Lade Inhalt...

Das MaRisk-Rundschreiben (VA) und die daraus resultierenden Anforderungen an das Risikomanagement und die Auswirkungen auf das Risikoberichtswesen

©2009 Diplomarbeit 82 Seiten

Zusammenfassung

Inhaltsangabe:Einleitung:
Problemstellung und Ziel dieser Arbeit:
Ab dem 1. Januar 2009 müssen von Versicherungsunternehmen Risikoberichte bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eingereicht werden. In den letzten Jahren standen überwiegend die gesetzlichen Anforderungen der externen Berichterstattung, insbesondere für den Lagebericht und Jahresabschluss nach HGB oder IFRS, im Vordergrund. Die hierfür entwickelten Normen lassen sich jedoch nur bedingt auf die interne Risikoberichterstattung übertragen. Weiterhin gibt es mit der 9. Novelle des Versicherungsaufsichtsgesetzes (VAG) einige Änderungen, welche die deutsche Versicherungswirtschaft auf Solvency II vorbereiten sollen. Aus diesen Gründen hat die Aufsichtsbehörde das Rundschreiben 3/2009 veröffentlicht, welches die Mindestanforderungen an das Risikomanagement (MaRisk) erläutert und die Veränderungen am VAG konkretisiert. Bei vielen Versicherungsunternehmen entstehen auf Grund der Prinzipienorientierung einige Fragestellungen bzgl. des genauen Inhalts des Risikoberichts und auf die Prüfungsschwerpunkte seitens der BaFin.
Die aufgeführten Neuerungen und Unsicherheiten bilden die Motivation für diese Diplomarbeit. Das Ziel soll es sein, die Anforderungen des Rundschreibens 3/2009 darzustellen und folglich die Auswirkungen auf das Risikomanagement, insbesondere auf das Risikoberichtswesen, aufzuzeigen. Außerdem liefert diese Diplomarbeit neben einer Bestandsanalyse der aktuellen Situation bzgl. der Risikoberichterstattung auch eine Checkliste, die für die praktische Umsetzung und Implementierung des Risikoberichts hilfreich sein kann.
Aufbau der Arbeit:
Zu Beginn dieser Arbeit soll dem Leser das Grundverständnis von dem MaRisk-Rundschreiben (VA) sowie dem Risikomanagementprozess und Risikocontrolling nähergebracht werden. Dies erfolgt durch die Darstellung und den Entstehungsprozess des o.g. Schreibens und einem begriffsdefinitorischen Grundlagenteil, in dem der Begriff Risiko definiert sowie der Risikomanagementprozess ausführlich erläutert wird. An dieser Stelle wird gesondert auf die Thematik Risikocontrolling und Risikoberichtswesen eingegangen.
Die beiden folgenden Kapitel widmen sich der derzeitigen Situation der Versicherungsunternehmen. Im ersten Schritt werden die Anforderungen an das Risikomanagement, die aus dem MaRisk-Rundschreiben resultieren, dargestellt. Hierbei wird besonders auf die Risikostrategie, das Interne Steuerungs- und Kontrollsystem und die […]

Leseprobe

Inhaltsverzeichnis


Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungs- und Tabellenverzeichnis

1. Einleitung
1.1. Problemstellung und Ziel dieser Arbeit
1.2. Aufbau der Arbeit

2. Entstehungsgeschichte und Darstellung des MaRisk-Rundschreibens (VA)
2.1. Solvency II
2.2. 9. Novelle des Versicherungsaufsichtsgesetzes
2.3. Mindestanforderungen an das Risikomanagement (VA)

3. Risikomanagementprozess und Risikocontrolling
3.1. Begriffsdefinitorische Grundlagen
3.2. Risikomanagementprozess
3.2.1. Identifikation
3.2.2. Bewertung und Analyse
3.2.3. Steuerungsmaßnahmen
3.2.4. Überwachung / Kontrolle
3.3. Risikocontrolling
3.4. Risikoberichtswesen

4. Anforderungen an das Risikomanagement
4.1. Risikostrategie
4.2. Organisatorische Rahmenbedingungen
4.3. Internes Steuerungs- und Kontrollsystem
4.3.1. Risikotragfähigkeitskonzept und Limitierung
4.3.2. Risikokontrollprozess
4.3.3. Unternehmensinterne Kommunikation und Qualitätssicherung des IKS
4.4. Interne Revision

5. Auswirkungen auf das Risikoberichtswesen
5.1. Rechtliche Grundlagen und Standards
5.2. Anforderungen des MaRisk-Rundschreibens (VA) an die Berichterstattung
5.3. Implementierung der neuen Anforderungen
5.3.1. Bestandsaufnahme derzeitiger Maßnahmen
5.3.2. Aufbau und Inhalt des internen Risikoberichts
5.4. Organisatorische Auswirkungen

6. Fazit

7. Anhang

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungs- und Tabellenverzeichnis

Abbildung 1: Aufbau der Diplomarbeit

Abbildung 2: Drei Säulen des Solvency II-Projekts

Abbildung 3: Risikomanagementprozess

Abbildung 4: Risikolandkarte

Abbildung 5: Risikosteuerungsmaßnahmen

Abbildung 6: Abgrenzung Risikomanagement und Risikocontrolling

Abbildung 7: Aufbau eines Internen Kontrollsystems

Abbildung 8: Validierungsprozess des ISKS

Abbildung 9: Visualisierung einer Gap-Analyse

Abbildung 10: Vorgehensweise zur Bestandsaufnahme interne Risikoberichterstattung

Tabelle 1: Aufbauorganisation; mögliche Funktionsträger und deren Aufgaben

Tabelle 2: Risikokategorien nach dem MaRisk-Rundschreiben (VA)

Tabelle 3: Begriffsdefinition bezüglich Interner Revision nach MaRisk (VA)

