Stromversorgung in der Schweiz arbeitet sie partnerschaftlich mit den Elektrizitätswerken der Nordostschweizer Kantone und mit Hunderten von Endverteilern zusammen. Sie besitzt und betreibt über ihre Tochtergesellschaften und Partner rund 50 eigene Kraftwerke und Beteiligungen. Die Präsenz an den europäischen Energiemärkten und Strombörsen sowie das Gasgeschäft sind für die internationale Wettbewerbsfähigkeit des Axpo-Konzerns essenziell, weshalb diese zielgerichtet ausgebaut werden. Zurzeit handelt die 69
Dies entspricht 3 Millionen Kunden im Schweizer Markt.
164
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
Axpo-Gruppe in ganz Europa mit Strom, Gas und energiebezogenen Finanzprodukten. 1.2 Gesellschaftsstruktur
Die Axpo-Gruppe umfasst unter dem Dach der Axpo Holding AG die Nordostschweizerische Kraftwerke AG (NOK), die Centralschweizerische Kraftwerke AG (CKW), die Elektrizitätsgesellschaft Laufenburg AG (EGL) und die Axpo Informatik. Letztere ist für die Erbringung von Informatikdienstleistungen für die Axpo-Gruppe zuständig.
Abb. 46. Gesellschaftsstruktur des Axpo-Konzerns
• Die NOK ist die größte Schweizer Stromproduzentin aus hydraulischen Kraftwerken. Neben den Fluss- und Speicherkraftwerken gehören Kernkraftwerke zum Kraftwerkspark der NOK. Sie besitzt und betreibt das Kernkraftwerk Beznau und hält namhafte Beteiligungen an den Kernkraftwerken Leibstadt und Gösgen. Prioritäres Ziel der NOK ist die Gewährleistung der Versorgungssicherheit für die Nordostschweizer Kantone. Zudem betreibt die NOK zur optimalen Bewirtschaftung ihrer Kraftwerke einen aktiven internationalen Stromhandel. Die NOK setzt auch auf erneuerbare Energien, wobei die Biomasse, die Kleinwasserkraft und die Geothermie im Vordergrund stehen. • Die CKW ist das führende Energiedienstleistungsunternehmen der Zentralschweiz. Sie nimmt eine wichtige Rolle im Versorgungsgeschäft der Axpo-Gruppe ein. Sie umfasst die zwei Kernbereiche Energie und Netze. Dazu gehören die Geschäftssparten Produktion, Energiewirtschaft, Vertrieb, Asset Management Netze, Netzführung, Netzservices und Supply Management.
Risikoaggregation in der Praxis des Axpo-Konzerns
165
• Mit der EGL gehört eine der führenden europäischen Energiehandelsgesellschaften zur Axpo-Gruppe. Die EGL verfügt über lokale HandelsStandbeine in Italien, Spanien, Österreich, Polen, Deutschland, Ungarn, Rumänien und Norwegen. Mit dem Engagement in Gas-Kombikraftwerken in Italien erschließt die EGL zukunftsträchtige Märkte. Ein weiteres Geschäftsfeld stellt der Gashandel mit dem Zielsegment Mid-Stream in ganz Europa dar. 1.3 Umfeldbedingungen
Neben den unternehmensspezifischen Merkmalen spielen auch die Umfeldbedingungen eine wichtige Rolle für die Ausgestaltung des Risikomanagements. Organisation und Grundsätze richten sich dabei in gleichem Maße nach externen Gesetzen, wie zum Beispiel dem Schweizerischen Obligationenrecht (OR)70, International Financial Reporting Standards (IFRS), Gesetzen der Swiss Exchange Börse (SWX)71, sowie internen Richtlinien (Führungs- und Organisationshandbuch des Axpo-Konzerns, technische Richtlinien etc.). Beim Marktumfeld sind insbesondere folgende Aspekte erwähnenswert: • Die Energiemärkte in der Schweiz und in Europa befinden sich in Bewegung. Ab 2007 tritt in der Europäischen Union die vollständige Strommarktliberalisierung in Kraft. Dies eröffnet der Axpo wegen ihrer geografischen Lage und ihrem Beitrag zur EU-Stromdrehscheibenfunktion neue Wachstumsperspektiven. • Aufgrund der Umweltveränderungen wurde weltweit eine Reihe von gesetzlichen Vorschriften verabschiedet, welche einen nachhaltigen Einfluss auf den EU-Strommarkt und das Preisniveau ausüben, allen voran das European Trading Scheme (ETS) für den Handel von CO2-Zertifikaten in Europa. • Obwohl sich die derzeit steigende Stromnachfrage und die steigenden Preise in Europa als ein positiver Aspekt für die Strombranche erweisen, steht die zukünftige Versorgungssicherheit in der Schweiz und in Europa schon jetzt vor wichtigen Entscheidungen über Investitionen in neue Produktionsanlagen.
70
Die Durchführung einer Risikobeurteilung ist in Art. 663b und 727a der neuen Revision des ORs verankert. 71 Da der Axpo Konzern nicht notiert ist, begrenzt sie sich auf die Empfehlungen der SWX.
