Risikomanagement zwischen Unternehmenssteuerung und Kontrollsystem

Transkript

1 Risikomanagement zwischen Unternehmenssteuerung und Kontrollsystem Netzwerk Risikomanagement Sektion Bern Frühjahrsveranstaltung 25. April 2012 Dr. B. Brühwiler Seite 1

2 GENESIS des Risikomanagements BASEL I-III Solvency I-II Finanzindustrie: Kapitalorientierung ISO ONR Unternehmen: Enterprise RM COSO 2004 Wirtschaftsprüfung IKS Seite 2

3 GENESIS des Risikomanagements 1970 USA Versicherung (Risikoanalyse) 1980 Banken 1980 EWG Solvency I BASEL I-III Solvency I-II Finanzindustrie: Kapitalorientierung 1960 USA Sicherheits- Technik (MIL) Normen (ISO/ EN) 1920 USA Risk, Uncertainty and Profit Management Systeme 1915 DE Gefahr des Kapitalverlusts Corporate Goverance ISO z.b. KonTraG (DE) 1998 Unternehmen: Enterprise RM 2004 OECD Rechtliche Verantwortung Wirtschaftsprüfung IKS COSO 1992 COSO Seite 3

4 Dumme Frage: Warum gibt es trotz diesen vielen Vorstellungen, Konzepten und (z.t. verbindlichen) Vorgaben zum Risikomanagement immer noch alle diese Krisen und Katastrophen und zwar in einem bisher nicht bekannten Ausmass? Finanz- und Immobilienkrise 2008 (Subprime) Staatverschuldungskrise 2011 (Eurokrise) Fukushima 2011 (Nuklearkatastrophe) Um dazu eine Antwort zu finden, sehen wir uns die Risikomanagement-Konzepte einmal genauer an: Seite 4

5 Merkmale verschiedener Ansätze Modell-orientierter mathematischer Ansatz Qualitativer Management Ansatz Kontroll- und finanzorientierter Ansatz BASEL I-III Solvency I-II Finanzindustrie: Kapitalorientierung ISO ONR Unternehmen: Enterprise RM COSO 2004 Wirtschaftsprüfung IKS Seite 5

6 Modell-orientierter mathematischer Ansatz BASEL I-III Solvency I-II Finanzindustrie: Kapitalorientierung Seite 6

7 Charakteristiken mathematischer Modelle Basel I-II (ex III) und Solvency I-II verfolgen einen Ansatz, der das Gesamtrisiko eines Finanzinstituts ermitteln will, wobei je nach Höhe des Gesamtrisikos Eigenmittel unterlegt werden sollen. Die Ermittlung des Gesamtrisikos erfolgt mit mathematischen Modellen, insbesondere mit dem Konzept des Value at Risk (VaR). Vergangenheitsdaten werden gesammelt, statistisch ausgewertet und auf die Zukunft projiziert Seite 7

8 Modell-orientierter mathematischer Ansatz Es geht dabei um folgende Risikogruppen: Marktrisiken (Preisschwankungen) von Aktiven Kreditrisiken (Ausfallrisiken) von Aktiven Operationellen Risiken (Betriebsrisiken) Versicherungstechnische Risiken (von Passiven) Die (adjustierte) Summe dieser Risiken ergibt den Bedarf an Eigenmitteln eines Finanzinstituts Seite 8

9 Value at Risk Konzept Der Value at Risk ist derjenige Verlustwert, der bei einer genügend grossen (kleinen) Eintrittswahrscheinlichkeit nicht überschritten wird Seite 9

10 Bewertungsversuch Positiv Wissenschaftlich Exakt Seriös Anspruchsvoll Negativ Eingeschränkte Sicht Mechanische Extrapolation Extern gefordert, reguliert Expertenbasiert shit in shit out Vermittelt falschen Eindruck von Sicherheit Seite 10