Tabelle 4: Unterschiede in der Berichterstattung nach DRS und VAG

Tabelle 5: Checklistenauszug - Allgemeine Angaben und Einführung in den Aufbau

Tabelle 6: Checklistenauszug - Darstellung und Umsetzung der Risikostrategie

Tabelle 7: Checklistenauszug - Methodenänderung

Tabelle 8: Checklistenauszug - Risikotragfähigkeitskonzept

Tabelle 9: Checklistenauszug - Situation der Einzelrisiken

Tabelle 10: Checklistenauszug - Gesamtrisikosituation und Zusammenfassung

1. Einleitung

1.1. Problemstellung und Ziel dieser Arbeit

Ab dem 1. Januar 2009 müssen von Versicherungsunternehmen Risikoberichte bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eingereicht werden. In den letzten Jahren standen überwiegend die gesetzlichen Anforderungen der externen Berichterstattung, insbesondere für den Lagebericht und Jahresabschluss nach HGB oder IFRS, im Vordergrund. Die hierfür entwickelten Normen lassen sich jedoch nur bedingt auf die interne Risikoberichter- stattung übertragen.[1] Weiterhin gibt es mit der 9. Novelle des Versicherungsaufsichtsgesetzes (VAG) einige Änderungen, welche die deutsche Versicherungswirtschaft auf Solvency II vorbereiten sollen. Aus diesen Gründen hat die Aufsichtsbehörde das Rundschreiben 3/2009 veröffentlicht, welches die Mindestanforderungen an das Risikomanagement (MaRisk) erläutert und die Veränderungen am VAG konkretisiert. Bei vielen Versicherungsunternehmen entstehen auf Grund der Prinzipienorientierung einige Fragestellungen bzgl. des genauen Inhalts des Risikoberichts und auf die Prüfungsschwerpunkte seitens der BaFin.[2]

Die aufgeführten Neuerungen und Unsicherheiten bilden die Motivation für diese Diplomarbeit. Das Ziel soll es sein, die Anforderungen des Rundschreibens 3/2009 darzustellen und folglich die Auswirkungen auf das Risikomanagement, insbesondere auf das Risikoberichtswesen, aufzuzeigen. Außerdem liefert diese Diplomarbeit neben einer Bestandsanalyse der aktuellen Situation bzgl. der Risikoberichterstattung auch eine Checkliste, die für die prak-tische Umsetzung und Implementierung des Risikoberichts hilfreich sein kann.

1.2. Aufbau der Arbeit

Zu Beginn dieser Arbeit soll dem Leser das Grundverständnis von dem MaRisk-Rundschreiben (VA) sowie dem Risikomanagementprozess und Risikocontrolling nähergebracht werden. Dies erfolgt durch die Darstellung und den Entstehungsprozess des o.g. Schreibens und einem begriffsdefinitorischen Grundlagenteil, in dem der Begriff Risiko definiert sowie der Risikomanagementprozess ausführlich erläutert wird. An dieser Stelle wird gesondert auf die Thematik Risikocontrolling und Risikoberichtswesen eingegangen.

Die beiden folgenden Kapitel widmen sich der derzeitigen Situation der Versicherungsunternehmen. Im ersten Schritt werden die Anforderungen an das Risikomanagement, die aus dem MaRisk-Rundschreiben resultieren, dargestellt. Hierbei wird besonders auf die Risikostrategie, das Interne Steuerungs- und Kontrollsystem und die Interne Revision eingegangen, da die Aufsichtsbehörde diesbezüglich ausführliche Punkte im Rundschreiben angibt.

Anschließend wird dem Leser die derzeitige Rechtsgrundlage für die Risikoberichterstattung nähergebracht. Weiterhin wird im fünften Kapitel auf eine Möglichkeit der Bestandsaufnahme der aktuellen unternehmensinternen Situation sowie eine mögliche Gliederungsstruktur des internen Risikoberichts aufgezeigt.

Im letzten Schritt wird in einer kurzen Zusammenfassung eine kritische Würdigung dieser Thematik erfolgen. Der Aufbau der Diplomarbeit wird durch folgende Grafik veranschaulicht:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Aufbau der Diplomarbeit[3]

2. Entstehungsgeschichte und Darstellung des MaRisk-Rundschreibens (VA)

In den folgenden Kapiteln wird aufgezeigt, wie sich das MaRisk-Rundschreiben entwickelt hat. Begonnen hat es mit der Idee einer Angleichung der Aufsichtsbehörden und somit einer Harmonisierung auf dem Binnenmarkt der Europäischen Union. Dies machte eine Änderung des Versicherungsaufsichtsgesetzes notwendig. Schließlich hat daraufhin die Bundesanstalt für Finanzdienstleistungsaufsicht mit dem MaRisk-Rundschreiben (VA) einen Leitfaden zur Konkretisierung der Umsetzung geschaffen.

2.1. Solvency II

Die Europäische Kommission hat im Jahr 1999 eine Entscheidung getroffen, von der Ver-sicherungsunternehmen besonders stark betroffen sind. Die Aufsicht über die Finanzlage dieser Institute soll grundlegend überarbeitet und an aktuelle Anforderungen angepasst werden.[4] Aus diesem Grund wurde das Projekt Solvency II ins Leben gerufen, welches wiederum in den Aktionsplan für Finanzdienstleistungen eingebunden wurde. Mit dem Aktionsplan wird das Ziel verfolgt, die rechtlichen Schutzbestimmungen an aktuelle Ausprägungen von Finanzrisiken anzupassen.[5]Ein fundamentales Anliegen des Projekts ist die Entwicklung eines weitgehend wettbewerbsneutralen Systems, welches die tatsächliche Risikolage des Versicherers umfassend und möglichst realistisch beschreibt.“[6] In der weiteren Entwicklung wurden in den Jahren 2001 bis 2003 (Phase 1) zwei zentrale Studien angefertigt, die grundsätzliche Rahmenbedingungen schaffen sollten. Eine dieser Studien wurde von der Wirtschaftsprüfungsgesellschaft KPMG erstellt.[7] In dieser wird empfohlen, Solvency II in Anlehnung an Basel II auf einem Konzept der Drei-Säulen beruhen zu lassen.[8]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Drei Säulen des Solvency II-Projekts[9]