166
2
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
Das Corporate Risk Management
2.1 Einführung
Zur Gewährleistung eines nachhaltigen Unternehmenserfolgs betreibt der Axpo-Konzern ein konzernweites Risikomanagementsystem. Dabei werden durch eine systematische und nachvollziehbare Identifikation, Messung, Bewertung, Steuerung und Überwachung der unternehmerischen Risiken die Ungewissheiten sowie Gefahren auf ein angemessenes Maß reduziert und im Ergebnis auch die Chancen kontrolliert wahrgenommen. Das Corporate Risk Management leistet dabei als integrierter Bestandteil der Unternehmensaufsicht (Corporate Governance) einen Beitrag zur Transparenz und unterstützt somit risikoadäquate, unternehmerische Entscheidungen. Dies erfolgt, indem einerseits unabhängige Risikobewertungen als neutrale Entscheidungshilfen den Führungsorganen zur Verfügung gestellt und andererseits die neuen strategischen Stoßrichtungen und Konzernziele im Rahmen der jährlichen Strategieplanung aus Risikosicht hinterfragt werden. 2.2 Risikodefinition, Dimensionen und Kategorien
Unter Risiko versteht der Axpo-Konzern nicht nur das Eintreten eines negativen Ereignisses, sondern auch die Berücksichtigung jeglicher Ereignisse, die dazu führen, dass die geplanten Zielsetzungen übertroffen (Chance) oder nicht erreicht (Gefahr) werden. Da das Geschäftsumfeld des Axpo-Konzerns eine über die rein finanzielle Risikobewertung hinausgehende Risikobetrachtung erfordert, werden folgende Risikodimensionen für das Risikomanagement berücksichtigt: 1. finanzielle Dimension, die die risikobedingte Ergebnisabweichung von den geplanten EBIT-Zielwerten gemäß Mittelfristplanung misst, 2. Versorgungssicherheitsdimension, die Aussagen zu möglichen Abweichungen einer umfassenden Stromversorgungssicherheit trifft, 3. Umfelddimension, die Risiken aus der Geschäftstätigkeit, insbesondere dem Anlagenbetrieb, gegenüber Mensch (Mitarbeitende und Dritte) und Umwelt betrachtet, 4. Reputationsdimension, die potenzielle Reputationsrisiken aufgrund der öffentlichen Wahrnehmung, der Kundenzufriedenheit und der unterschiedlichen Interessen der Stakeholder betrachtet.
Risikoaggregation in der Praxis des Axpo-Konzerns
167
Bei den finanziellen Risikobetrachtungen unterscheidet der AxpoKonzern im Weiteren zwischen folgenden Risikokategorien: • Marktrisiken: Risiken aufgrund der Schwankungen der Marktvariablen, • Gegenparteirisiken: Risiken infolge des Nicht-Erfüllens von vertraglichen Verpflichtungen seitens der Handelspartner, Vertriebskunden oder Lieferanten, • operationelle Risiken: Risiken aufgrund von Abweichungen bei internen Abläufen und Systemen oder durch Personalverhalten sowie fremdbestimmte Ereignisse, • allgemeine/strategische Risiken: strategische Risiken und Risiken aufgrund der Veränderungen im rechtlichen, politischen oder gesellschaftlichen Umfeld sowie in Großprojekten. 2.3 Organisation des Risikomanagements
Das Risikomanagement (RM) im Axpo-Konzern ist dezentral nach dem Subsidiaritätsprinzip organisiert. Es ist zusammen mit der Internen Revision und weiteren Konzernfunktionen direkt dem CFO unterstellt. Auf Konzernebene ist das Corporate Risk Management (CRM) der operative Hauptakteur (s. Abb. 47). Das CRM führt, koordiniert und steuert den Risikomanagement-Prozess innerhalb des Axpo-Konzerns. Es ist für die Erstellung eines konsolidierten konzernweiten Risikoportfolios und für die Schaffung von Transparenz im Unternehmen verantwortlich. Es übernimmt aber keine Risikoverantwortung. Die „risk ownership“ liegt prinzipiell in der Linie. Eine Ausnahme dabei bildet das Treasury Risk Controlling in der Axpo Holding AG, welches vom RM operativ wahrgenommen wird. Zum besseren Verständnis der Organisation des CRMs werden zunächst die Rollen und Verantwortlichkeiten im RM erklärt (s. Abb. 47).