11 Kontroll- und finanzorientierter Ansatz COSO 2004 Wirtschaftsprüfung IKS Seite 11

12 Swiss Code of Best Practice for Corporate Governance (2) «Der Verwaltungsrat sorgt für ein dem Unternehmen angepasstes internes Kontrollsystem und Risikomanagement. Das interne Kontrollsystem ist der Größe, der Komplexität und dem Risikoprofil der Gesellschaft anzupassen. Das interne Kontrollsystem deckt, je nach den Besonderheiten der Gesellschaft, auch das Risikomanagement ab; dieses bezieht sich sowohl auf finanzielle wie auf operationelle Risiken.» Seite 12

13 Corporate Governance Schweiz (3) Das Schweizerische Aktienrecht verankert ab 2007 die Verantwortung des Managements wie folgt: Art. 663b Ziffer 12 Neufassung Obligationenrecht Der Anhang zur Jahresrechnung von größeren Aktiengesellschaften enthält Angaben über die Durchführung einer Risikobeurteilung. Die Revisionsstelle muss nur das Vorhandensein der Risikobeurteilung feststellen, nicht aber zum Inhalt Stellung nehmen. Die Risikobeurteilung hat sich mindestens auf die Risiken erstrecken, die einen wesentlichen Einfluss auf die Beurteilung der Jahresrechnung haben können Seite 13

14 Sonderfall USA Sarbanes Oxly Act 2002 Die Betrugsfälle von ENRON und Worldcom nach 9/11 haben zu einer (überzogenen) Reaktion geführt: SOX 302: Corporate Responsibility for Financial Reports SOX 404: Management Assessment of Internal Controls SOX 906: Strafen bei Zuwiederhandlung Konsequenzen von SOX: Sehr aufwendige Kontrollsysteme für US-notierte Unternehmen Rückgang von neuen Börsengängen in den USA Rückzug von Europäischen Konzernen aus Finanzmarkt USA Kauf von Europäischen Börsen durch USA-Börsen Seite 14

15 COSO Enterprise Risk Management Framework Seite 15

16 Umsetzung und Ergebnis Die Umsetzung der Vorgaben von SOX erfolgt i.d.r. durch die Analyse und Risikobeurteilung der Finanzprozesse. Das erweist sich als sehr aufwendig, viele CH-Konzerne haben durchblicken lassen, dass die Einführung von SOX sie >100 Mio. CHF gekostet hat. Alle an der US-Finanzkrise direkt beteiligten Finanzinstitute waren SOX-Compliant! Warum hat das Risikomanagement hier nichts bewirkt? Seite 16

17 Vorboten der Subprime-Krise 2006/ Seite 17

18 Bewertungsversuch Positiv Finanzkontrolle Lückenlos Absicherung Anspruchsvoll Negativ Eingeschränkte Sichtweise Umfeldentwicklung ist ausgeklammert Defensiver Ansatz extern gefordert, reguliert Gibt falschen Eindruck von Sicherheit Seite 18

19 Qualitativer Management Ansatz ISO ONR Unternehmen: Enterprise RM Seite 19

20 Ziele des Risikomanagements (nach ISO 31000) Überleben der Organisation sicherstellen Ziele und Strategie mit der Risikofähigkeit abstimmen Wirksamkeit und Effizienz der Führung verbessern Planungssicherheit erhöhen Bedürfnisse von Kunden und Partnern befriedigen Sicherheit der Mitarbeiter, der Umwelt gewährleisten Schadenfälle effizient managen Seite 20

21 Risikomanagement in Deutschland Gesetz über die Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 91 (2) AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Im Bestätigungsvermerk ist auch darauf einzugehen, ob der Lagebericht und der Konzernanlagebericht insgesamt nach der Beurteilung des Abschlussprüfers eine zutreffende Vorstellung von der Lage des Unternehmens oder des Konzerns vermittelt. Dabei ist auch darauf einzugehen, ob die Risiken der zukünftigen Entwicklung zutreffend dargestellt sind Seite 21

22 Was ist ein Risiko? Risiko = Auswirkungen von Unsicherheit auf Ziele (Risk = Effects of Uncertainty on Objectives) (1) Die Auswirkungen von Risiko können positiv oder negativ sein, (2) die Unsicherheit bzw. Ungewissheit wird mit Wahrscheinlichkeiten geschätzt bzw. ermittelt; (3) Risiko ist eine Kombination von Wahrscheinlichkeit und Auswirkung (4) die Ziele der Organisation oder des Systems umfassen strategische, operationelle oder finanzielle Ziele, die Sicherheit von Menschen, Sachen und der Umwelt («safety, security») genauso wie andere Ziele, und (5) Risiko ist eine Folge von Ereignissen und von Entwicklungen. (ONR 49000:2010, Ziff ) Seite 22