Die erste Säule schreibt die quantitativen Eigenmittelanforderungen unterteilt nach ökonomischen Kapital und Mindestkapital fest. Säule Zwei beschäftigt sich mit den qualitativen Anforderungen an die Prüfungsverfahren der Aufsichtsbehörden.[10] Ziel der dritten Säule ist es, durch eine Verstärkung von Publizitätsanforderungen die Markttransparenz und somit auch die Marktdisziplin zu steigern.[11]

Die weitere wesentliche Studie ist als „Sharma-Bericht“ bekannt. Sie wurde nach dem Vor-sitzenden der Konferenz der europäischen Versicherungsaufsichtsbehörden, Paul Sharma, benannt. In dieser werden häufigere und frühere Eingriffsmöglichkeiten der Regulatoren gefordert, um möglichen Schieflagen der Unternehmen wirkungsvoll und präventiv entgegenzuwirken. Weiterhin werden im Sharma-Bericht auf ein ausreichendes Solvenzkapital hingewiesen sowie die Qualität des Risikomanagements und die qualitative Ausgestaltung der internen Prozesse betont.[12] In dem Jahr 2004 begann die zweite Phase des Projekts Solvency II, welche die Konkretisierung der Grundsätze und Einzelheiten eines neuen Solvabilitätssystems zum Gegenstand hatte.[13] Durch die Einführung von Solvency II in die Praxis der Aufsichtsbehörden wird die zweite Phase enden. Ursprünglich sollte im Jahr 2010 die Implementierung stattfinden, allerdings ist mittlerweile von der Europäischen Kommission das Jahr 2012 für die Umsetzung der Rahmenrichtlinie vorgesehen.[14]

2.2.9. Novelle des Versicherungsaufsichtsgesetzes

Am 15. November 2007 wurde vom Deutschen Bundestag die 9. Novelle des Versicherungsaufsichtsgesetzes (VAG) verabschiedet und am 31. Dezember im Bundesg.setzblatt veröffentlicht.[15] Der Grund für die Überarbeitung des Gesetzes ist ein Urteil des Bundesverfassungsgerichts, welches das VAG als verfassungswidrig erklärt hat.[16] Neben der verfassungsmäßigen Neuregelung einiger Paragraphen verfolgt die 9. Novelle zusätzlich das Ziel, die deutsche Versicherungswirtschaft rechtzeitig auf die Regelungen und Anforderungen von Solvency II vorzubereiten.[17] Durch neue Bestimmungen an das Risikomanagement in Versicherungsunternehmen und Pensionskassen soll die Vorbereitung vorangetrieben werden. In diesem Zusammenhang sind speziell die Paragraphen 64a und 55c zu nennen, die beide in die überarbeitete Fassung eingefügt wurden. Der § 64a besagt, „Versicherungsunternehmen müssen über eine ordnungsgemäße Geschäftsorganisation verfügen, welche die Einhaltung der von ihnen zu beachtenden Gesetze und Verordnungen sowie der aufsichtsbehördlichen Anforderungen gewährleistet.“[18] Die geforderte ordnungsgemäße Geschäftsorganisation kann durch eine entsprechende Buchhaltung und Verwaltung sowie ein angemessenes Risikomanagement umgesetzt werden. Folgende Punkte sollten im Risikomanagement Berücksichtigung finden:

- Entwicklung einer Risikostrategie, die auf die Gesamtsteuerung des Unternehmens abgestimmt ist
- Regelungen über die Aufbau- und Ablauforganisation in Bezug auf die Überwachung und Kontrolle der wesentlichen Abläufe und Aufgaben
- Einrichtung eines geeigneten Internen Kontroll- und Steuerungssystems
- Einrichtung einer Internen Revision.[19]

Verantwortlich für die ordnungsgemäße Geschäftsorganisation sind per Gesetz die Geschäftsleiter des Versicherungsunternehmens, wodurch die Verantwortung nicht delegierbar ist. Eng verknüpft mit dem § 64a ist der ebenfalls neu eingeführte § 55c, welcher die Vorlage eines Risikoberichts und eines Revisionsberichts bei der Aufsichtsbehörde regelt. Mit dem Risikobericht ist kein externer Bericht gemeint, sondern die Berichterstattung, die für die Geschäftsleitung angefertigt wird.[20] Aus diesem Grund wird der Risikobericht in weiten Kreisen der Versicherungsbranche und somit auch in dieser Arbeit im Weiteren als „interner Bericht“ genannt. Der Revisionsbericht soll die wesentlichen Feststellungen der Prüfung des vergangenen Geschäftsjahres und zusätzlich die geplanten Prüfungshandlungen des aktuellen Geschäftsjahres beschreiben.[21] Die Fristen zur Vorlage werden im § 55c Abs. 5 geregelt. Der interne Bericht soll demnach spätestens mit einmonatiger Verzögerung nach Einreichung bei der Geschäftsführung bei der Aufsichtsbehörde eintreffen, der Revisionsbericht spätestens mit dem Einreichen des Jahresabschlusses. Am 01. Januar 2008 sind die Regelungen der 9. Novelle des VAG in Kraft getreten.[22]

2.3. Mindestanforderungen an das Risikomanagement (VA)

Am 30. April 2008 hat die BaFin das Konsultationsschreiben 8/2008 veröffentlicht. Dahinter verbirgt sich der Entwurf eines Rundschreibens für aufsichtsrechtliche Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen, im Weiteren MaRisk (VA) genannt. Nach Beendigung der Konsultationsphase wurden am 22. Januar 2009 durch das Rundschreiben 3/2009 die MaRisk (VA) veröffentlicht. Durch das Rundschreiben wird der § 64a konkretisiert und bietet somit eine verbindliche Auslegung des Paragraphen für die Aufsichtsbehörde sowie für die Versicherungsunternehmen.[23] „Die BaFin möchte den Unternehmen mit den MaRisk (VA) somit Planungssicherheit geben, wenn sie ihre Risikomanagementsysteme weiterentwickeln.“[24] Als weiteres Ziel nennt die BaFin die rechtzeitige und angemessene Vorbereitung der deutschen Versicherungswirtschaft auf Solvency II.[25] Die MaRisk nehmen viele Inhalte der zweiten Säule vorweg, da die Qualität des Risikomanagements eines Unternehmens betrachtet wird.[26]

