GrECo International AG Versicherungsmakler und Berater in Versicherungsangelegenheiten 1191 Wien, Elmargasse 2-4 Reg.Nr. 13962G01/08 Tel. +43 (0)5 04 04-0 Fax +43 (0)5 04 04-11 999 office@greco.at www.greco.eu 01. Dezember 2010 Seite 1
Inhaltsübersicht 1. Einleitung...3 1.1. Das rechtliche Umfeld...3-4 1.2. Das wirtschaftliche Umfeld...5 1.3. Fakten und Zahlen...6-7 2. Das Risiko und sein Management...8-9 3. Der Risikomanagementprozess...10-12 4. Die GrECo Dienstleistung...13 5. Pressemitteilungen...14 ff Seite 2
1. Einleitung Risiko ist die Gefahr/Chance einer negativen bzw. positiven Abweichung von Unternehmenszielen. Ein einfaches Beispiel: Nehmen wir einen außenhandelsorientierten Staat mit mehreren bedeutenden Häfen. In diesen Häfen kommt es im Herbst zu einem Streik der Hafenarbeiter, die Blockade bleibt 10 Tage aufrecht. Wie so oft zeichnet sich diese Krise schon Monate davor ab, als sich die Beziehungen zwischen der Gewerkschaft und den Hafenbesitzern kontinuierlich verschlechtern. Einige Handelsketten beobachten diese Entwicklung intensiv und füllen ihre Lager für das anstehende Weihnachtsgeschäft vorsorglich auf. Andere werden von der Hafensperre überrascht und sind folglich mit einer dramatischen Warenknappheit konfrontiert. Diejenigen, welche vorsorgen, schaffen sich mit Ihrer Früherkennung einen Wettbewerbs-vorteil. Dies ist gelebtes Risikomanagement. Um am Markt überleben zu können bzw. anhaltend erfolgreich zu sein, ist es für Unternehmen wichtig, Risiken rechtzeitig zu erkennen und gegenzusteuern sowie Chancen frühzeitig wahrzunehmen. Das Risikoumfeld eines Unternehmens wächst ständig und wird mit einem professionellen Risikomanagementsystem erfolgreich gesteuert. 1.1. Das rechtliche Umfeld Neben diesem geschilderten wirtschaftlichen Eigeninteresse zwingen laufend zunehmende rechtliche Vorschriften Unternehmen zur Implementierung eines unternehmensweiten Risikomanagementsystems. Aufsehenerregende Unternehmenspleiten wie beispielsweise die der Libro AG, der Bank Burgenland oder Worldcom und Enron in den USA haben den Ruf nach besseren Kontrollmechanismen und mehr Transparenz von Unternehmen laut werden lassen. Die Politik reagierte prompt: der Sarbanes-Oxley Act in den USA oder das deutsche KonTraG sind nur die bekanntesten Beispiele der weltweit zunehmenden Corporate Governance Gesetzgebung. Seite 3
Auch die 8. EU Richtlinie, die bis Juli 2008 in nationales Recht umgesetzt werden muss, bestimmt künftig die Überprüfung der Wirksamkeit eines internen Kontroll- und Risikomanagementsystems von Unternehmen. Nicht zuletzt hat auch das Banken-Eigenmittelregelwerk Basel II Einfluss auf die Risikogebarung eines Unternehmens: zur Bonitätsbeurteilung verlangt es von Kreditnehmern einen transparenteren Umgang mit Risiken. In Österreich ist der Umgang mit Risiken u.a. im Unternehmensreorganisationsgesetz (URG) 1997 und im Gesellschafts- und Insolvenzrechtsänderungsgesetz (GIRÄG) 2003 festgehalten. Dieses regelt u.a. die Haftungen von Geschäftsführern und Aufsichtsrats-mitgliedern, sowie die Einführung eines internen Kontrollsystems. Einen Corporate Governance Codex gibt es in Österreich seit einigen Jahren auf freiwilliger Basis. Mit dem Rechnungslegungsänderungsgesetz (ReLÄG) 2004 wurde die Pflicht zur Risikoberichterstattung im Lagebericht des Geschäftsberichtes festgelegt. Zusätzliches Haftungspotential ergibt sich für Unternehmen in Österreich seit Beginn 2006, als das länger diskutierte Regelwerk für ein Unternehmensstrafrecht eingeführt wurde. Das sog. Verbandsverantwortlichkeitsgesetz (VbVg) 2005 legt fest, dass für gerichtlich strafbare Handlungen nicht mehr nur natürliche Personen, sondern auch juristische Personen haften. Diese Haftungserweitung stellt ein neues Risiko für Unternehmen dar, mit einem professionellen Risikomanagementsystem können auch in diesem Bereich Risiken frühzeitig erkannt und Gegenmaßnahmen getroffen werden. Risikomanagement-Regelungen International US-GAAP (Allgemein anerkannte Rechnungslegungsgrundsätze der Vereinigten Staaten) Sarbanes-Oxley Act of 2002 (SOX, SarbOx, SOA) IFRS 7 (ehem. IAS 30, IAS 32) International Financial Reporting Standard 7 KonTraG 1998 (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) BilMoG 2009 (Bilanzrechtsmodernisierungsgesetz) Risikomanagement-Regelungen Österreich 82 AktG (Beschränkung der Vertregungsund Geschäftsführungsbefugnis) 22 GmbHG (Haftung der Rechtsvorgänger) 243 UGB bzw. 267 UGB (lt. ReLÄG 2004) - Lagebericht Basel II Regel 69/70 ÖCGK (Österreichischer Corporate Governance Kodex) URÄG 2008 (Unternehmensrechtsänderungsgesetz) Seite 4