168
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck Prüfungs- und FinanzAusschuss
Verwaltungsrat
Corporate Risk Council Konzernleitung
CEO, CFO Vertreter PFA CEO's der Tochtergesellschaften Corp. Risk Manager Erforderl. Corporate functions
Risk Coordination Committee Axpo Corporate Riskmanagement
Corp. Risk Managers Leiter Riskmanagement der Tochtergesellschaften Leiter Corp. Insurance
Risk Council NOK
Risk Council CKW
Risk Council EGL
RM Team NOK
RM Team CKW
RM Team EGL
Risk Management Axpo IT
Abb. 47. Corporate Risk Management im Axpo-Konzern
• Der Verwaltungsrat72 (VR) trägt die Gesamtverantwortung für das RM des Axpo-Konzerns und legt die Organisation des RMs fest. Der VR der Tochtergesellschaften (TG) übernimmt dieselbe Verantwortung auf TGEbene. • Der Prüfungs- und Finanzausschuss (PFA) berät den Verwaltungsrat hinsichtlich des RMs im Konzern und bildet sich ein unabhängiges Urteil über die Bewertung des Risikoportfolios im Konzern. • Die Konzernleitung73 der Axpo Holding AG ist für die Umsetzung des RMs verantwortlich. Sie definiert die finanziellen und nicht-finanziellen Messgrößen und sorgt für eine effiziente Risikokapital-Allokation. • Das Corporate Risk Council bildet sich eine Meinung bezüglich der Priorisierung und des Managements der einzelnen Risiken und gibt der Konzernleitung Empfehlungen. • Das Risk Coordination Comittee stellt als Verbindungsglied zwischen den RM der TGs und des Konzerns die Koordination der Risikobetrachtung und die Maßnahmenplanung sicher. Die Rollen und Verantwortlichkeiten der Konzernleitung, des Risk Councils und des RMs sind bei den Tochtergesellschaften analog zum Konzern definiert. Auf operativer Ebene sind die Linienvorgesetzten für In der Schweiz bezeichnet Verwaltungsrat das Organ in Aktiengesellschaften, welches mit dem Aufsichtsrat in Deutschland vergleichbar ist. 73 Analog zur VR-Bezeichnung wird in der Schweiz der Vorstand Konzernleitung genannt. 72
Risikoaggregation in der Praxis des Axpo-Konzerns
169
die Identifikation, Messung, Bewertung und Steuerung der Risiken in ihren jeweiligen Bereichen verantwortlich. Gleichzeitig ist jeder Mitarbeiter mit der Risikopolitik vertraut und ist für die Begrenzung der mit der eigenen Arbeit verbundenen Risiken verantwortlich.
3
Der Risikomanagement-Prozess
Der Risikomanagement-Prozess des Axpo-Konzerns umfasst alle Aktivitäten zum systematischen Umgang mit Risiken. Neben dem Risikomanagement-Prozess auf Konzernebene, welcher die Grundlagen und Rahmenbedingungen des Risikomanagements definiert, finden maßgeschneiderte operative Risiko-Controlling Prozesse in den Tochtergesellschaften statt. Die Notwendigkeit und die Ausgestaltung dieser Prozesse richten sich nach den Geschäftseigenheiten der entsprechenden Tochtergesellschaften sowie den Rahmenbedingungen des konzernweiten RM-Prozesses und liegen vollständig in der Verantwortung der entsprechenden Organe der TGs. 3.1 Der Risikomanagement-Prozess
Beim Risikomanagement-Prozess wird zwischen einer quantitativen (Auswirkungen kurz- bis mittelfristiger Risiken) und einer qualitativen (Auswirkungen langfristiger Risiken) Risikobewertung unterschieden. Zusätzlich werden „Case-by-Case“ Betrachtungen, wie z. B. langfristige Rentabilitätsabschätzungen neuer Projektvorhaben, „Soft Faktors“ aus dem Unternehmensumfeld sowie Trends, wie z. B. der Verlust des gesicherten Absatzvolumens im Versorgungsgebiet, im so genannten „Risiko-Radar“ früh erfasst. So wird sichergestellt, dass alle relevanten Risiken erkannt werden. Im folgenden Abschnitt werden die Phasen des Risikomanagement-Prozesses kurz erläutert (s. auch Abb. 48):
170
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
11 5
Risikoüberwachung
Risikoidentifikation
4 Massnahmenumsetzung
2
2
3 3
Risikobewertung
Massnahmenplanung
Abb. 48. Risikomanagement-Prozess des Axpo-Konzerns
1. Risikoidentifikation: Die Risikoidentifikation erfolgt anhand von so genannten Risiko-Bäumen, welche die wichtigsten Risiken und deren kritische Risikotreiber beinhalten. 2. Risikobewertung: Für die erfassten Risiken werden statistische Verteilungsfunktionen für die Eintrittswahrscheinlichkeit und deren Auswirkungen auf das Konzernergebnis modelliert. 3. Maßnahmenplanung: Basierend auf den Ergebnissen der Risikobewertung werden unter Berücksichtigung von Kosten/NutzenBetrachtungen geeignete Maßnahmen geplant. 4. Maßnahmenumsetzung: Die Umsetzung der geplanten Maßnahmen erfolgt in der Regel in der Verantwortung der TGs. Unter Umständen ist eine konzernweite Koordination notwendig. 5. Risikoüberwachung und Reporting: Die konzernweite Risikosituation wird periodisch überprüft und halbjährlich auf Basis einheitlicher Vorgaben in aggregierter Weise an Konzernleitung und Verwaltungsrat berichtet. 3.2 Die quantitative Risikobewertung als Fokus
Ein durchgängiges Risikoverständnis und eine seit mehreren Jahren etablierte Methodik ermöglichen vergleichbare Risikobewertungen, bei denen die Risiken nach Eintrittswahrscheinlichkeiten und Auswirkungen quantifiziert und priorisiert werden. Im Axpo-Konzern wird der Risikoquantifi-
Risikoaggregation in der Praxis des Axpo-Konzerns
171
zierung ein hoher Stellenwert beigemessen, da sie die unerlässliche Basis für die Risikoaggregation darstellt. Erst durch die Aggregation und Konsolidierung werden die Risikobetrachtungen miteinander vergleichbar, was eine belastbare Bewertung der konzernweiten Risikosituation insgesamt erlaubt. Ziel solcher Bewertungen ist die Darstellung der Risikoauswirkungen auf das Konzernergebnis und die wichtigsten Führungskennzahlen wie EBIT, EVA® und RONOA74. Die quantitativ ermittelten Aussagen gelten auf der Basis der mittelfristigen Finanzplanung (MFP) von Konzern und Tochtergesellschaften über eine Betrachtsperiode von 3 Jahren. Die Risikobewertung sowie ihr Zusammenhang mit der Mittelfristplanung sind in Abb. 49 dargestellt. 3.3 Einbettung in die Planungsprozesse des Konzerns
Der Risikomanagement-Prozess startet unmittelbar nach Vorliegen der genehmigten Mittelfristplanung, welche die Basis für die Risikoquantifizierung bildet. Zwischen beiden Prozessen findet ein intensiver Informationsaustausch statt, damit einerseits die Prämissen der Finanzplanung richtig berücksichtigt werden und andererseits deren Granularität in ausreichendem Maß gegeben ist. Der RM-Prozess und der strategische Planungsprozess finden parallel statt. Die Resultate der Risikobetrachtungen fließen konsolidiert als Prämissen in den strategischen Review ein. Zudem wird der Einfluss der neuen strategischen Stoßrichtung auf die aktuelle Risikosituation im AxpoKonzern überprüft.