Das MaRisk-Rundscheiben (VA) legt lediglich Mindestanforderungen fest, was bedeutet, dass Versicherungsunternehmen die Inhalte und Anforderungen des Rundschreibens durchaus übertreffen dürfen. Eine wichtige Eigenschaft des MaRisk-Rundschreibens ist die Prinzipienorientierung. Für das Unternehmen bedeutet dies eine freie Entscheidung über die tatsächliche Ausgestaltung des Risikomanagements in Bezug auf die unternehmensindividuellen Risiken in Art und Umfang unter Berücksichtigung der Mindestanforderungen. Die Prüfung der Angemessenheit durch die Aufsichtsbehörde erfolgt nach dem Gesichtspunkt der Proportionalität unter Beachtung der Materialität und Wesentlichkeit.[27] Die Prozesse des Risikomanagements sollen proportional zur Unternehmensgröße, zum Geschäftsvolumen und zur spezifischen Risikostruktur gewählt werden.[28] Diese Vorgehensweise bedeutet die Abkehr vom regelbasierten Ansatz.[29] Das MaRisk-Rundschreiben (VA) beinhaltet zusätzlich einen Erläuterungsteil der einzelnen Anforderungen. Dieser Teil enthält Ausführungen der allgemeinen Art sowie Beispiele zum Umgang mit den Anforderungen in der Praxis. Einige Rundschreiben werden durch das MaRisk-Rundschreiben (VA) abgelöst, manche allerdings, wie z.B. das Rundschreiben 15/2005, behalten weiterhin ihre Gültigkeit.

3. Risikomanagementprozess und Risikocontrolling

Eine Schaffung von Grundlagen und das Aufführen einiger Definitionen sind zum besseren Verständnis des folgenden Abschnittes notwendig. Besonderes Augenmerk liegt dabei auf der Betrachtung des Risikomanagementprozesses und der Abgrenzung von Risikomanagement und Risikocontrolling. Abschließend wird das Berichtswesen einer Unternehmung kurz erläutert.

3.1. Begriffsdefinitorische Grundlagen

Der Begriff Risiko leitet sich aus dem italienischen ab. Zum einen existiert das Wort risicare, was so viel bedeutet wie etwas wagen oder Gefahr laufen, zum anderen das frühitalienische Wort risco, welches die Klippe meint, die es zu umschiffen gilt.[30] Es existieren unterschiedliche Auslegungen für den Risikobegriff. Da in dieser Arbeit der Fokus auf das MaRisk-Rundschreiben gelegt ist, wird die Definition aus dem selbigen verwendet. Als Risiko wird demnach „(...) die Möglichkeit des Nichterreichens eines explizit formulierten oder sich implizit ergebenen Zieles verstanden.“[31]

Die Ursprünge des Risikomanagements liegen in den Vereinigten Staaten von Amerika. Dort haben Unternehmen, versucht die Versicherungsprämien für die versicherten Risiken so gering wie möglich zu halten oder Versicherungen ganz einzusparen. Dies führte dazu, dass in vielen Unternehmen spezielle Risk-Management-Abteilungen gegründet wurden.[32] In Europa hat das Konzept des Risikomanagements in den siebziger Jahren Einzug in die unternehmerische Praxis erhalten.[33] Unter Risikomanagement kann ein wert- oder erfolgsorientierter Ansatz in Bezug auf Analyse und Umgang mit unternehmensweiten Risiken verstanden werden.[34] Hierbei ist zu betonen, dass das Risikomanagement als Prozess verstanden wird, da es ein dynamischer Vorgang ist und keine einmalige, statische Aktion darstellt.[35] In Kapitel 3.2. wird auf den Risikomanagementprozess detaillierter eingegangen.

Häufig wird das Wort Controlling von dem englischen Verb to control abgeleitet und somit missverständlich als Kontrolle oder etwas bzw. jemanden kontrollieren interpretiert. In der englischsprachigen Managementliteratur wird unter Control allerdings Beherrschung, Lenkung, Steuerung und Regelung von Prozessen verstanden.[36] Das Risikocontrolling unterstützt das Risikomanagement bei der Planung und Steuerung von Unternehmensrisiken und ist somit als Bestandteil des Risikomanagements anzusehen.[37] Das Kapitel 3.3. widmet sich den Aufgaben und Zielen des Risikocontrollings.

3.2. Risikomanagementprozess

Es existiert eine Vielzahl von Einzelrisiken, die in ihrem Zusammenspiel ein Gesamtrisiko für ein Unternehmen darstellen. Die Abbildung der einzelnen Risiken und des Risikos in aggregierter Form ist das Ziel des Risikomanagements.[38] Als weiteres Ziel sollte die Formulierung einer Relation von eingegangenem Risiko und der daraus resultierenden Wertsteigerung oder dem erwarteten Erfolg angefügt werden.[39] Zur Zielerreichung ist es notwendig, dass das Risikomanagement als kontinuierlicher Prozess verstanden wird.[40] Dieser Risikomanagementprozess setzt sich aus den einzelnen Phasen Risikoidentifikation, Risikobewertung, Risikosteuerung sowie Risikoüberwachung und -kontrolle zusammen. Folgende Grafik verdeutlicht diesen Sachverhalt:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Risikomanagementprozess[41]

Um eine Optimierung der Risikosituation des Unternehmens zu erreichen, ist es notwendig, dass der Risikomanagementprozess regelmäßig durchgeführt wird und die Daten sowie Erkenntnisse aus der Risikoüberwachung in die erneuten Analysen und Bewertungen einfließen.[42]