1.2. Das wirtschaftliche Umfeld Die wirtschaftlichen Rahmenbedingungen für Unternehmen unterliegen laufenden Veränderungen, welche neue Risikopotentiale entstehen lassen. Diese Veränderungen bieten den Firmen viel neue Chancen, bergen aber auch eine Vielzahl von Risiken. Die fortschreitende Globalisierung und damit Erschließung neuer Märkte führt zu neuen und unbekannten Risiken. Die wirtschaftliche Abhängigkeit von Lieferanten und Kunden wächst, damit steigt auch das Risiko bei deren Wegfall. Die Entscheidungszeiträume werden immer kürzer und durch volatile Umweltparameter beeinflusst. Risikoreiche Faktoren wie Intellektuelles Kapital und IT-Lösungen werden im Betriebsablauf immer wichtiger. Produktrückrufe und die dadurch verbundenen Medien- Berichterstattungen gefährden die Reputation eines ganzen Unternehmens. Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts. Walter Scheel, 4. dt. Bundespräsident Jeder Manager ist im Geschäftsleben überdies auch mit persönlichen Risiken konfrontiert. Das Eingehen unternehmerischer Risiken ist für den Geschäftserfolg und den Fortbestand eines Unternehmens entscheidend. Strengere Gesetzgebung und Rechtssprechung, die wachsende Bedeutung des shareholder value sowie eine steigende Sensibilität der Öffentlichkeit und der Medien führen jedoch dazu, dass Manager zunehmend auch persönlich haftbar gemacht werden. Die Einführung eines professionellen Risikomanagementsystems bietet dem Management eine wesentlich bessere Entscheidungsbasis und trägt somit zur persönlichen Absicherung der Organe eines Unternehmens bei. Nähere Informationen zum Thema Managerhaftung finden Sie in den GrECo Themenfoldern: Managerhaftung und Absicherungsmöglichkeiten Unternehmens-Strafrechtsschutz-Versicherung und Privater Versicherungsschutz für Führungskräfte und Familie Risiko ist eine bewusste Wahl, kein Schicksal G. Tschampion Seite 5
1.3. Fakten und Zahlen Im April 2007 bestätigte ein deutsches Gericht die Relevanz eines funktionierenden Risikomanagementsystems. Die Entlastung des Vorstandes durch die Hauptversammlung wurde im Gerichtsurteil für unwirksam erklärt, da der Vorstand mit dem Fehlen der Dokumentation des Risk Managements einen Gesetzesverstoß begangen hatte. Laut KSV waren 2006 in Österreich 70% aller Insolvenzen hausgemacht. Alleine 36% aller Insolvenzen sind auf Fehler im innerbetrieblichen Bereich zurückzuführen wie z.b. Fehlen des kaufmännischen Weitblicks oder Absatzschwierigkeiten. Durch ein Risikomanagementsystem können solche Fehlerquellen früher erkannt und gegengesteuert werden. 20% aller Unternehmen haben innerhalb eines Jahres einen signifikanten Schaden durch das Fehlen von Risikomanagement erlitten. Dies stellte der britische Versicherer Lloyd s 2005 in einer Studie fest. Mehr als die Hälfte aller Unternehmen gaben an durch das Fehlen von Risikomanagement fast einen Schaden erlitten zu haben. Standard & Poor s (S&P), eine der führenden Rating Agenturen der Welt, hat sich entschlossen, Enterprise Risk Management (ERM) in ihren Rating Prozess einzubauen. S&P plant weiters, für die Besprechungen des dritten Quartals 2008 erstmals das Thema ERM aufzunehmen, wobei die ersten Erklärungen in den Berichten zum vierten Quartal 2008 einfließen werden. Innerhalb eines Jahres wird erwartet, dass sämtliche Unternehmen die ersten Gespräche aufgenommen haben werden. Die Resultate dieser Diskussionen werden anschließend ausgewertet und daraus Richtwerte