4
Risikoaggregation
4.1 Simulations-basierte Risikoaggregation
Als Basis für die Risikoaggregation werden die Einzelrisiken des Risikoportfolios im Simulationstool modelliert. Die Abbildung der Risiken erfolgt dabei durch eine getrennte Modellierung der Verteilungsfunktionen 74
Der EBIT (earnings before interest and taxes) ist als Gewinn vor Zinsen und Steuern definiert. EVA® (Economic Value Added) stellt einen Residualgewinn dar und ergibt eine absolute Nettogröße eines Gewinns nach Abzug der Kapitalkosten für das eingesetzte Gesamtkapital. RONOA (Return on net operating assets) ist das Betriebsergebnis plus Finanzertrag in % des durchschnittlichen Vermögens abzüglich kurzfristigen Fremdkapitals und Rückstellungen für latente Steuern.
172
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
für Eintrittswahrscheinlichkeiten und Risikoauswirkungen. Für die Abbildung der Eintrittswahrscheinlichkeiten stehen sowohl stetige Verteilungsfunktionen (Uniform-, Gauss-, Exponential- oder Weibull-Verteilung) als auch diskrete Verteilungsfunktionen (Binomial-, Poisson oder Multinomiale-Verteilung) im Tool zur Verfügung. Die Verteilungsfunktionen werden dabei auf Basis von historischen Daten, Prognoseerwartungen oder Experten-Schätzungen modelliert. Die Wiederholbarkeit der Risiken wird mit einem zusätzlichen Parameter spezifiziert. Entscheidend ist, ob das Risiko ein unabhängiges Einzelereignis darstellt und somit in jedem Jahr auftreten kann oder ob die Eintrittswahrscheinlichkeit an Konditionen geknüpft ist, welche eine Wiederholung in den Folgejahren verbietet. Die Modellierung der Auswirkungen erfolgt durch die Zuordnung einer Verteilungsfunktion auf eine bestimmte Position der Erfolgsrechung oder der Bilanz. Die Verteilungsfunktionen werden analog zur Bestimmung der Eintrittswahrscheinlichkeit modelliert, wobei aufgrund des vielfach strategischen Charakters der Risiken den Experten-Schätzungen eine besondere Bedeutung zukommt, um zukünftige Auswirkungen antizipieren zu können. Eine vollständige und eindeutige Bestimmung des Risikocharakters setzt das Festlegen und Modellieren folgender Parameter voraus: • Spezifikation der Organisationseinheit, welche vom Risiko beeinflusst wird, • Auswirkungsart des Risikos (additiv oder multiplikativ, linear, quadratisch oder exponentiell), • Zeitverzögerung der effektiven Auswirkungen auf die Position der Erfolgsrechnung oder der Bilanz, • zeitliche Verteilungscharakteristik des Risikos (einmalige oder nachhaltige Auswirkungen über den Betrachtungshorizont). 4.2 Tool-unterstützte Umsetzung
Mit Hilfe eines Simulationstools werden die Auswirkungen der einzelnen Risiken auf das Ergebnis simuliert und unter Berücksichtigung des Geschäftsmodells aggregiert. Die Axpo verwendet dazu die Monte-CarloSimulationsmethode, die Umsetzung erfolgt mittels Excel-Add-In „Crystal Ball®“75. Die Simulation liefert schließlich die statistische Verteilung der zu erwartenden finanziellen Kennzahlen des Konzerns76 auf Basis der RisikoBetrachtungen. Für die weiteren Betrachtungen wird dabei der @Risk75 76
http://www.crystalball.com/ EBIT, EVA und RONOA
Risikoaggregation in der Praxis des Axpo-Konzerns
173
Anteil77 einer Kennzahl durch die Wahl eines bestimmten Konfidenzintervalls (90 %) bestimmt. Um eine statistische Signifikanz bei den Simulationen zu erreichen, wird der Stichprobenumfang auf eine Anzahl von 5000 Simulationen festgelegt.78 Mit Hilfe der systematischen Risikomodellierung wird die Vergleichbarkeit der Risiken garantiert, was eine unabdingbare Prämisse für die Risikoaggregation darstellt. Bei der Aggregation werden die Risiken im Wesentlichen als unkorreliert angenommen. Die Auswirkungen auf die „Bottom Line“- Finanzkennzahl werden anschließend mit Hilfe der Monte-Carlo-Simulationsmethode berechnet. Das Simulationstool unterstützt diesbezüglich eine hohe Flexibilität bei der Risikomodellierung. Die wichtigsten Input- und Output-Beziehungen des Simulationstools sind in Abb. 49 dargestellt. Das modellierte Risikoportfolio des Axpo-Konzerns enthält zurzeit rund 90 Chancen und Risiken. Montecarlo Simulation MFP MFP MittelfristMittelfristplanung planung
Input
SIMULATION verschiedene Szenarien
Output