3.2.1. Identifikation

In der ersten Phase des Risikomanagementprozesses wird versucht, alle möglichen Gefahrenquellen und Störpotentiale in prospektiver Betrachtungsweise vollständig zu identifizieren und zu erfassen.[43] Es wird eine systematische und prozessorientierte Vorgehensweise empfohlen, um das Ergebnis der Risikoidentifikation zu maximieren.[44] Nur identifizierte und erfasste Risiken können den weiteren Risikomanagementprozess durchlaufen, wodurch die Wichtigkeit dieser ersten Phase nochmalig unterstrichen wird. Zur besseren Übersicht und weiteren Unterstützung sollten die Risiken in einzelne Risikoarten unterteilt werden.[45] Die BaFin schlägt im MaRisk-Rundschreiben (VA) vor, acht Risikokategorien einzuführen, auf die in Kapitel 4. detaillierter eingegangen wird. Die Erfassung aller Einzelrisiken sollte im Idealfall permanent, rechtzeitig, schnell und vollständig erfolgen, um die Einflüsse auf das Gesamtrisiko des Unternehmens darzustellen.[46] In der Literatur wird der Identifikationsprozess auch als Risikoinventur bezeichnet, da er Parallelen zur Inventarisierung bei der industriellen Lagerhaltung aufweist.[47] Es werden viele Informationen benötigt, um bestehende sowie potentielle Gefahren und Störungen für die einzelnen Geschäftsprozesse zu ermitteln. Hierbei können als interne Informationsquellen einzelne Abteilungen des Unternehmens, wie z.B. die Finanzbuchhaltung oder die Kontrollorgane Aufsichtsrat und Jahresabschlussprüfer, dienen.[48] Zusätzlich sollten auch externe Informationsquellen herangezogen werden. Aussagen und Berichte von Analysten, Banken sowie Ratingagenturen, Geschäftsberichte von anderen branchenzugehörigen Unternehmen und Auszüge aus dem Handelsregister können als Beispiele genannt werden.[49] Zur Identifikation der Risiken existiert eine Vielzahl von Methoden und Techniken. So können z.B. Checklisten oder Interviews und Befragungen sowie eine Risiko-Identifikations-Matrix zur Identifikation bestehender und augenscheinlicher Risiken verwendet werden.[50] Sollen hingegen zukünftige und unbekannte Risikopotentiale identifiziert werden, eignen sich eher analytische Methoden. Hierzu zählen u.a. Baumanalysen, Fehlermöglichkeitsanalysen oder Kreativitätsmethoden, wie etwa das Brainstorming.[51] In der unternehmerischen Praxis werden diese Methoden häufig in Kombination angewendet.[52]

3.2.2. Bewertung und Analyse

Alle identifizierten Risiken müssen in der zweiten Phase analysiert und bewertet werden. Die Risikoanalyse wird durchgeführt, um die Ursachen der einzelnen Risiken zu bestimmen.[53] Hierbei kann zwischen Ursachen, die durch Managemententscheidungen beeinflusst werden können, und zwischen Ursachen, die ausschließlich durch unternehmensexterne Ereignisse beeinflusst werden, unterschieden werden.[54] Bei der Risikobewertung geht es darum, die Wahrscheinlichkeit des Eintritts sowie die Ausmaße der einzelnen Risiken zu bestimmen.[55] Ein weiteres Ziel ist es anschließend, die Ursache-Wirkung-Struktur der einzelnen Risiken darzustellen.[56] Es existiert eine hohe Anzahl an Bewertungsmethoden. In der Literatur wird grundlegend zwischen der Top-down- und Bottom-up-Methode unterschieden.[57] Bei der ersteren Methode stehen bereits bekannte Risiken im Vordergrund der Betrachtung, wobei versucht wird, die möglichen Einflüsse auf das Betriebsergebnis zu analysieren.[58] Bei der Bottom-up-Methode stehen hingegen die Ursachen der jeweiligen Risiken im Fokus. Es wird versucht, die potentiellen Folgen für das Unternehmen bei Eintritt des Verlustes herzuleiten und zu bewerten.[59] Als Beispiel kann für die Top-down-Methode der bekannte Value-at-Risk-Ansatz (VaR) genannt werden und für die Bottom-up-Methode werden Sensitivitäts- und Szenarioanalysen verwendet.[60] Einige Risiken lassen sich quantitativ nicht oder nur sehr schwer bewerten. Ein klassisches Beispiel ist das Risiko Imageverlust, bei dem eine monetäre Bewertung schwierig durchzuführen ist. Aber auch diese qualitativ bewerteten Risiken müssen in das Risikomanagement einbezogen werden.[61] Bei der Bewertung dürfen die Interdependenzen der einzelnen Risiken nicht außer Acht gelassen werden, um mögliche Kumulrisiken rechtzeitig zu erkennen.[62] Die grafische Darstellung der Risikosituation kann in Form einer Risikolandkarte oder Risk Map erfolgen.[63] Dabei wird auf der Abszisse die mögliche Schadenshöhe des jeweiligen Risikos abgetragen. Die Ordinate hingegen wird mit der potentiellen Eintrittswahrscheinlichkeit beschriftet. Die einzelnen Risikopositionen werden schließlich in Abhängigkeit dieser beiden Größen in die Risikolandkarte eingezeichnet.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Risikolandkarte[64]

Eine Risikolandkarte kann noch zusätzliche Informationen enthalten. Beispielsweise können Bereiche eingefügt werden, die aufzeigen, ob ein Risiko für die Berichterstattung berücksichtigt wird oder nicht. Weiterhin können durch unterschiedliche Kennzeichnungen die passenden Hierarchieebenen für die Verantwortlichen dargestellt werden.[65] Es können zusätzlich Modifikationen in den Abstufungen erfolgen. Häufig sind in der Literatur neben den drei Abstufungen gering, mittel sowie hoch auch noch sehr gering und sehr hoch zu finden.