geschaffen. Standardisierte Kennzahlen werden für 2009 erwartet, nachdem eine ausreichende Anzahl von Reviews durchgeführt wurde. Die Credit Ratings werden nur dann beeinflusst, wenn außerordentliche Umstände identifiziert wurden, die S&P`s Sichtweise über das Risikoprofils des jeweiligen Unternehmens ändern. Laut einer Studie der europäischen Riskmanagement Organisation FERMA haben bereits ¾ aller Befragten eine definierte Risikomanagement-Politik, mehr als die Hälfte befassen sich dabei mit allen Arten von Risiken, von strategischen über finanzielle bis hin zu allen Bereichen der operativen Risiken. Die ganzheitliche Abbildung der Risikolandschaft (Risk Mapping) wird dabei von 91% aller Befragten durchgeführt. Seite 6
Als Hauptziel für die Einführung eines Risikomanagements wird von 72% aller Befragten die Minimierung von betrieblichen Überraschungen und Verlusten angegeben. Die wichtigste subjektiv empfundene Risikokategorie ist weiterhin das operative Risiko, hier wird jedoch für die Zukunft ein Rückgang um 27% erwartet. Risiken, die der Meinung der Befragten nach in der Zukunft an Wichtigkeit zunehmen, sind vorwiegend von außen auf das Unternehmen einwirkende Risiken, wie zum Beispiel das Umweltrisiko mit einer Steigerung von 75%, oder auch durch neue Gesetze und Rechtssprechung verursachte Risiken und allgemeine Marktrisiken, sowohl in Bezug auf den Absatz als auch Lieferanten. Seite 7
2. Das Risiko und sein Management Der Begriff Risiko wird lt. ISO Guide definiert als Kombination der Wahrscheinlichkeit eines Ereignisses und seiner Folgen. Risikomanagement (RM) ist die systematische Behandlung dieser Risiken. Ein Enterprise Risk Management sollte in der Unternehmensstrategie und in den Zielen integriert sein. antizipierend und dauerhaft sein. alle Prozesse und Risiken eines Unternehmens erfassen. auf allen Unternehmensebenen eingesetzt werden. Teil der Unternehmensphilosophie sein und von jedem Mitarbeiter gelebt werden. Verantwortlichkeiten und die Aufbau- und Ablaufstruktur definieren. Risikomanagement sichert den langfristigen Unternehmenserfolg. Laut einer Studie des Versicherers Ace meinten im Jahr 2007 97% der Befragten, dass ein gutes Risikomanagement eine wichtige Quelle für Wettbewerbsvorteile ist. Risiken können frühzeitig erkannt und als Chancen genutzt werden. Seite 8
Weitere Vorteile eines integrierten Risikomanagement-Systems sind: Der Unternehmenswert wird nachhaltig gesteigert. Bessere Unternehmenstransparenz für Corporate Governance und Investoren Verbesserung der Bonität bei Banken (Basel II). Senkung der Gesamtrisikokosten durch zahlenmäßig weniger und betragsmäßig kleinere Schadenereignisse. Mögliche Optimierung der Versicherungsprämien, da diese risikogerechter berechnet werden. Möglicher Einsatz von Alternativem Risikotransfer. Bei Haftungsklagen besteht der Nachweis Maßnahmen zur Risikofrüherkennung und - abwehr getroffen zu haben. Einfachere und flexiblere Entscheidungsfindung. Früherkennung hilft wichtige Ressourcen, die im Falle einer Krise knapp werden, rechtzeitig und günstig zu beschaffen. Steigerung der Kalkulationssicherheit und in weiterer Folge der Wettbewerbsfähigkeit Seite 9
Der Prozess bzw. die Umsetzung eines Enterprise Risk Management besteht im 3. wesentlichen Risikomanagementprozess aus der Festlegung der Risikopolitik, dem Risk Assessment und dem Risk Handling. Risikopolitik Risk-Assessment Risk-Assessment Definition Risikostrategie Definition Risikomanagement-prozess Risikoidentifikation Risikoanalyse Darstellung Risikosituation Risikosteuerung Risikofinanzierung Durchführung Risikocontrolling/ Monitoring Mit der Risikopolitik wird das RM in die strategischen Ziele und in die Organisation des Unternehmens eingebettet und unternehmensweit kommuniziert. Das Risk Assessment beinhaltet die schwierigste Phase des RM, die Informationsbeschaffung. Nachdem die Risiken identifiziert sind, werden sie objektiv und subjektiv analysiert und bewertet und in einer übersichtlichen Darstellung anschaulich gemacht. Mit dem Risk Handling werden die Risiken behandelt, also die Eintrittswahr-scheinlichkeit oder die Folgen des Risikos verändert. In einem Soll-Ist Vergleich wird die Wirksamkeit der Maßnahmen geprüft. Zuletzt wird ein Risikocontrolling zur Überwachung des gesamten Prozesses installiert. Seite 10