MittelfristMittelfristplanung planung @risk @risk für für den den Konzern Konzern
Basis für
Risk Risk Report Report
Input
Chancen Chancen und und Gefahren Gefahren aus aus Risikoportfolio Risikoportfolio
Abb. 49. Ablauf des Simulationsprozesses
77
Value-at-Risk (VaR) bezeichnet ein Risikomaß, das den geschätzten, maximalen (Marktwert-)Verlust einer Risikoposition nach einer vorgegebenen Periode angibt, der mit einer bestimmten Wahrscheinlichkeit unter üblichen Marktbedingungen nicht überschritten wird. 78 Risiken mit einer sehr kleinen Eintrittswahrscheinlichkeit werden separat und detaillierter untersucht und in einer zweiten Phase berücksichtigt. Aus diesem Grund ist hier eine höhere Anzahl von Simulationen nicht nötig.
174
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
4.3 Ausgewählte Beispiele Währungsrisiken
Währungsrisiken sind Auswirkungen auf Bilanzpositionen oder Zahlungsströme in Fremdwährung, die direkt durch Wechselkursschwankungen gegenüber einer Referenzwährung (CHF) verursacht werden. Diese Schwankungen stellen nicht nur Gefahren, sondern auch Chancen für das Unternehmen dar. Im Axpo-Konzern resultieren sie primär aus dem internationalen Handels-, Transit- und Vertriebsgeschäft sowie aus der Kernbrennelementbeschaffung. Bei Währungsrisiken sind zwei Komponenten von essentieller Bedeutung, die Volatilitätsentwicklung der Währung und die zeitliche Entwicklung der effektiv abzusichernden Position. Bei den Risikobetrachtungen werden in einem ersten Schritt die offenen Volumen vollumfänglich erfasst und fristgerecht pro Währung aggregiert. In einem nächsten Schritt erfolgt die Bewertung basierend auf den historischen Volatilitäten der Währungen, um das konzernweite Netto-Exposure per definiertem Stichtag zu ermitteln. Die Gesamtbetrachtung des Exposures bildet einerseits die Voraussetzung für eine optimale Hedgingstrategie. Andererseits können dadurch Einsparungen bei den Hedgingkosten erzielt werden, was den einzelnen Tochtergesellschaften zu Gute kommt. Stromvolumenrisiken
Wie die Vergangenheit gezeigt hat, unterliegen Stromvolumen einem beträchtlichen Marktrisiko. Abgesehen von fundamentalen Treibern, wie Primärenergiepreisen und regulatorisch bedingten Einflüssen, liegen die Gründe hierfür in der Volatilität der Strompreise selbst (Underlying) und in der teilweise stark limitierten Marktliquidität gehandelter Kontrakte. Im Axpo-Konzern wird einerseits zwischen längerfristigeren, strategisch/strukturell bedingten physischen Stromvolumenrisiken und andererseits sich kurzfristig ändernden, taktischen Stromvolumenpositionen auf Stufe Tochtergesellschaft unterschieden. Durch die Aggregation sämtlicher volumenbedingter Marktrisiken zum Netto-Exposure im Axpo-Konzern wird ersichtlich, dass das Gesamt-Exposure in der Regel kleiner ist als die Summe der einzelnen Brutto-Exposure pro Tochtergesellschaft (siehe exemplarisch Darstellung in Abb. 50).
Risikoaggregation in der Praxis des Axpo-Konzerns
175
Abb. 50. Risikoaggregation
Investitionen in neue Gas- und Dampfturbinen-Kraftwerke
Der Bau von neuen Gas- und Dampfturbinen-Kraftwerken (GuD) ist mit einem beträchtlichen Investitionsbedarf verbunden und erfordert entsprechend detaillierte Analysen und Sensitivitätsbetrachtungen der wesentlichen Risikotreiber. Diese Risikotreiber können die geplante Rentabilität in kritischem Maße beeinflussen. Als Hauptrisikotreiber werden beispielsweise die Unsicherheiten bei zukünftigen regulatorisch bedingten Gestehungskosten (z. B. Preis und Umfang für die Beschaffung der CO2Zertifikate), die Höhe der Gasbeschaffungskosten, mögliche Gasliefereinschränkungen, die Strompreisentwicklung im entsprechenden Marktumfeld sowie die potenziellen Verzögerungen bei der Inbetriebnahme der Kraftwerke betrachtet. Das Vorgehen der Evaluation einer neuen GuD-Investition wird in Abb. 51 detailliert dargestellt. Der erste Schritt ist die Identifikation der relevanten Risikotreiber. Anschließend werden die Eintrittswahrscheinlichkeiten und Auswirkungen einzelner Risiken als Abweichung der geplanten Mittelfristplanung modelliert und deren Auswirkungen auf die geplanten Zielgrößen simuliert. Die Auswirkungen erscheinen in Form von negativen Abweichungen und möglichen Verlusten (VaR) sowie gegebenenfalls auch als Chancen.
