Risikoaggregation in der Praxis
Deutsche Gesellschaft für Risikomanagement e.V. Herausgeber
Risikoaggregation in der Praxis Beispiele und Verfahren aus dem Risikomanagement von Unternehmen
123
Deutsche Gesellschaft für Risikomanagement e.V. Bornwiesenweg 18 60322 Frankfurt Deutschland
[email protected]
ISBN 978-3-540-73249-5
e-ISBN 978-3-540-73250-1
DOI 10.1007/978-3-540-73250-1 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. c 2008 Springer-Verlag Berlin Heidelberg Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des Urheberrechtsgesetzes. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Herstellung: LE-TEX Jelonek, Schmidt & Vöckler GbR, Leipzig Einbandgestaltung: WMX Design GmbH, Heidelberg Gedruckt auf säurefreiem Papier 987654321 springer.com
Geleitwort
Manchmal wird der Wald vor lauter Bäumen nicht gesehen, das weiß der erfahrungsbasierte Volksmund. Der Wortlaut des § 91 Aktiengesetz – dessen Veränderung durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) für viele deutsche Unternehmen zum offiziellen Start eines expliziten Risikomanagementsystems wurde – stellt explizit auf „den Fortbestand der Gesellschaft gefährdende Entwicklungen“ ab. In der Praxis ist meist nicht ein Risiko allein bestandsgefährend, sondern die Kombination mehrerer Risiken. Dies können gleichnamige Risiken verschiedener Unternehmensbereiche sein (z. B. Kreditrisiken), die zusammen zu sehen sind. Dies können auch Einzelrisiken unterhalb von definierten Aufgriffsgrenzen sein, die sich aber in bestimmten Situationen kumulieren können. Schließlich können Risiken entweder zufällig oder kausal, z. B. als „Dominoeffekt“ gleichzeitig auftreten. All dies zeigt, dass nur eine Gesamteinschätzung der verschiedenen Einzelrisiken dem Anspruch des Gesetzes und natürlich auch den Anforderungen an ein professionelles Risikomanagement in der Praxis genüge tut. Hierzu sind die Risiken zu aggregieren. So wird aus vielen einzelnen Bäumen ein Wald, der als solcher ein besonderes Ökosystem ist. In der Risikowelt wäre die Analogie ein Portfolio. Welches Verfahren der Risikoaggregation ist nun geeignet und angemessen? Wie oft in der betrieblichen Praxis: es kommt darauf an. Die Branche, die Betriebsgröße, die Struktur des Unternehmens sind nur einige Faktoren, die eine differenzierte Vorgehensweise nahe legen. Die Deutsche Gesellschaft für Risikomanagement e.V. gibt seit ihrer Gründung 1999 den für das Risikomanagement verantwortlichen betrieblichen Praktikern die Möglichkeit, diese und ähnliche Fragen zu diskutieren und zu bearbeiten. Der Verein baut ausschließlich auf das ehrenamtliche Engagement der Mitglieder und ist strikt unabhängig von Unternehmensberatungsgesellschaften. So wird die erforderliche Unabhängigkeit sichergestellt. Wenn Sie Fragen, Beiträge, Anregungen haben oder sich einfach nur mal am Rande einer Veranstaltung mit Risikomanagern aus Industrieunternehmen austauschen wollen, so besuchen Sie unsere Website unter
VI
Der Vorstand der Deutschen Gesellschaft für Risikomanagement e.V.
www.dgr.de oder schicken uns eine Email. Sie werden dann gerne unverbindlich zu einer unserer regelmäßig bei den Mitgliedsunternehmen stattfindenden Veranstaltungen eingeladen. Der Vorstand der Deutschen Gesellschaft für Risikomanagement e.V. Frankfurt/Main, Dezember 2007
Vorwort
Ausgehend von den Anforderungen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) haben viele deutsche Unternehmen Risikomanagementprozesse implementiert, in denen zunächst einzelne Risiken identifiziert und anschließend in einem Risikokatalog zusammengefasst werden. Um dem Anspruch des KonTraG – den „Fortbestand der Gesellschaft gefährdende Entwicklungen“ frühzeitig zu erkennen – gerecht zu werden, bedarf es jedoch mehr als nur einer Auflistung von Einzelrisiken. Bereits das Institut der Wirtschaftsprüfer (IDW) hat in seinem Prüfungsstandard PS 340 „Prüfung von Risikomanagementsystemen“ darauf hingewiesen, dass auch das Zusammenwirken einzelner Risiken zu beachten ist. Dieses kann im Ergebnis auch eine Bestandsgefährdung aus einzeln wenig bedeutsamen Risiken ergeben. Für alle Unternehmen sind die Prozesse und Systeme zur Identifikation und Bewertung der Einzelrisiken die notwendige Basis. Darauf aufbauend stellt sich dann die Frage, wie und für welchen Bezugsrahmen einzelne Risiken unterschiedlicher Art aggregiert werden können. Der Nutzen eines Risikomanagementsystems kann jedoch nicht allein in der Vermeidung von bestandsgefährdenden Risiken gesehen werden. Insbesondere im Rahmen einer wertorientierten Unternehmenssteuerung können und sollen Risikoinformationen einen wesentlichen Beitrag zu effizienten Managemententscheidungen leisten. Die Grundidee des wertorientierten Managements besteht dabei darin, nur in Objekte oder Unternehmensbereiche zu investieren, deren periodenübergreifende Verzinsung über den risikoadjustierten Kapitalkosten liegt, um dadurch den Unternehmenswert zu steigern. Eine wichtige Rolle spielt dabei die Ermittlung von aggregierten Risikowerten auf der zu steuernden Unternehmens(bereichs)ebene. Es stellt sich somit auch für Unternehmen, die dem Risikomanagementsystem eher strategische Bedeutung zumessen, die Frage nach den geeigneten Verfahren der Risikoaggregation. Im Rahmen der Veranstaltungen der Deutschen Gesellschaft für Risikomanagement e.V. (DGR) wurde wiederholt das Thema der Aggregation von Risiken – insbesondere unter den oben dargestellten Aspekten – diskutiert und in Vorträgen behandelt. Daraus entstand die Idee, Ansätze aus Unternehmen verschiedener Branchen und unterschiedlicher Größenord-
VIII
Jan Offerhaus, Mario Hempel
nungen zum Thema Risikoaggregation in einem Buch zusammenzustellen. Dieses Buch mit Beiträgen von neun Unternehmen direkt aus der Praxis richtet sich an Interessierte aus Unternehmen und Wissenschaft. Die Beiträge zeigen auf, wie unterschiedlich die Herangehensweise sein kann, je nachdem, ob sich ein Unternehmen dem Thema eher aus strategischer Perspektive oder eher zum Zwecke der Identifikation von bestandsgefährdenden Risiken nähert. Andere Determinanten für die verwendeten Methoden und Instrumente zur Risikoaggregation sind sicherlich auch die Unternehmensgröße, die Organisationsstruktur oder die Quantifizierbarkeit der jeweils wesentlichen Risiken. Als Klammer um die Praxisbeiträge dienen einerseits ein allgemeiner Überblick zu Rahmenbedingungen und wettbewerblichen Notwendigkeiten der Aggregation von Risiken in Unternehmen und eine theoretische Einführung in die Mathematik der Risikoaggregation am Anfang dieses Buches sowie andererseits ein Fazit aus den Unternehmensbeiträgen, in dem die verwendeten Ansätze systematisiert werden. Eine Empfehlung zur Best Practice will dieses Buch nicht aussprechen. Der Praktiker soll vielmehr die Möglichkeit haben, sich selbst aus den dargestellten Beiträgen die für sein Unternehmensumfeld und für seine Zielsetzung geeigneten Verfahren zusammenzustellen. Unser Dank gilt allen Autoren der Praxisbeiträge sowie Herrn Prof. Dr. Heinrich Rommelfanger für den theoretischen Teil. Darüber hinaus möchten wir uns bei Herrn Dr. Dirk Metzger, Frau Dr. Agatha Kalhoff und Herrn Bert H. Stahlmann bedanken, die im Review Board für die Beiträge mitgewirkt haben. Jan Offerhaus, Mario Hempel München, Berlin, Dezember 2007
Inhaltsverzeichnis
Inhaltsverzeichnis Geleitwort .................................................................................................. V Vorwort................................................................................................... VII Inhaltsverzeichnis ................................................................................... IX Abkürzungsverzeichnis ......................................................................... XV
Teil 1 Einführung Risikoaggregation als wichtiger Aspekt des Risikomanagements......... 3 Mario Hempel, Jan Offerhaus 1 1.1 1.2 1.3 1.4 2
Ist Risikoaggregation notwendig?.................................................... 3 Gesetzliche Vorgaben in Deutschland ............................................. 3 Spezifische Regularien für die Finanzbranche................................. 5 Gesetzliche Vorgaben im Ausland und RisikomanagementStandards.......................................................................................... 8 Betriebswirtschaftliche Impulse..................................................... 10 Risikoaggregation ist notwendig.................................................... 12