1. Definition Risikostrategie Ziel: Definition der Risikopolitik und -strategie Inhalte: Zielsetzung, Risikopolitische Grundsätze, Risikoakzeptanz, Max. Verlustgrenze (Schwellenwerte) 2. Definition Risikomanagementprozess Ziel: Festlegung der sachlichen/geografischen Bereiche und Risikokategorien (strategische und operative Risiken), sowie der Organisation und Methodik etc. Inhalte: Organisation RM: Einzubindende Organisationseinheiten, Methodik der Durchführung..., Rahmenbedingungen 3. Risikoidentifikation Ziel: Systematische Erfassung aller relevanten Risikoarten Inhalte: Gefahrenquellen, Schadenursachen und Störpotentiale (extern/intern) 4. Risikoanalyse Ziel: Erstellung eines Risikoinventars/Risikoregisters und Darstellung durch Risk Map Inhalte: Ursachen (beeinflussbar/nicht beeinflussbar), Eintrittswahrscheinlichkeit, Risikoausmaß Seite 11
5. Darstellung Risikosituation Ziele: Festlegung der Abweichungen zur Risikostrategie Inhalte: Bestehende und potentielle Risiken sowie tatsächlich eingetretene Schäden. Vergleich Ist-Situation mit Soll-Situation 6. Risikosteuerung Ziele: Festlegung der strategischen, operativen und finanziellen Maßnahmen. Beurteilung des brutto/netto Risikos (vor/nach Maßnahmen) und der Prioritäten Inhalte: Planung der Maßnahmen zur Vermeidung, Verminderung und Überwälzung (vor/nach Schadeneintritt) 7. Risikofinanzierung Ziele: Bestimmung der optimalen Risikofinanzierung Inhalte: Versicherungslösung, ART, Cash Flow,... 8. Durchführung Inhalte: Umsetzung der Maßnahmen 9. Risikocontrolling/Monitoring Ziele: Installierung eines Risiko-Reporting-Systems zwecks Überprüfung des laufenden Status (Überwachungssystem) Inhalte: Management-Informationssystem und laufende Maßnahmenkontrolle Seite 12
4. Die GrECo Dienstleistung Die GrECo International AG ist seit über 80 Jahren führend im Bereich des Risiko- und Versicherungsmanagement tätig. Auf Basis dieser Erfahrung coachen und unterstützen wir Ihren Risiko-Manager im gesamten Prozess des Risikomanagements. Damit profitieren Sie von der objektiven Sichtweise eines externen Beraters und vermeiden Betriebsblindheit. In der direkten Beratung der Klienten konzentriert sich GrECo dabei bewusst auf sein Kerngeschäft, die Risiko- und Versicherungsberatung, und ist somit im Risiko-management focusiert auf den versicherungsnahen Bereich, wie z.b. die Evaluierung der klassischen technischen Betriebsrisiken, die Gefährdung durch Naturkatastrophen oder die Untersuchung diverser Haftungsproblematiken. In den weiteren Segmenten des breiten Feldes Risikomanagement kooperiert GrECo im jeweiligen Sub-Segment mit renommierten Partnern aus dem In- und Ausland. Diese Spezialisten wurden und werden von uns selektiert und individuell nach Ihren Bedürfnissen eingesetzt. Sämtliche Partner haben namhafte Referenzen aufzuweisen, welche wir Ihnen gerne im Detail darstellen. Diese Strategie versetzt uns in die Lage, unseren Klienten in allen wesentlichen Bereichen des Risikomanagements erstklassigen Service entweder über unsere eigene Beratungsleistung oder mit erfahrenen Partnern zu bieten, diesen Prozess ganzheitlich zu strukturieren, zu moderieren sowie ein entsprechendes Erfolgs-Controlling aufzubauen. In einem persönlichen Gespräch stellen wir Ihnen sehr gerne ein auf Ihren Bedarf maßgeschneidertes Angebot dar. Mit Enterprise Risk Management Projekten von GrECo und Kooperationspartnern erfüllen Sie u.a. die Anforderungen nach ONR 49001, ISO 31000. Gilt als Testat gemäß 243, 267 UGB Seite 13
5. Pressemitteilungen AssCompact 2009, Fortsetzung auf der nächsten Seite Seite 14
Seite 15
Die Wirtschaft, 1-2/2008, Fortsetzung nächste Seite Seite 16
Seite 17
Wirtschaftsblatt, 19. Oktober 2009 Seite 18
Wirtschaftsblatt, 19. November 2010 Seite 19