3.2.3. Steuerungsmaßnahmen

„Die Aufgabe der Risikosteuerung ist es, die zuvor erfassten und bewerteten Risiken im Einklang mit den Unternehmenszielen und den definierten Risikovorgaben zu bewältigen.“[66] Bei der Wahl der Steuerungsmaßnahmen ist darauf zu achten, dass diese wiederum bei unterschiedlichen Risiken Interdependenzen hervorrufen, die den Lösungsansatz zusätzlich erschweren.[67] Es wird grundsätzlich zwischen aktiven und passiven Maßnahmen der Risikosteuerung unterschieden. Bei den aktiven oder auch ursachenbezogenen Steuerungsmaßnahmen wird versucht, die Eintrittswahrscheinlichkeit des Verlustes zu verringern, indem der Risikoentstehungsprozess angegangen wird.[68] Von passiver Risikosteuerung wird gesprochen, wenn hingegen versucht wird, durch Steuerungsmaßnahmen die finanziellen Auswirkungen nach dem Eintritt des Risikos für das Unternehmen zu reduzieren. Als Synonym wird häufig der Begriff wirkungsbezogene Maßnahme verwendet.[69] Nachstehende Grafik listet die einzelnen Maßnahmen auf:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Risikosteuerungsmaßnahmen[70]

Bei der Risikovermeidung ist zu beachten, dass diese mit einem Verzicht auf eine Chance einhergeht. Dies kann nur in Betracht gezogen werden, wenn der potentiellen Chance ein überkompensierendes Risiko beigemessen wird.[71] Ferner kann die Risikovermeidung nur bei Einzelrisiken durchgeführt werden, denn bei der Vermeidung jedweder Risiken würde dem ökonomischen Grundgedanken des unternehmerischen Handelns widersprochen.[72] Häufiger als die Risikovermeidung wird das Instrument der Risikoverminderung eingesetzt. Hierbei ist als Beispiel das Hedging von Wechselkursrisiken und von Zinsänderungsrisiken zu nennen. Auch bei Rohstoffpreisen kann durch Optionsgeschäfte eine Risikoverminderung erfolgen.[73] Durch die Zusammenstellung des Unternehmensportfolios kann eine Risikostreuung zu einer erfolgreichen Risikosteuerung beitragen.

Weiterhin besteht die Möglichkeit, durch die sogenannte Risikoüberwälzung das Risiko an einen Dritten zu übertragen, die sogenannte Risikoüberwälzung. Hierbei kann das Versicherungsunternehmen die Risikopositionen durch geeignete Kontrakte an Vertragspartner veräußern.[74] Eine weitere Möglichkeit der Überwälzung wäre das Outsourcing. Sobald einige Teilbereiche des Unternehmens ausgegliedert sind, treten die entsprechenden Risiken nicht mehr innerhalb des Geschäftsbetriebs auf.[75] Einige Risiken können vom Unternehmen versichert werden. Hierbei gilt es zu berücksichtigen, dass die Versicherungsprämie die Kosten der Sicherungsmaßnahme darstellt.[76] In der Praxis wird häufig eine Kombination der einzelnen Steuerungsmaßnahmen verwendet. Aus betriebswirtschaftlicher Sicht ist eine Grenzbetrachtung durchzuführen, bei der die Grenzkosten der Risikovermeidung dem Grenznutzen gegenübergestellt werden.[77] Das Optimum ist bei Ausgleich der beiden Größen erreicht.

Letztendlich ist es nicht möglich, auf alle Risiken mit den o.g. Maßnahmen zu reagieren. Aus diesem Grund akzeptiert das Unternehmen meist die Elementarrisiken, die mit dem Erfolgspotential des Geschäfts eng in Verbindung stehen und entscheidende Zukunftschancen darstellen.[78]

3.2.4. Überwachung / Kontrolle

Dieser Teilprozess schließt den Kreislauf und lässt ihn erneut beginnen. Auf dieser Stufe des Prozesses werden die gesamten Risikopositionen in Bezug auf ihre Eintrittswahrscheinlichkeit überprüft.[79] Hierbei wird von einer Vollständigkeitskontrolle gesprochen. Zusätzlich ist zu prüfen, ob Risiken, die in der ersten Phase bewusst nicht aufgenommen wurden, mittlerweile eine ernstzunehmende Risikoposition darstellen.[80] Weiterhin werden die Steuerungsmaßnahmen für die jeweiligen Risiken auf ihre Wirkungsweise kontrolliert, welches als Methodenkontrolle verstanden werden kann.[81] Die Vorgehensweise ist sehr häufig ein klassischer Soll-/Ist-Vergleich. Die Sollwerte entsprechen den geplanten und in einem Rahmenkonzept formulierten Risikopositionen der Einzelrisiken. Verglichen werden diese mit den realisierten Positionen, wobei anschließend die Differenzen hinsichtlich des Entstehungsgrundes untersucht werden sollten.[82] Die ermittelten Ergebnisse werden an dieser Stelle vom Risikoberichtswesen aufgenommen und verarbeitet. Auf die weiteren Aufgaben wird in Kapitel 3.4. detaillierter eingegangen. Ein ökonomisches Vorgehen ist hierbei notwendig. Der Kontroll- und Überwachungsaufwand ist je nach der Tragweite der einzelnen Risikopositionen auszurichten, d.h. eine notwendige Erhöhung des Aufwandes ggf. eine Reduzierung.