Stand der Wissenschaft bei der Aggregation von Risiken ................... 15 Heinrich Rommelfanger 1 2 3 4 4.1 4.2
Die Bedeutung der Risikoaggregation ........................................... 15 Vorgehen........................................................................................ 17 Der Risikobegriff ........................................................................... 18 Die Quantifizierung von Risiken, Risikomaßzahlen...................... 19 Diskrete Zufallsvariablen, Wahrscheinlichkeitsverteilungen ........ 19 Stetige Zufallsvariablen, Dichtefunktionen ................................... 23
X
4.3 5 6 7 7.1 7.2 8 9
Inhaltsverzeichnis
Mehrdimensionale Zufallsvariablen .............................................. 28 Probleme bei der Risikoanalyse mit traditionellen Verfahren ....... 36 Risikoanalyse auf Basis des Varianz-Kovarianz-Ansatzes............ 37 Risikoanalyse auf Basis der Monte-Carlo-Simulation................... 39 Die Mid-Square-Methode .............................................................. 41 Lehmergeneratoren ........................................................................ 42 Das Zeitproblem bei der Risikoaggregation .................................. 45 Das Problem unzureichender Schadendaten .................................. 46
Teil 2 Fallstudien aus der Industrie Die Aggregation von Risiken bei der SAP AG ...................................... 51 Dirk Metzger 1 1.1 1.2 2 3 3.1 3.2 3.3 4 4.1 4.2 4.3 5 6
Der SAP Konzern und seine Kernrisiken ...................................... 51 Aufbauorganisation........................................................................ 52 Kernrisiken der SAP ...................................................................... 53 Das Risikomanagementsystem der SAP AG ................................. 56 Die Bewertung von Risiken........................................................... 58 Vorbemerkung ............................................................................... 58 Der Bewertungsprozess der SAP bis September 2006 .................. 58 Der Bewertungsprozess der SAP seit September 2006 ................. 60 Die Aggregation von Risiken ........................................................ 62 Vorbemerkungen ........................................................................... 62 Semantische Aggregation .............................................................. 65 Mathematische Aggregation .......................................................... 67 Würdigung der Risikoaggregation bei der SAP............................. 73 Ausblick......................................................................................... 75
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP..................................................................................................... 77 Dietmar Krull, Sandra Simonides 1 1.1 1.2 2 2.1 2.2 3 4
Die BLG LOGISTICS GROUP..................................................... 77 Geschäftsbereiche .......................................................................... 77 Organisation................................................................................... 79 Risiko und Risikokategorien.......................................................... 80 Definition ....................................................................................... 80 Spezifische Risiken........................................................................ 81 Risikomanagementorganisation und -prozess................................ 82 Bewertung und Aggregation von Risiken...................................... 84
Inhaltsverzeichnis
4.1 4.2 4.3 4.4 4.5 5 6
XI
Instrumente .................................................................................... 84 Risikobewertungen ........................................................................ 85 Sicherung der Bewertungsqualität ................................................. 87 Ziele der Risikoaggregation........................................................... 87 Aggregationsebenen....................................................................... 89 Integration in den Planungsprozess des zentralen Controllings..... 89 Berichtswesen und Ausblick.......................................................... 90
Integriertes Chancen- und Risikomanagement bei der BMW Group............................................................................................. 93 Holger Sommerfeld, Elmar Steurer 1 2 3 4 4.1 4.2 5 6
Ausgangslage und Zielsetzung ...................................................... 93 Integration von Risiken im Unternehmen...................................... 94 Organisation des Chancen- und Risikomanagements.................... 98 Umsetzung des Risikomanagements in Unternehmensbereichen 100 Integriertes Management von finanziellen Risiken ..................... 100 Integriertes Risikomanagement in Fahrzeugprojekten ................ 101 Aggregation von Chancen- und Risiken als Basis zur Steuerung des Risikokapitals ........................................................................ 105 Ausblick ....................................................................................... 106
Einführung einer Methodik zur Risikoaggregation bei der MOL Group ...................................................................................................... 111 Tibor Papp, Beata Szoboszlai 1 2 3 3.1 3.2 3.3 4 5
Die Öl- und Gasgesellschaft MOL Plc. ....................................... 111 Zentrale Organisation des Risikomanagements........................... 112 Modell des Enterprise Risk Management .................................... 114 Übernahme von Daten in das ERM-Modell ................................ 116 Integrierte Risikoquantifizierung ................................................. 119 Unternehmensspezifische Details, Merkmale und Herausforderungen....................................................................... 121 Zukünftige Anwendungsbereiche des ERM-Modells.................. 127 Nicht quantifizierbare Auswirkungen des ERM.......................... 129
XII
Inhaltsverzeichnis
Teil 3 Fallstudien aus der Elektrizitätswirtschaft Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe................................................................................... 133 Carsten Durchholz 1 1.1 1.2 1.3 1.4 2 2.1 2.2 3 4 5 5.1 5.2 5.3 5.4 5.5 6
Einleitung..................................................................................... 133 Branche/Struktur.......................................................................... 133 Risikomanagement....................................................................... 133 Organisation................................................................................. 135 Softwareunterstützung ................................................................. 135 Aggregation ................................................................................. 136 Verständnis .................................................................................. 136 Motivation.................................................................................... 137 Qualitätssicherung ....................................................................... 141 Kommunikation ........................................................................... 142 Weitere Anwendungsfälle............................................................ 143 Richtige Bepreisung von Produkten ............................................ 143 Bewertung von Projekten............................................................. 143 Bewertung von Akquisitionen ..................................................... 144 Risikoadjustierte Performancemessung ....................................... 145 Praktische Erwägungen................................................................ 146 Fazit und Ausblick ....................................................................... 147
Risikoaggregationsmethoden im Risikomanagement der EnBW ..... 149 Thilo Enders, Thomas Vetter, Uwe Wagner 1 2 3 3.1 3.2 3.3 3.4 4