176
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
Abb. 51. Vorgehen zur Evaluation einer neuen GuD-Investition
5
Risiko-Berichterstattung und -steuerung
5.1 Risiko-Berichterstattung
Die Risikoquantifizierung ist die Basis für die Risikosteuerung im Konzern, wobei sich die Steuerungsansätze in Form von Maßnahmen und Empfehlungen aus der Berichtstattung ableiten lassen. Die Berichterstattung erfolgt dabei einerseits mittels jährlichem Corporate Risk Inventar, welches Rechenschaft bezüglich der Vollständigkeit der Risikoidentifikation ablegt, und andererseits durch eine detaillierte Beschreibung der kritischen Top-Risiken mit Trendentwicklungen und den geplanten sowie eingeleiteten Maßnahmen. Der im Vordergrund stehende Corporate Risk Report hat andererseits die Zielsetzung, einen aktuellen, konzernweiten Überblick über das quantifizierte Risikoportfolio zu schaffen sowie die kritischsten und vordringlichsten Veränderungen für eine fundierte Diskussion im Corporate Risk Council aufzubereiten. Dieser halbjährlich erstellte Bericht fokussiert primär auf folgende Aspekte: • die Entwicklung der Risikosituation im Konzern und in den Tochtergesellschaften, • der Einfluss der neuen strategischen Konzernziele auf die heutige Risikosituation im Axpo-Konzern,
Risikoaggregation in der Praxis des Axpo-Konzerns
177
• die Feststellung der systematischen Abweichungen zur Mittelfristplanung und die Höhe der nach aktuellem Kenntnisstand erwarteten risikobedingten Abweichung des EBIT per annum (EBIT@risk), • die Zusammenfassung der finanziellen Kenngrößen im Risiko-Cockpit, • Aussagen zur Gewährleistung der Risikotragfähigkeit. 5.2 Risikosteuerung
Beide Berichte dienen als Kontrolle der aktuellen Risikosituation im Konzern und als Basis für die Ableitung notwendiger Maßnahmen hinsichtlich der Risikosteuerung auf Konzern- und Teilgesellschaftsstufe. Die Kontrolle und der Vergleich der aktuellen Risikosituation mit Vorgaben und Limiten der Risikostrategie erfolgt anhand des Corporate Risk Cockpits. Wie im grau schattierten Bereich in Abb. 52 dargestellt, bildet dabei das Corporate Risk Cockpit die Schnittstelle zwischen der Konzernbzw. Risikostrategie und dem Corporate RM Prozess. Dabei werden die aktuellen Risikobewertungen den strategischen Limiten gegenüber gestellt. Das Risk Cockpit79 visualisiert dabei einen Handlungsbedarf mit Hilfe des Ampelsystems. Die abgeleiteten Maßnahmen fließen in den strategischen Planungsprozess als Prämissen für die Formulierung neuer strategischer Stoßrichtungen und Konzernziele ein. Dadurch wird das umfassende Risikomanagement-Modell des Axpo-Konzerns integral vervollständigt.
Abb. 52. Risikosteuerung im Axpo-Konzern 79
Kennzahl VAX: „Value add for Axpo group" steht für das spezifisch definierte EVA-Konzept
178
6
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
Schlussfolgerungen und Ausblick
Die auf statistischen Methoden basierte Risikoquantifizierung ist eine unabdingbare und zentrale Voraussetzung für eine anschließende konsistente und vergleichbare Risikoaggregation auf Stufe des Konzerns. Die Aggregation der Risiken erlaubt einerseits die Priorisierung kritischer Risikotreiber auf das Unternehmensergebnis, was einem substanziellen Transparenzgewinn entspricht. Andererseits bildet sie die Grundlage für eine effektivere Absicherungsstrategie, was sich letztlich auch positiv in effizienteren und somit kostenoptimierten Absicherungsmaßnahmen äußern kann. Zusätzlich schafft die Risikoaggregation die Basis für Portfoliobetrachtungen auf Stufe des Konzerns und der operativen Geschäftseinheiten, was eine fundierte, wertbasierte Diskussion zukünftiger Handlungsoptionen und Optimierungspotenzialen auf Basis von Risiko-Ertrags-Betrachtungen erlaubt und unterstützt. Im Zusammenhang mit der Erwirtschaftung einer adäquaten Verzinsung des beanspruchten Risikokapitals und der Bestimmung eines risikoadjustierten Übergewinns stellt sich schließlich die Frage, inwiefern das aus dem Finanzumfeld bekannte Konzept der Risikokapitalallokation auf die Energiewirtschaft anwendbar ist. Erste konkrete Projekterfahrungen mit Industrieunternehmen und verwandten Branchen legen die Vermutung nahe, dass die Risikokapitalallokation ein Erfolg versprechendes Konzept für die strategische Risikosteuerung darstellen kann, sofern die Entscheidungskriterien prinzipiell einer betriebswirtschaftlichen Logik folgen und physische Restriktionen adäquat abgebildet werden.