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“[83] Diese Rechtsgrundlage unterstreicht, warum in diesem letzten Prozessschritt nicht nur die Einzelrisiken überwacht und kontrolliert werden, sondern auch der Managementprozess selbst Gegenstand einer Überprüfung ist.[84]

3.3. Risikocontrolling

Es herrscht in Bezug auf die Begriffe Risikomanagement und Risikocontrolling durchaus Inkonsistenz. Teilweise werden sie als Synonym verwendet, aber auch häufig auf verschiedene Weise voneinander abgegrenzt.[85] Wird das Risikomanagement der Controllingfunktion der Unternehmung untergeordnet, so ist das Risikomanagement ein Teilbereich des Controllings. Die andere Sichtweise behandelt hingegen das Risikocontrolling als Bestandteil des Risikomanagements.[86] Unabhängig von den unterschiedlichen Betrachtungsweisen ergibt sich folgende Zielsetzung des Risikocontrollings: „(…) Informationen über den Ist-Zustand der Unternehmensrisiken zu liefern und die Unternehmensführung bei der Planung und Steuerung von Risiken und bei der Kontrolle der erreichten Risikopositionen zu unterstützen.“[87] Die folgende Grafik soll obiges Zitat unterstreichen:

Abbildung 6: Abgrenzung Risikomanagement und Risikocontrolling[88]

Abbildung in dieser Leseprobe nicht enthalten

Die Unterstützung des Controllings erfolgt weitgehend aus den allgemeinen Funktionen Planung, Kontrolle und Information.[89] Die Planung findet sich in den Risikomanagementprozessschritten Identifikation sowie Bewertung und Analyse wieder. Hierbei erfährt die Unternehmensführung eine unterstützende Tätigkeit des Risikocontrollings. Die Planung der typischen Ziele, wie z.B. Eigenkapitalrendite, Kosten, Umsatz usw. wird um die Risiken vervollständigt, die den jeweiligen Zielen zugeordnet werden.[90] Die allgemeine Kontrollfunktion des Controllings ist in der letzten Phase des Risikomanagementprozesses zu finden. Typische Kontrollfunktionen sind beispielsweise Soll-Ist-Vergleiche und Abweichungsanalysen in Form von Backtesting.[91] Durch die Berichterstattung an die einzelnen Unternehmensbereiche erfüllt das Risikocontrolling die Informationsfunktion.[92] Als weitere wichtige Aufgabe ist die Koordinierung der einzelnen Phasen des Risikoprozesses zu nennen.[93] Hierbei ist zwischen Systembildung und Systemkopplung zu unterscheiden. Ersteres besteht aus der Gestaltung von Prozessstrukturen, letzteres koordiniert die Phasen des Risikomanagementprozesses, die nicht zwingend isoliert voneinander ablaufen.[94]

Die Überprüfung der Funktionsfähigkeit und die Qualität der Maßnahmen im Managementprozess werden auch von der Internen Revision des Unternehmens durchgeführt.[95] Zusammenfassend können folgende Tätigkeitsbereiche für das Risikocontrolling genannt werden:

- Weiterentwicklung des risikoorientierten Instrumentariums
- Methodische Unterstützung des Risikomanagements
- Weiterentwicklung der Fach- und Methodenkompetenz
- Implementierung und Etablierung eines Risikoberichtswesens.[96]

3.4. Risikoberichtswesen

Unter dem Begriff Berichtswesen werden „(…) die Einrichtungen, Mittel und Maßnahmen eines Unternehmens zur Erarbeitung, Weiterleitung und Verarbeitung von Informationen über den Betrieb und seine Umwelt zusammengefasst.“[97]

Folgende klassische Fragestellungen sollten im Zusammenhang mit dem Berichtswesen formuliert werden:

- Weshalb soll berichtet werden? Das ist die zentrale Fragestellung, denn je präziser der Zweck bestimmt wird, desto besser kann der Informationsbedarf befriedigt werden.
- Was soll berichtet werden? Hierbei wird nach dem Inhalt, aufgegliedert nach Verdichtungsgrad und Genauigkeit, gefragt.
- Wer soll berichten und an wen soll berichtet werden? Die Fragen nach dem Sender und Empfänger.
- Wann soll berichtet werden? Bestimmung der Intervalle und Berichtszeitpunkte.[98]
- Wie wird berichtet? Die Form des Berichts und der Übermittlung wird hier geklärt.[99]

[...]


[1] Vgl. Rautenburger/Winter (2009), S. 233.

[2] Prinzipienorientierung meint, dass die Unternehmen unter Berücksichtigung der Mindestanforderung frei entscheiden können, wie konkret das Risikomanagementsystem und der Risikobericht auszugestalten sind.

[3] Eigene Darstellung.

[4] Vgl. Hartung (2007), S. 305.

[5] Vgl. ebd.

[6] Schradin (2003), S. 38.

[7] Vgl. KPMG (2002), S. 16.

[8] Vgl. Graf (2008), S. 14.

[9] Eigene Darstellung in Anlehnung an Romeike/Müller-Reichert (2008), S. 134.

[10] Vgl. Gründl/Perlet (2005), S. 266.

[11] Vgl. Gründl/Perlet (2005), S. 40.

[12] Vgl. Graf (2008), S. 15.

[13] Vgl. Hartung (2007), S. 307.

[14] Vgl. Europäische Kommission (2009).

[15] Vgl. Altenähr et al. (2008), S. 6 und Bundesgesetzblatt Nr. 70 vom 31.12.2007, S. 3248-3253.

[16] Vgl. Urteil des Bundesverfassungsgerichts vom 26. Juli 2005, 1 BvR 782/94.

[17] Vgl. Wehling/Treber (2008), S. 178.

[18] VAG § 64a.

[19] Vgl. VAG § 64a.

[20] Vgl. Wehling/Treber (2008), S. 179.

[21] Vgl. VAG § 55c.

[22] Vgl. Rauschen/Schmitt (2008), S. 992.

[23] Vgl. BaFin (2009), S. 3.

[24] Deloitte (2009), S. 1.

[25] Vgl. Romeike (2008), S. 1.

[26] Vgl. Kapitel 2.1.

[27] Vgl. Deloitte (2009), S. 3.

[28] Vgl. ebd.

[29] Ein regelbasierter Ansatz ist das Gegenteil von dem der Proportionalität. Diese Ansätze beinhalten häufig eine Checkliste oder einen detaillierten Ablaufplan zur Durchführung und lassen somit sehr geringe bis keine Spielräume zu.

[30] Vgl. Schmitz/Wehrheim (2006), S. 15; Romeike/Müller-Reichert (2008), S. 373.

[31] BaFin (2009), S. 7.

[32] Vgl. Fiege (2006), S. 51.

[33] Vgl. ebd.

[34] Vgl. Finke (2005), S. 23.

[35] Vgl. Wolke (2008), S. 4.