Das Unternehmen EnBW Energie Baden-Württemberg AG....... 149 Risiko und Risikomanagement .................................................... 151 Aggregationsmethoden ................................................................ 153 Aggregation durch Value-at-Risk-Methoden .............................. 153 Aggregation bei perfekter Korrelation......................................... 154 Aggregation durch Neubewertung mittels Szenariotechnik ........ 155 Aggregation durch Neubewertung mittels Modellierung ............ 155 Zusammenfassung ....................................................................... 161
Inhaltsverzeichnis
XIII
Risikoaggregation in der Praxis des Axpo-Konzerns ......................... 163 Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck 1 1.1 1.2 1.3 2 2.1 2.2 2.3 3 3.1 3.2 3.3 4 4.1 4.2 4.3 5 5.1 5.2 6
Der Axpo-Konzern ...................................................................... 163 Überblick ..................................................................................... 163 Gesellschaftsstruktur.................................................................... 164 Umfeldbedingungen..................................................................... 165 Das Corporate Risk Management ................................................ 166 Einführung ................................................................................... 166 Risikodefinition, Dimensionen und Kategorien........................... 166 Organisation des Risikomanagements ......................................... 167 Der Risikomanagement-Prozess .................................................. 169 Der Risikomanagement-Prozess .................................................. 169 Die quantitative Risikobewertung als Fokus ............................... 170 Einbettung in die Planungsprozesse des Konzerns ...................... 171 Risikoaggregation ........................................................................ 171 Simulations-basierte Risikoaggregation ...................................... 171 Tool-unterstützte Umsetzung....................................................... 172 Ausgewählte Beispiele................................................................. 174 Risiko-Berichterstattung und -steuerung ..................................... 176 Risiko-Berichterstattung .............................................................. 176 Risikosteuerung ........................................................................... 177 Schlussfolgerungen und Ausblick................................................ 178
Teil 4 Fallstudien aus der Finanzdienstleistungsbranche Risikoaggregation bei der ASL Auto Service-Leasing GmbH........... 181 Andreas Lackner 1 2 3 4 4.1 4.2 5 5.1 5.2 5.3 5.4 6
Kurzprofil ASL Auto Service-Leasing GmbH ............................ 181 Definition und Arten von Risiken................................................ 182 Risikomanagement-Organisation und -Prozess ........................... 183 Bewertung und Positionierung von Risiken ................................ 185 Klassifizierung von Risiken......................................................... 185 Risikomessung ............................................................................. 186 Aggregierte Risikodarstellung im operativen Berichtswesen ...... 188 Ausfall-/Bonitätsrisiko................................................................. 188 Zinsänderungsrisiko..................................................................... 189 Restwertrisiko .............................................................................. 190 Nutzen der gewählten Risikoberichterstattung ............................ 191 Erfahrungen mit der Risikoberichterstattung............................... 192
XIV
Inhaltsverzeichnis
Risikoaggregation in Kreditinstituten ................................................. 195 Gerrit Jan van den Brink 1 2 3 3.1 3.2 3.3 4 5
Gründe für die Aggregation von Risiken..................................... 195 Ziele der Risikoaggregation......................................................... 198 Die Vorgehensweise der Risikoaggregation bei Anwendung der Risikokapitalberechnung ............................................................. 200 Datenerhebung ............................................................................. 201 Kalkulation des Risikokapitals .................................................... 203 Die Parametrisierung ................................................................... 208 Aggregation von Risikoindikatoren in der Form von RisikoScorecards.................................................................................... 208 Denkanstöße zur Aggregation der Informationen der einzelnen Risikoklassen ............................................................................... 211
Best practise und Entwicklungswege bei der Aggregation von Risiken .................................................................................................... 215 Jan Offerhaus, Mario Hempel 1 1.1 1.2 1.3 2
Ansätze zur Risikoaggregation in der Praxis ............................... 215 Vorstufen der eigentlichen Risikoaggregation............................. 215 Scoring- und Rating-Verfahren.................................................... 218 Quantitative Verfahren ................................................................ 219 Bestehende Tendenzen und weitere Entwicklungen.................... 227
Autorenverzeichnis ................................................................................ 231 Literaturverzeichnis .............................................................................. 239 Abbildungsverzeichnis .......................................................................... 245 Tabellenverzeichnis ............................................................................... 247 Sachverzeichnis ...................................................................................... 249
Abkürzungsverzeichnis
Abkürzungsverzeichnis AktG AMA ASL BaFin BilReG BIP Boe CRM CAPEX CEO CFaC CFaR CFO CHF CKW COSO CSO DB DCF DGR DRSC E EBIT EBITDA EBT EEX EGL EnBW ERM
Aktiengesetz Advanced Measurement Approach Auto Service-Leasing GmbH Bundesanstalt für Dienstleistungsaufsicht Bilanzrechtsreformgesetz Bruttoinlandsprodukt Barrels of oil equivalent Corporate Risk Management Capital Expenditure Vorstandsvorsitzender Cashflow-at-Chance Cashflow-at-Risk Finanzvorstand Schweizer Franken Centralschweizerische Kraftwerke AG Committee of Sponsoring Organizations of the Treadway Commission Customer Solutions & Operations Deckungsbeitrag Discounted-Cash-Flow-Verfahren Deutsche Gesellschaft für Risikomanagement e.V. Deutsches Rechnungslegungs Standards Committees e.V. Erwartungswert Earnings before interest and taxes Earnings before interest, taxes, depreciation and amortization Earnings before taxes European Energy Exchange Elektrizitätsgesellschaft Laufenburg AG Energie Baden-Württemberg AG Enterprise Risk Management
XVI
Abkürzungsverzeichnis
ES ETS EVA ggf. GRM GuD GuV / G&V HGB I IDW IFRS IOB KbbL KKW KonTraG kV KWG M&A MFP Mio. Mrd. NOK NPV OR P PFA R&I RM RMK RMS RONOA Ser & Sup SOX / SOA SWX TEU TG USD VAR VAX VGB VR WACC
Expected Shortfall European Trading Scheme Economic Value Added gegebenenfalls Gruppen Risikomanagement Gas- und Dampfturbinen-Kraftwerk Gewinn- und Verlustrechnung Handelsgesetzbuch Impact Institut der Wirtschaftsprüfer International Financial Reporting Standards International Orderbook Kilobarrel Kernkraftwerk Kontroll- und Transparenzgesetz Kilovolt Kreditwesengesetz Merger and Aquisition mittelfristige Finanzplanung Million Milliarde Nordostschweizerische Kraftwerke AG Net Present Value Obligationsrecht Wahrscheinlichkeit Prüfungs- und Finanzausschuss Research & Breakthrough Innovation Risikomanagement Risikomanagement-Komitee Risikomanagementsystem Return on net operating assets Global Services and Support Sarbanes-Oxley Act Swiss Exchange Börse Twenty Foot Equivalent Unit Tochtergesellschaft US-Dollar Value-at-Risk Value add der Axpo Gruppe Verband der Großkessel-Besitzer Verwaltungsrat weighted average cost of capital
Teil 1 Einführung
Risikoaggregation als wichtiger Aspekt des Risikomanagements
Mario Hempel, Jan Offerhaus
1
Ist Risikoaggregation notwendig?