Teil 4 Fallstudien aus der Finanzdienstleistungsbranche
Risikoaggregation bei der ASL Auto ServiceLeasing GmbH
Andreas Lackner ASL Auto Service-Leasing GmbH
1
Kurzprofil ASL Auto Service-Leasing GmbH
Die herstellerunabhängige ASL Auto Service-Leasing GmbH verfügt über eine langjährige Erfahrung im gewerblichen Fuhrparkleasing und im Flottenmanagement. Mit den ASL-Produkten und Dienstleistungen lassen sich Fuhrparklösungen erarbeiten, die sich flexibel den Anforderungen der Unternehmen anpassen. Dem gewerblichen Leasingnehmer bietet ein individuell entwickeltes Fullservice-Konzept umfassende Mobilität, Kostensicherheit und beträchtliche Risikominderung auch bei einer vorzeitigen Vertragsauflösung. Die ASL zählt zu den größten deutschen Einkäufern von Neufahrzeugen und verwertet als eine der wenigen Kfz-Leasinggesellschaften die Gebrauchtfahrzeuge selbst. Die Vorteile einer erfolgreichen Einkaufs- und Restwertpolitik kann sie dann in Form günstiger Finanzierungsmodelle an ihre Kunden weitergeben. Um auch in Zukunft erfolgreich zu sein, sollen sich bietende Chancen aktiv genutzt werden. Durch ein stetiges Wachstum wird die Position des Unternehmens am Markt weiter verbessert. Die Nutzung von Chancen geht aber mit Risiken einher, von deren Bewältigung der Erfolg des Unternehmens abhängt. Nur wer seine wesentlichen Risiken rechtzeitig erkennt und ihnen systematisch begegnet, ist in der Lage, sich bietende Chancen unternehmerisch verantwortlich zu nutzen.
182
Andreas Lackner
Dieser Erkenntnis trägt die Geschäftsführung Rechnung, indem sie die innerhalb des Unternehmens vorhandenen Maßnahmen zur Risikosteuerung in einem einheitlichen und durchgängigen Risikomanagementsystem zusammenfasst. Damit werden auch die Erfordernisse erfüllt, die sich durch die Änderungen des AktG und des HGB durch das 1998 in Kraft getretene Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ergeben. Die Funktionsfähigkeit des Risikomanagementsystems wird durch den Abschlussprüfer geprüft.
2
Definition und Arten von Risiken
Die ASL definiert Risiken als alle Ereignisse und mögliche Entwicklungen innerhalb und außerhalb des Unternehmens, die sich negativ auf das Erreichen der Unternehmensziele auswirken können. Jedes Risiko beinhaltet ein Gefahrenpotenzial, das sich mit einer zu bestimmenden Eintrittswahrscheinlichkeit auf das Unternehmen auswirken kann. Die Identifikation der Risiken orientiert sich dabei an den Unternehmenszielen bzw. den Erfolgsfaktoren, welche das Erreichen dieser Ziele gewährleisten sollen. Alles, was die Erfolgsfaktoren gefährden kann, soll bei der Risikoidentifikation durch die Verantwortlichen in den einzelnen Untersuchungsbereichen erfasst werden. Ziel ist es dabei, eine vollständige Übersicht über die Risiken im Unternehmen zu erhalten. Um eine wirksame Steuerung der Risiken zu ermöglichen, erfolgt die Risikoidentifikation systematisch und regelmäßig. ASL unterscheidet Markt-, Finanz-, Prozess-, Mitarbeiter- und rechtliche Risiken: • Marktrisiken betreffen die Rahmenbedingungen und das Auftreten am Markt (z. B. Ausfall- bzw. Bonitätsrisiko von Kunden), • Finanzrisiken betreffen finanzielle Geschäfte (z. B. Wechselkursrisiko), • Prozessrisiken betreffen die Entwicklung und Erstellung von Leistungen und deren Steuerung (z. B. IT-Entwicklungen), • Mitarbeiterrisiken betreffen die Mitarbeiter und die Organisationsstruktur (z. B. Mitarbeiterfluktuation), • rechtliche Risiken betreffen juristische Konflikte und gesetzliche Rahmenbedingungen (z. B. Veränderung steuerlicher Regelungen), • sonstige Risiken, die sich keiner der vorgenannten Risikoart zuordnen lassen (z. B. Versicherungsfälle).