[36] Vgl. Horváth (2006), S. 18.

[37] Vgl. Wolke (2008), S. 2.

[38] Vgl. Beinert (2003), S. 26.

[39] Vgl. Finke (2005), S. 24.

[40] Vgl. Burger/Burchhart (2002), S. 31.

[41] Eigene Darstellung in Anlehnung an Romeike/Müller-Reichert (2008), S. 75.

[42] Vgl. Romeike/Müller-Reichert (2008), S. 75

[43] Vgl. Schmitz/Wehrheim (2006), S. 34.

[44] Vgl. Romeike/Müller-Reichert (2008), S. 75.

[45] Vgl. Dörner/Doleczik (2000), S. 203.

[46] Vgl. Burger/Burchhart (2002), S. 32.

[47] Vgl. Horváth (2006), S. 749; Schmitz/Wehrheim (2006), S. 34.

[48] Vgl. Schmitz/Wehrheim (2006), S. 35.

[49] Vgl. ebd.

[50] Vgl. Romeike/Müller-Reichert (2008), S. 76.

[51] Vgl. ebd.

[52] Vgl. Romeike/Müller-Reichert (2008), S. 75.

[53] Vgl. Schmitz/Wehrheim (2006), S. 80.

[54] Vgl. ebd.

[55] Vgl. Burger/Burchhart (2002), S. 45.

[56] Vgl. Reichling et al. (2007), S. 215.

[57] Vgl. Romeike/Müller-Reichert (2008), S. 77; Schmitz/Wehrheim (2006), S. 83.

[58] Vgl. Schmitz/Wehrheim (2006), S. 83.

[59] Vgl. Romeike/Müller-Reichert (2008), S. 78.

[60] Vgl. Schmitz/Wehrheim (2006), S. 83; der Begriff VaR bezeichnet ein Risikomaß, das angibt, welchen Wert der Verlust einer bestimmten Risikoposition (z.B. eines Portfolios von Wertpapieren) mit einer gegebenen Wahrscheinlichkeit und in einem gegebenen Zeithorizont nicht überschreitet.

[61] Vgl. Dörner/Doleczik (2000), S. 203.

[62] Vgl. Schmitz/Wehrheim (2006), S. 81; Kumulrisiko meint das Risiko, dass ein einziges auslösendes Ereignis, beispielsweise ein Erdbeben oder ein Wirbelsturm zu einer Häufung von Schadenfällen führt.

[63] Vgl. Horváth (2006), S. 750.

[64] Eigene Darstellung in Anlehnung an Horváth (2006), S. 750.

[65] Vgl. Horváth (2006), S. 750.

[66] Dörner/Doleczik. (2000), S. 203.

[67] Vgl. Wolf/Runzheimer (1999), S. 41 f.

[68] Vgl. Wolf/Runzheimer (1999), S. 42.

[69] Vgl. Romeike/Müller-Reichert (2008), S. 82.

[70] Eigene Darstellung in Anlehnung an Reichling et al. (2007), S. 216.

[71] Vgl. Kirchner (2002), S. 45.

[72] Vgl. Schmitz/Wehrheim (2006), S. 95.

[73] Vgl. Schmitz/Wehrheim (2006), S. 96 f.

[74] Als Beispiel können hier Asset-Backed-Securities (ABS) genannt werden, mit denen das Kreditausfallrisiko minimiert wird. Diese werden über spezielle Zweckgesellschaften, Special Purpose Vehicle (SPV) an Anleger veräußert.

[75] Vgl. Burger/Burchhart (2002), S. 50.

[76] Vgl. Kirchner (2002), S. 45.

[77] Vgl. Kirchner (2002), S. 48.

[78] Vgl. Schmitz/Wehrheim (2006), S. 106.

[79] Vgl. Reichling et al. (2003), S. 216.

[80] Vgl. Burger/Burchhart (2002), S. 52.

[81] Vgl. Reichling et al. (2003), S. 216.

[82] Vgl. Burger/Burchhart (2002), S. 52.

[83] AktG § 91.

[84] Vgl. Burger/Burchhart (2002), S. 54.

[85] Vgl. Burger/Burchhart (2002), S. 9.

[86] Vgl. Burger/Burchhart (2002), S. 9.

[87] Burger/Burchhart (2002), S. 13.

[88] Eigene Darstellung in Anlehnung an Fiege (2006), S. 81.

[89] Vgl. Horváth (2006), S. 98.

[90] Vgl. Wolke (2008), S. 239.

[91] Vgl. Burger/Burchhart (2002), S. 58; Wolke (2008), S. 240; Backtesting bedeutet, es wird rückwirkend überprüft, wie zuverlässig die verwendeten Rechenmethoden des VaR die tatsächlich eingetretenen Verluste in der Vergangenheit vorhergesagt haben.

[92] Vgl. Wolke (2008), S. 240; Kapitel 3.4.

[93] Vgl. Wolke (2008), S. 240.

[94] Vgl. Burger/Burchhart (2002), S. 13.

[95] Vgl. Horváth (2006), S. 752.

[96] Vgl. Kirchner (2002), S. 25.

[97] Blohm (1982), S. 866.

[98] Vgl. Blohm (1974), S. 13.

[99] Vgl. Koch (1994), S. 59.

Details

Seiten
Erscheinungsform
Originalausgabe
Erscheinungsjahr
2009
ISBN (eBook)
9783836637206
DOI
10.3239/9783836637206
Dateigröße
499 KB
Sprache
Deutsch
Institution / Hochschule
Gottfried Wilhelm Leibniz Universität Hannover – Wirtschaftswissenschaften, Banken und Finanzierung
Erscheinungsdatum
2009 (Oktober)
Note
1,3
Schlagworte
marisk risikobericht risikomanagement risikostrategie risikomanagementprozess
Zurück

Titel: Das MaRisk-Rundschreiben (VA) und die daraus resultierenden Anforderungen an das Risikomanagement und die Auswirkungen auf das Risikoberichtswesen
Cookie-Einstellungen