In den neun Praxisbeiträgen dieses Buches wird aus unterschiedlichen Perspektiven beleuchtet, mit welchen Verfahren Risiken in verschiedenen Unternehmen aggregiert werden. Dabei wird zum Teil explizit, zum Teil implizit deutlich, aus welchen Gründen eine solche Risikoaggregation durchgeführt wird. Im Folgenden soll zunächst ein zusammenfassender Überblick über die Rahmenbedingungen und wettbewerblichen Notwendigkeiten dargestellt werden, die allgemein in der betrieblichen Praxis zu einer steigenden Nachfrage nach aggregierten Risikoinformationen führen. Letztlich beantwortet diese Würdigung auch die eingangs gestellte Frage: Risikoaggregation ist in der Unternehmenspraxis notwendig! 1.1 Gesetzliche Vorgaben in Deutschland Die gesetzlichen und regulatorischen Vorgaben im Umfeld des Risikomanagements sind in den letzten 15 Jahren als Reaktion auf vermehrte Krisen von Großunternehmen entstanden bzw. verschärft worden. Der deutsche Gesetzgeber reagierte 1998 mit dem „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG).1 Wenn auch der Umgang mit Risiken von jeher eine Grundvoraussetzung erfolgreichen unternehmerischen Handelns war, so hat das Gesetz bei vielen Unternehmen den Anstoß gegeben, sich nun in systematischer und umfassender Weise mit Risiken auseinanderzusetzen. Allerdings bleibt das KonTraG in Bezug auf die konkrete Ausgestaltung von Risikomanagementsystemen sehr vage. Insbe1
Siehe zum Thema KonTraG und Risikomanagement z. B. Picot 2001 oder Lischke u. Offerhaus 2005, S 526–538
4
Mario Hempel, Jan Offerhaus
sondere finden sich im Gesetz keine konkreten Ausführungen zum Thema Risikoaggregation. Es ist nur die Rede von „den Fortbestand der Gesellschaft gefährdenden Entwicklungen“, also bestandsgefährdenden Risiken. Die Empfehlungen des Instituts der Wirtschaftsprüfer (IDW) und des Deutschen Rechnungslegungs Standards Committees e.V. (DRSC) dagegen konkretisieren die Gesetzesinhalte, wobei allerdings umstritten ist, inwieweit aus dem Gesetz tatsächlich Detailanforderungen an Organisation, Struktur und Methodik des Risikomanagementsystems abgeleitet werden können.2 Insbesondere finden sich in diesen Empfehlungen auch Hinweise zum Umgang mit Risikointerdependenzen und damit zur Aggregation von Risiken. Der Deutsche Rechnungslegungs Standard Nr. 5 (DRS 5) weist darauf hin, dass die Darstellung von Risikointerdependenzen grundsätzlich „wünschenswert“ ist und dass sie sogar „erforderlich“ ist, „wenn anders die Risiken nicht zutreffend eingeschätzt werden können.“3 Das dürfte in nahezu allen Unternehmen der Fall sein, es sei denn, das Unternehmen hat nur ein Risiko. Das IDW macht in seinem Prüfungsstandard 340 (IDW PS 340) noch deutlicher, warum das Zusammenwirken von Einzelrisiken im Rahmen der Risikoanalyse zu beurteilen ist: Es sei eine Einschätzung notwendig, „ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko führen können.“4 Die beiden Standardsetter zeigen somit die Wichtigkeit von Risikointerdependenzen und deren Bewertung auf, auch wenn keine detaillierten Hinweise auf die geeigneten Mittel der Risikoaggregation gegeben werden. Ausgangspunkt für die Beschäftigung mit Aggregaten von Einzelrisiken ist dabei die Erkenntnis, dass Einzelrisiken oft isoliert nicht adäquat bewertet werden können. Die Grundidee des KonTraG war es, Einzelrisiken, die auf bestandsgefährdende Krisen von Unternehmen hinweisen, in den Unternehmen frühzeitig erkennbar zu machen. Letztlich beruhen die darauf aufbauenden Empfehlungen der Standardsetter auf keinem anderen Ansatz – auch wenn sie erkennen, dass bestimmte Einzelrisiken aggregiert werden müssen. Aus dem KonTraG lassen sich somit bereits deutliche Indizien für die – zumindest in bestimmten Fällen gegebene – gesetzliche Notwendigkeit der Aggregation von Einzelrisiken ableiten. Auch Unternehmen, die sich ausschließlich an den wörtlichen Vorgaben aus dem KonTraG orientieren, kommen an einer Risikoaggregation somit kaum vorbei. 2
Siehe die Zusammenfassung der Diskussion in Lischke u. Offerhaus 2005, S 531–534 3 Vgl. Deutsches Rechnungslegungs Standards Committee e.V 2001, Tz. 25 4 Vgl. Institut der Wirtschaftsprüfer 2000, Rdnr. 10
Risikoaggregation als wichtiger Aspekt des Risikomanagements
5
Jedoch bildet das KonTraG nur den Ausgangspunkt für eine Vielzahl nationaler, europäischer bzw. internationaler Initiativen, die im Ergebnis die Anforderungen an ein Risikofrüherkennungs- und -überwachungssystem immer mehr konkretisieren und verschärfen. 1.2 Spezifische Regularien für die Finanzbranche Für Banken haben regulatorische Vorgaben, die zum einen den Risikogehalt ihres Geschäftsgebarens begrenzen sollen und zum anderen Vorschriften für ein adäquates Risikomanagement bzw. Risikocontrolling erlassen, eine wesentlich längere Historie als für Nicht-Banken.5 Grund hierfür ist, dass den Kreditinstituten eine volkswirtschaftliche Sonderrolle als finanzielle Intermediäre zugemessen wird und dementsprechend vermieden werden soll, dass Instabilitäten im Finanzbereich Auslöser für noch gravierendere Krisen im realwirtschaftlichen Bereich der Volkswirtschaften werden. Im Unterschied zu den Nicht-Banken wurden und werden in den meisten aufsichtsrechtlichen Normen für Kreditinstitute konkrete quantitative Größen definiert, die das Eingehen von Risiken im Rahmen der Geschäftstätigkeit begrenzen sollen. Bereits 1962 wurden mit der Einführung der Vorschrift des Grundsatzes I in Deutschland Obergrenzen für (vergleichsweise vereinfachende) Relationen zwischen dem Eigenkapital als dem Maßstab für die Risikotragfähigkeit eines Kreditinstitutes einerseits und Kennzahlen, die die Risikohaftigkeit der geschäftlichen Aktivitäten messen sollten, andererseits definiert. Um eine internationale Angleichung der aufsichtsrechtlichen Regelungen zu erreichen, wurde 1988 der so genannte Basler Eigenkapitalakkord (auch Basel I) verabschiedet, der 1993 in Deutsches Recht umgesetzt wurde. Basel I beschränkte sich nur auf eine, wenn auch im Finanzbereich sehr bedeutende Risikokategorie, das Kreditrisiko. Die Kreditrisiken, die für jedes Kreditinstitut limitiert werden sollten, wurden durch Basel I noch sehr rudimentär gemessen. Allerdings sind in Basel I schon wesentliche Regelungselemente enthalten, die es in dieser Granularität für Nicht-Banken bis heute nicht gibt und die Impulse für eine Herangehensweise an das Thema Risikoaggregation unter speziellen Gesichtspunkten gegeben haben.
5 Siehe zu regulatorischen Vorgaben im Bankenbereich allgemein und zu ihrer Entwicklung z. B. Paul 2002, S 5–44, oder Bessis 2002, S 25–50
6
Mario Hempel, Jan Offerhaus