23 Ereignis und Entwicklung Ereignis: Plötzlicher Eintritt einer bestimmten Kombination von Umständen Entwicklung: Allmähliche Veränderung von Umständen im innern oder ausserhalb des Unternehmens Seite 23

24 Die Bedeutung von Risikoszenarien (Risiko-)Szenario: Konkrete und bildhafte Darstellung eines Risikos mit Annahmen über mögliche Zusammenhänge von Ursachen und Abfolgen von Ereignissen oder Entwicklungen, die aufzeigt, wie sich Chancen bzw. Bedrohungen / Gefahren in einer Organisation oder in einem System verwirklichen lassen. Ein Risikoszenario dient dazu, die Risiken zu beschreiben, zu verstehen und zu kommunizieren. Nur wenn ein Risiko mit seinen Ursachen und Auswirkungen verstanden worden ist, kann man auch etwas unternehmen, um dieses zu beeinflussen Seite 24

25 Die Beschreibung von Risikoszenarien Mensch und Verhalten Folgen für Leib und Leben Politik-Recht- Gesellschaft Organisation und Technik Szenario Folgen für die Umwelt Folgen für Markt und Umsatz Folgen für Kosten und Margen Ursachen des Szenarios Auswirkungen des Szenarios Seite 25

26 Der Eisberg zeigt ein wichtiges Prinzip im Risikomanagement auf 1 10 Worst Case Szenario Katastrophal Kritisch 100 Spürbar 1000 Gering unbedeutend Seite 26

27 Risikokriterien Für die Auswirkungen: Geld, Leib- und Leben, Leistungsfähigkeit, Zeit, Reputation Für die Eintrittswahrscheinlichkeit: Häufigkeit (einmal pro Monat, einmal pro Jahr) oder Wahrscheinlichkeit (3%, 10 %, 30 %). Die Eintrittswahrscheinlichkeiten können oft nur geschätzt werden, da eine objektive, statistische Datenbasis fehlt Seite 27

28 Top-down- und Bottom-up-Ansatz Top-down-Ansatz: Vorgehensweise bei der Risikobeurteilung, bei der die Gesamtheit der Organisation oder des Systems Gegenstand der Risikoidentifikation und der Risikoanalyse sind. Bottom-up-Ansatz: Vorgehensweise bei der Risikobeurteilung, bei der die Design- und Prozess-spezifischen Einzelteile einer Organisation oder eines Systems Gegenstand der Risikoidentifikation und der Risikoanalyse sind Seite 28

29 Verpflichtung der obersten Leitung Strategisches Management Operatives Management Leistungs- Prozesse Seite 29

30 Bewertungsversuch Positiv GMV, Erfahrung Konsensbasiert Weite Sicht Eher Top down Proaktiv, freiwillig Negativ Datengrundlage Nicht wissenschaftlich Ermessen Seite 30

31 Positionierung verschiedener Ansätze ISO ONR BASEL I-III Solvency I-II COSO Seite 31

32 Einige wichtige Erkenntnisse Risikomanagement ist nicht eine technische Einschätzungsfrage, nicht allein Spezialistenarbeit, sondern eine nicht delegierbare aktive Führungsaufgabe und Führungsverantwortung. Risikomanagement braucht Spezialistenwissen, das sich mit Generalistenerfahrung zusammenschliesst. Top-down- und Bottom-up-Ansätze müssen sich ergänzen. Risikomanagement umfasst Ereignisse und Entwicklungen, vor allem auch externe Einflussfaktoren. Risikokommunikation und Risikoverständnis sind zentral für die Beeinflussung von Risiken. Risikomanagement ist Chefsache, die Chefs sind in der Pflicht und Verantwortung, die Risikomanager unterstützen fachlich Seite 32