Risikoaggregation bei der ASL Auto Service-Leasing GmbH
3
183
Risikomanagement-Organisation und -Prozess
Präventiv festgelegte Abläufe, klar definierte Strukturen und das Verantwortungsbewusstsein des Einzelnen sind die Basis des Risikomanagements bei ASL. Um die Einhaltung der Vorgaben zu prüfen und die Abläufe zu optimieren, muss jeder Bereich im Unternehmen das Risikomanagementsystem kontinuierlich im Sinne eines lernenden Systems – also auch abweichend von Stichtagsregelungen – überprüfen, bewerten und an geänderte Bedingungen anpassen. Im Rahmen wöchentlicher, monatlicher und halbjährlicher Risikoberichte werden die Ergebnisse dieser Überprüfungen an das Risikomanagement-Komitee (RMK) und von diesem an die Geschäftsführung übergeben. Eine Risikoberichterstattung über alle Risiken findet halbjährlich statt. Akut auftretende Risiken, die den Bestand des Unternehmens gefährden können, sind direkt und schnellstmöglich dem jeweiligen Verantwortlichen und der Geschäftsführung zu melden. Die Organisation muss flexibel und schnell auf Risiken reagieren können. Deshalb ist das Risikomanagement weitestgehend in die bereits bestehenden Prozesse und Berichtswege integriert. Das Risikomanagement ist als kontinuierlicher Prozess in die Unternehmenssteuerung und das Berichtswesen eingebunden. Dabei kann man verschiedene Phasen unterscheiden, die in Abb. 53 dargestellt sind.
Vorgaben des Risk Management Framework durch das Management Risikocontrolling, Ergebnisnachweis
Schwache Signale beobachten vermeiden
Risikoidentifikation
Risikobewertung
Gesamtrisiko
vermindern
überwälzen
Eskalation/ Entscheidung
selbsttragen
Restrisiko Gegenmaßnahmen zuordnen Dokumentation der Umsetzung von Gegenmaßnahmen
Abb. 53. Risikomanagement-Prozess bei ASL
Monitoring/ Reporting/ Kommunikation
184
Andreas Lackner
Die Geschäftsführung legt die Unternehmensziele und Strategien für die Unternehmensplanung fest. In ihrer Vorbildfunktion trägt die Geschäftsführung zur Förderung des Risikobewusstseins im Unternehmen bei. Sie ist verantwortlich für die Früherkennung und Bewältigung von Risiken, die den Fortbestand des Gesamtunternehmens gefährden könnten. Hierzu hat sie die im Risikomanagementhandbuch dokumentierten Verfahren und Maßnahmen in Kraft gesetzt und veranlasst in regelmäßigen Zeitabständen ihre Aktualisierung. Die Geschäftsführung legt die Standards für die Risikobewertung fest. Sie informiert in angemessenen Abständen den Verwaltungsrat in Fragen des Risikomanagements. Das RMK, das sich aus drei Vertretern (Kaufmännische Geschäftsführung, Leiter Einkauf, Leiter Controlling) zusammensetzt, ist verantwortlich für die zentrale Koordination des Risikomanagementsystems. Das RMK erhält von den Bereichsverantwortlichen die Berichte über die Risikosituation und fasst diese – neben dem alle Risiken umfassenden Risikoinventar – zu einem Top Management Report zusammen, der die Geschäftsführung über die Risikosituation des Unternehmens informiert. Es ist weiterhin für die Aktualisierung und Anpassung des Risikomanagementsystems an veränderte Rahmenbedingungen verantwortlich und übernimmt Aufgaben bei der Dokumentation und Überwachung des Systems. Für die Steuerung der Risiken in den einzelnen operativen Bereichen tragen die Abteilungsleiter die Verantwortung. Sie sind für die Identifikation und Bewertung der Risiken zuständig und planen und ergreifen ggf. Gegenmaßnahmen zur Vermeidung von Schäden. Sie überwachen die Risikosituation in ihrem Bereich und überarbeiten periodisch den Risikobericht. Für jedes Risiko wird vom RMK ein „Risk Owner“ (in der Regel der Abteilungsleiter) ernannt, in dessen Verantwortungsbereich das Risiko fällt. Der Risk Owner hat die zur Bewältigung des Risikos notwendigen Entscheidungen zu treffen. Insbesondere bei übergreifenden Risiken kann dafür auch ein Komitee bzw. ein Gremium eingesetzt werden. Jedoch ist auch hier ein Verantwortlicher zu benennen, der dieses leitet. Falls die Berichterstattung über das Risiko durch andere vom Risk Owner benannte Personen erfolgt, sind diese bei der Risikoerfassung zu benennen. Ebenso sind Verantwortliche für die Umsetzung von Gegenmaßnahmen festzulegen.
Risikoaggregation bei der ASL Auto Service-Leasing GmbH
4
185
Bewertung und Positionierung von Risiken
4.1 Klassifizierung von Risiken
Insgesamt werden durch die Risk Owner derzeit ca. 60 Einzelrisiken bearbeitet. Um diese systematisch zu erfassen, werden sie im Risikoinventar in Form einer Auflistung zusammengefasst. Die Daten aus den Risikoberichten der einzelnen Bereiche sind vom RMK im Hinblick auf die Risikosituation im Gesamtunternehmen auszuwerten. Dabei werden die Risiken nach ihrer Bewertung priorisiert. Die Eintrittswahrscheinlichkeit und die potenzielle Schadenhöhe klassifiziert die Risiken nach ihrer Bedeutung (Abb. 54). potenzielle Schadenhöhe / zu tragender Risikowert >= 2,5 Mio €