Diese Elemente sind: • die Definition des wirtschaftlichen Eigenkapitals als Maßgröße für die Risikotragfähigkeit des Kreditinstitutes, • der Versuch, die dem Bankengeschäft inhärenten Risiken in Summe für eine bestimmte Risikoart (in später folgenden Regelungen auch für das gesamte Kreditinstitut) messbar zu machen sowie • die Begrenzung der Relation von Risiko zu Eigenkapital. Diese Elemente der aufsichtsrechtlichen Regelungen haben sicherlich auch zur Konsequenz, dass im Bankenbereich die Quantifizierung sowohl von Einzelrisiken als auch von aggregierten Risiken viel konsequenter angegangen wurde und dass die Kreditinstitute im Allgemeinen gegenüber wertorientierten Steuerungssystemen, die Risiko-Rendite-Relationen verwenden, aufgeschlossener waren als Nicht-Banken.6 In Deutschland wurde Basel I 1998 durch die 6. Novelle des Kreditwesengesetzes (KWG) ergänzt, mit der zusätzlich zum Kreditrisiko nun auch für das Marktrisiko (im Bankenumfeld ist hiermit das Risiko aus allgemeinen Marktpreisveränderungen gemeint, z. B. aus Aktienkurs- oder Wechselkursveränderungen) eine Mindestunterlegung mit Eigenkapital gefordert wurde. Bedeutend an dieser Novellierung des KWG war es, dass es erstmals den Kreditinstituten erlaubte, für externe Zwecke eine bestimmte Risikoart (Marktrisiko) mit eigenentwickelten, so genannten internen Modellen, zu bewerten. Die Aufsichtsbehörden haben diese Modelle selbstverständlich zu prüfen und zu genehmigen, aber die Kreditinstitute bestimmen die Methodik zur Bewertung der Risiken, die durch die aufsichtsrechtlichen Normen begrenzt werden sollen, selbst. Als Standard für diese internen Modelle im Marktrisiko hatte sich von vornherein der Value-atRisk-Ansatz (VaR) durchgesetzt. Ergebnis dieses Ansatzes ist letztendlich ein Risikowert für ein gesamtes Portfolio an Geschäftsaktivitäten und damit auch an Einzelrisiken. Der Anreiz für die Kreditinstitute, solche VaRAnsätze einzusetzen und weiterzuentwickeln, bestand insbesondere auch darin, dass diese Modelle es erlauben, durch die Berücksichtigung von Diversifikations- und Hedging-Effekten den resultierenden Gesamtrisikowert im Vergleich zu einer reinen Addition von vereinfachten Pauschalansätzen für Einzelrisiken geringer (und damit auch realistischer) auszuweisen. Mit dem Neuen Basler Eigenkapitalakkord (auch Basel II) aus dem Jahre 2001 wurden die aufsichtsrechtlichen Regelungen im Bankenbereich weiterentwickelt. Nach 2001 hat Basel II noch einige Modifikationen er-
6
Siehe z. B. die Ergebnisse die aktuelle Studie von Professional Risk Managers’ International Association/SunGard BancWare 2007
Risikoaggregation als wichtiger Aspekt des Risikomanagements
7
fahren und soll nun bis 2008 bei den Banken umgesetzt werden.7 Basel II beruht auf drei Säulen: den (überarbeiteten) quantitativen Eigenkapitalanforderungen, der qualitativen Aufsicht sowie den Transparenzvorschriften. Interessant im Kontext dieses Buches sind unter anderem die Erweiterungen in der ersten Säule. Zum einen wird die Bemessung der Kreditrisiken durch Basel II differenzierter als noch mit Basel I und es wird auch der partielle Einsatz von internen Modellen zur Bemessung der Kreditrisiken erlaubt. Zum anderen wird erstmals vorgeschrieben, dass auch operationelle Risiken (explizit) mit Eigenkapital zu unterlegen und zu diesem Zweck auch zu quantifizieren sind. Neben pauschalen Bewertungsverfahren sind auch für operationelle Risiken interne Modelle erlaubt.8 Interessant ist dies insofern, da es bei den operationellen Risiken um eine Risikokategorie geht, die auch bei Nicht-Banken traditionell im Vordergrund der Risikoidentifikation steht. Als eine Reaktion auf die Empfehlungen der zweiten Säule von Basel II zu qualitativen Anforderungen an die Ermittlung der Eigenkapitalunterlegung von Risiken wurden 2005 in Deutschland die "Mindestanforderungen an das Risikomanagement" (MaRisk) erlassen.9 Die MaRisk stellen eine Vielzahl von detaillierten Anforderungen zur Bewertung der unterschiedlichen Risiken auf, die bei Kreditinstituten auftreten, aber auch an die mit dem Risikomanagement verbundenen aufbau- und ablauforganisatorischen Voraussetzungen für einen adäquaten Risikomanagementprozess. Eine zentrale Aussage der MaRisk ist im Kontext der Risikoaggregation besonders von Bedeutung: "Auf der Grundlage des Gesamtrisikoprofils ist sicherzustellen, dass die wesentlichen Risiken des Kreditinstituts durch das Risikodeckungspotenzial, gegebenenfalls unter Berücksichtigung von Wechselwirkungen, laufend abgedeckt sind und damit die Risikotragfähigkeit gegeben ist."10 Laut MaRisk müssen Banken somit zum einen bestimmen, welches Gesamtrisiko die Bank aufgrund der vorhandenen Eigenmittel verkraften kann, und zum anderen müssen sie die (wesentlichen) Einzelrisiken auf aggregierter Ebene des Gesamtunternehmens ermitteln und dabei auch Korrelationseffekte berücksichtigen. Die Analyse der gesetzlichen Vorgaben im Bereich der Kreditinstitute zeigt, dass aggregierte Risikozahlen (zumindest auf Ebene einzelner Risikokategorien) hier schon lange gefordert sind. Von daher ist es für Banken 7
Zu den Details von Basel II siehe z. B. den folgenden Sammelband: Hofmann 2002 8 Zu Operational Risk im Bankenbereich siehe z. B. Minz 2004, Hofmann 2002 oder Lenzmann 2007 9 Zu detaillierteren Informationen bzgl. MaRisk siehe Pfeifer et al. 2006 10 MaRisk AT 4.1, Tz. 1
8
Mario Hempel, Jan Offerhaus
meist der logisch nächste Schritt, diese aggregierten Risikozahlen auch für eine wertorientierte Steuerung11 der einzelnen Geschäftsfelder und der gesamten Bank zu verwenden. Als konzeptionell und von der Umsetzung her allerdings nicht ganz einfach erweist sich dabei oft, dass für die verschiedenen Risikokategorien unterschiedliche Bewertungsverfahren entwickelt wurden und deren Ergebnisse erst „auf einen gemeinsamen Nenner“ gebracht werden müssen. 1.3
Gesetzliche Vorgaben im Ausland und Risikomanagement-Standards
Auch wenn die vorhergehenden Ausführungen deutlich machen, dass man in Deutschland keineswegs schon von einheitlichen und konsistenten Anforderungen an das Risikomanagement und die Risikoaggregation sprechen kann, so gibt es auch eine Vielzahl von Initiativen bzw. rechtlich verbindlichen Festlegungen auf internationaler Ebene. Zwei bedeutsame sind im Folgenden kurz beschrieben. 1985 wurde durch die „National Commission on Fraudulent Financial Reporting“ die Plattform COSO gegründet. COSO ist die Abkürzung für das „Committee of Sponsoring Organizations of the Treadway Commission“, eine privatwirtschaftliche Organisation zur Verbesserung der Finanzberichterstattungen. Die Verbesserung soll durch ethisches Handeln, interne Kontrollen und gute Unternehmensführung erzielt werden. Das so genannte COSO II12, das auf dem COSO-Rahmenwerk für interne Kontrollen basiert, ist ein Enterprise Risk Management-Modell (ERM), das auf die Risiko- und Chancensituation eines Unternehmens eingeht. Es definiert die folgenden Bestandteile des ERM: • • • • • • • •
11 12
Internes Umfeld der Risikobetrachtung Zielsetzung Ereignis-/Risikoidentifikation Risikobewertung und -aggregation Risikobewältigungsmaßnahmen Kontrollaktivitäten als Realisierung der Maßnahmen Information und Kommunikation Überwachung.
Siehe zur wertorientierten Steuerung Abschnitt 1.4 unten Siehe z. B. die Zusammenfassung zu COSO II in der offiziellen deutschen Fassung: COSO 2004
Risikoaggregation als wichtiger Aspekt des Risikomanagements
9
Das Risikomanagement soll von der untersten bis zur obersten Ebene des Unternehmens gelebt werden. Die Ziele des ERM laut COSO sind: • • • •
Berücksichtigung der Unternehmensstrategie Optimierung der operativen Unternehmensprozesse Risikoberichterstattung Befolgung der Gesetze.
Explizite Aussagen zur Risikoaggregation finden sich in COSO II nicht. Auch fordert COSO II nicht Risikobewertungsmethoden, die für die Aggregation von Einzelrisiken geeignet sind. Vielmehr gibt es in den Anwendungsempfehlungen nur Hinweise auf verschiedene mögliche Verfahren von Risk Maps bis zu Value-at-Risk-Methoden. Es lässt sich allerdings implizit ableiten, dass die Aggregation von Risiken notwendig ist. Zum einen wird empfohlen, dass ein Unternehmen seinen Risikoappetit zu definieren hat und das Unternehmensrisiko dagegen abgleichen sollte. Dies ist aber adäquat nur möglich, wenn auf Unternehmensebene das Gesamtrisiko ermittelt werden kann. Zum anderen stellt COSO II auf verschiedene organisatorische Ebenen ab, zu denen die Unternehmensebene genauso gehört wie Ebenen von untergeordneten Unternehmenseinheiten. Es geht damit über die reine Steuerung von Einzelrisiken hinaus, indem die Perspektive auf Ebenen gerichtet wird, für die aggregierte Risikowerte sinnvoll erscheinen. In den letzten Jahren sind bekannte Unternehmen z. B. durch Bilanzfälschungen in die Schlagzeilen geraten. Um das Vertrauen der Anleger wieder zu gewinnen, wurde neben COSO II in den USA der Sarbanes-Oxley Act (SOX/SOA) verabschiedet. Seitdem haften Unternehmensmanagement und Wirtschaftsprüfer stärker für ihre Gewissenhaftigkeit und die Vollständigkeit ihrer Angaben. Das Gesetz gilt für inländische und ausländische Unternehmen sowie deren Töchterunternehmen, die an der US-amerikanischen Börse notiert sind.13 Nach Section 302 müssen der Vorstandsvorsitzende (CEO) und der Finanzvorstand (CFO) durch eine Erklärung den Anlegern authentifizieren, dass die Jahres- und Quartalsberichte der Wahrheit entsprechen. Weiter müssen sie ein effizientes und funktionsfähiges internes Kontrollsystem einrichten und die wesentlichen Informationen den Organmitgliedern zur Verfügung stellen. Dem Abschlussprüfer und dem Audit Committee sind Unregelmäßigkeiten durch die Organmitglieder mitzuteilen. Wird bei-
13 Siehe z. B. Kajüter 2004 oder http://www2.agens.com/sox_inhalte-siterevwelt.html
10
Mario Hempel, Jan Offerhaus
spielsweise die Finanzlage unrichtig dargestellt, so ist mit Geld- oder Freiheitsstrafen zu rechnen. Ob die Einschätzung des internen Kontrollsystems durch CEO und CFO richtig ist, wird vom Wirtschaftsprüfer überprüft und bescheinigt (Section 404). Das geschieht einmal jährlich im Kontext des Jahresabschlusses. SOX/SOA stellt zwar Anforderungen bezüglich des internen Kontrollsystems eines Unternehmens auf, fordert aber nicht explizit die Einrichtung eines Risikomanagementsystems. Aussagen zur Risikoaggregation finden sich in SOX/SOA überhaupt nicht. Die internationalen Entwicklungen geben bis heute keinen ganz konkreten Ansatz zur Zusammenführung von inhaltlich unterschiedlichen Risiken auf den verschiedenen strukturellen Ebenen von Unternehmen und Konzernen vor. Auch international gibt es eben nicht „den Standard“ für die Risikoaggregation. Dieser muss sich offensichtlich entsprechend der Notwendigkeiten des Wettbewerbs und des Marktes erst herausbilden. 1.4 Betriebswirtschaftliche Impulse Nicht nur gesetzliche Regelungen haben den Unternehmen Impulse gegeben, sich mit dem Thema Risikoaggregation auseinanderzusetzen. Auch aus der unternehmerischen Praxis sowie der Wissenschaft heraus gibt es den Trend zu einem stärkeren Einsatz von Verfahren zur Aggregation von Risiken sowie von aggregierten Risikowerten in der Unternehmenssteuerung.14 Bei Investitionsentscheidungen sollten beispielsweise der in der Literatur vorherrschenden Theorie zufolge stets dynamische Investitionsrechenverfahren wie das Discounted-Cashflow-Verfahren (DCF) zum Einsatz kommen. Ein wesentlicher Bestandteil des DCF ist die Ermittlung eines adäquaten Zinssatzes zur Diskontierung der erwarteten Cashflows. Der Zins sollte neben dem risikofreien Marktzins auch eine Risikokomponente beinhalten, die sich aus dem Risiko des jeweiligen Objektes ableitet. Für die Bestimmung dieser Risikokomponente werden Risikowerte auf Objektebene benötigt. Diese können aus Kapitalmarktwerten abgeleitet werden. Alternativ können aber auch unternehmensinterne Daten des Risikomanagements verwendet werden. Um Risikowerte auf Objektebene zu erhalten, müssen aber die mit dem Objekt verbundenen Einzelrisiken erst aggregiert werden.
14
Siehe den Überblick bei von Metzler 2004, S 33–46
Risikoaggregation als wichtiger Aspekt des Risikomanagements
11
Wertorientierte Unternehmenssteuerungsansätze15 übertragen die Grundidee des DCF letztendlich auf die Unternehmensebene. Im Rahmen dieser Ansätze ist die Maximierung des Unternehmenswertes das primäre Unternehmensziel. Wesentliches Kennzeichen von wertorientierten Steuerungsansätzen ist somit stets, dass in Performance-Maßstäben und in Entscheidungskriterien für Kapitalallokationsentscheidungen die unterschiedlichen Risikobelastungen von Geschäften, Projekten, Unternehmensbereichen oder Unternehmen systematisch und differenziert berücksichtigt werden. Die betriebswirtschaftliche Literatur hat verschiedene Ansätze entwickelt, die auch in die Unternehmenspraxis Eingang gefunden haben. Alle Ansätze berücksichtigen letztlich das Risiko der betrachteten Unternehmensaktivität. Dabei gehen die Modelle jedoch im Einzelnen unterschiedlich vor. Die Modelle verwenden entweder absolute oder relative Performance-Größen als Maßstab, sie berücksichtigen das Risiko entweder direkt oder indirekt (risikoorientierte Aufbereitung von finanziellen Fluss- oder Bestandsgrößen versus risikoorientierte Aufbereitung von Mindestgewinnzielen) und sie berücksichtigen das Risiko entweder auf Ebene der Ergebnisgröße oder auf Ebene der Bezugsgröße. Einer der am weitesten verbreiteten Ansätze ist der EVA-Ansatz (Economic Value Added). Nach diesem Ansatz entsteht wertsteigernde Performance in einem Unternehmen nur, wenn der bilanzielle Erfolg größer ist als der über die Verzinsung des eingesetzten Kapitals definierte Mindestgewinn. Der Mindestgewinn wird wiederum auf Basis der durchschnittlichen Kapitalkosten (WACC, weighted average costs of capital) ermittelt. Die Höhe der Kapitalkosten orientiert sich am Risiko des betrachteten Objektes. Oft wird in der Literatur empfohlen, die risikoorientierten Kapitalkosten auf Basis externer, kapitalmarktorientierter Daten zu ermitteln. Teilweise wird aber auch argumentiert, dass auf den realen unvollkommenen Märkten unternehmensinterne Daten mehr Informationen über die Risikosituation eines Unternehmens oder einzelner Unternehmensbereiche liefern können als der Kapitalmarkt.16 Das Risikomanagement des Unternehmens könne eben durch Aggregation der Einzelrisiken die erforderlichen Informationen liefern, um Kapitalkostensätze abzuleiten und so eine solide Grundlage für das wertorientierte Management zu liefern. Ansätze des wertorientierten Managements, die explizit auf einer direkten Risiko-Adjustierung der absoluten Bezugsgrößen der PerformanceMessung (insbesondere des Eigenkapitals) beruhen, sind im Bankenbe-
15
Siehe zu den Verbindungen von Risikomanagement und wertorientierten Steuerungsansätzen z. B. auch Denk u. Exner-Merkelt 2005, S 185–205 16 Vgl. z. B. Gleißner 2004b, S 356–357
12
Mario Hempel, Jan Offerhaus
reich sehr verbreitet.17 Bei diesen Ansätzen wird die Performance-Größe nicht in Relation zu traditionellen Kapitalgrößen wie dem bilanziellen Eigenkapital gesetzt. Vielmehr wird die Kapitalgröße um die Risikobelastung der betrachteten Geschäftstätigkeit adjustiert, für die das Kapital zur Verfügung gestellt wird. Es wird bei solchen Kapitalgrößen daher auch von Risikokapital gesprochen. Dieses Risikokapital entspricht dem Valueat-Risk der betrachteten Geschäftstätigkeit, der auf Basis der unternehmensinternen Risikoinformationen meist durch Simulationsverfahren als aggregierter Risikowert ermittelt wird. Je risikobehafteter eine Aktivität ist, umso größer wird der Value-at-Risk und somit das Risikokapital sein. Werden beispielsweise unterschiedliche Unternehmensbereiche miteinander oder mit externen Maßstäben verglichen, so muss ein Unternehmensbereich mit höherem Risiko eben eine höhere (erwartete) Rendite erzielen, um dieselbe Risikorentabilität zu erzielen. Im Bankenbereich liegt der Einsatz solcher Methoden unter anderem auch deswegen nahe, weil die bereits erläuterten aufsichtsrechtlichen Regeln18 die Unterlegung von risikobehafteten Aktiva mit Eigenkapital fordern. Im Nicht-Bankenbereich sind die Ansätze der Risikokapital-Allokation noch nicht so weit verbreitet. Teilweise wird in der Literatur auch explizit die Übertragung dieser Ansätze auf Nicht-Banken kritisch beurteilt.19 Teilweise wird jedoch gerade eine Weiterentwicklung des Controllings gefordert, um eben den erwarteten Gewinn in Relation zum risikobedingten Eigenkapitalbedarf setzen zu können.20 Insgesamt bleibt festzuhalten, dass die Verbreitung von wertorientierten Steuerungsmethoden und die Weiterentwicklung des traditionellen Controllings durch Integration von Risikogrößen eine verstärkte Notwendigkeit zur Aggregation von Einzelrisiken auf Unternehmens-, Unternehmensbereichs- und Projektebene nach sich zieht.
2
Risikoaggregation ist notwendig
Gesetzliche Vorgaben in Deutschland für den Nicht-Bankenbereich fordern zwar nicht explizit die Aggregation von Risiken. Akzeptiert man allerdings, dass einzelne Risiken nicht getrennt von anderen Risiken adäquat beurteilt werden können, so macht letztendlich auch das KonTraG eine 17
Siehe einen kurzen Überblick hierzu bei von Metzler 2004, S 36–38 Siehe zu den aufsichtsrechtlichen Vorgaben im Bankenbereich Abschnitt 1.2 oben 19 Vgl. z. B. von Metzler 2004, S 37–38, oder Denk u. Exner-Merkelt 2005, S 192 20 Vgl. Gleißner 2004b, S 357–358 18
Risikoaggregation als wichtiger Aspekt des Risikomanagements
13
Aggregation von Einzelrisiken notwendig. Die gesetzlichen Vorgaben für Kreditinstitute schreiben dagegen von vornherein vor, aggregierte Risikowerte zu ermitteln. Für Banken stellt sich somit gar nicht mehr die Frage, ob Risikoaggregation notwendig ist oder nicht. Mit der zunehmenden Verbreitung von wertorientierten Methoden der Unternehmenssteuerung wird der Einsatz von Risikogrößen auf aggregierter Basis auch unter betriebswirtschaftlichen Gesichtspunkten in der Unternehmenspraxis üblicher. Es besteht zwar keine unmittelbar zwingende Notwendigkeit, solche Methoden der Unternehmenssteuerung zu implementieren und im Rahmen solcher Methoden auch die Aggregation von internen Risikodaten zu nutzen, anstatt auf aus dem Kapitalmarkt abgeleiteten Risikowerten aufzusetzen. Die Risikoaggregation stellt jedoch in jedem Falle nützliche Informationen für die Unternehmenssteuerung zur Verfügung. Insofern kann allgemein folgende Schlussfolgerung gezogen werden: Die Aggregation von Einzelrisiken ist in der Unternehmenspraxis vielfach aufgrund gesetzlicher Vorgaben bereits notwendig, sie ist aber auch aus betriebswirtschaftlichen Gründen in vielen Fällen unumgänglich und sinnvoll.
Stand der Wissenschaft bei der Aggregation von Risiken
Heinrich Rommelfanger Universität Frankfurt am Main
1
Die Bedeutung der Risikoaggregation
Es gehört zweifellos zu einer ordnungsgemäßen Unternehmensführung, die möglichen bestandsgefährdenden Risiken sorgfältig zu identifizieren und zu steuern. Dennoch nahm das Thema Risikomanagement in den 50er bis 80er Jahren des 20. Jahrhunderts nur einen untergeordneten Rang ein. Risiken wurden weitgehend verdrängt und nur in den Fällen ausführlich diskutiert, die mit Existenzängsten und riesigen Schäden verbunden waren. Bestes Beispiel dafür sind die mit der Nutzung der Atomkraft verbundenen Risiken, die bis heute lebhaft öffentlich diskutiert werden. Dies änderte sich erst mit dem 1998 in Kraft getretenen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), in dem der Gesetzgeber von deutschen Aktiengesellschaften in § 91 Abs. 2 AktG verlangt: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden". Über die Sorgfaltspflicht der GmbH-Geschäftsführung nach § 43 Abs. 1 GmbH-Gesetz strahlt diese aktienrechtliche Vorschrift auch auf Unternehmen aus, die in der Rechtsform der GmbH betrieben werden. Auch wenn mit dem KonTraG das Risikomanagement zur gesetzlichen Pflicht erhoben wurde, hat sich seit Inkrafttreten dieses Gesetzes noch kein einheitliches Verständnis herausgebildet. In der Literatur findet man zwar zahllose Veröffentlichungen, die den Regelkreis eines idealtypischen Risikomanagementsystems von der Risikostrategie, über die Risikoidentifizie-
16
Heinrich Rommelfanger
rung bis zur Risikoüberwachung aufzeigen. Wie dieser aber dauerhaft im Unternehmen als lebendiges System und nicht nur als einmaliges Sonderprojekt implementiert werden kann und welche Verfahren und Instrumente dazu in Frage kommen, wird zumeist offen gelassen. Besser ist die Lage in speziellen Branchen, wie Banken und Versicherungen, in denen die Bundesanstalt für das Dienstleistungsaufsicht (BaFin) mit den als Basel I und II bzw. Solvency I und II bekannten Vorschriften zwar genauere Vorgaben gibt, ohne aber die Verfahren der Risikomessung im Detail vorzuschreiben.21 Um festzustellen, ob das im Unternehmen vorhandene Risikodeckungspotenzial ausreicht, um die möglichen Auswirkungen der identifizierten Risiken abzudecken, genügt es nicht, die Bedeutung von Einzelrisiken auf die Unternehmensentwicklung zu ermitteln. Vielmehr bedarf es einer Analyse, wie sich die identifizierten Risiken insgesamt auf die Erreichung der Unternehmensziele auswirken können. Nur durch eine Aggregation der bewerteten Risiken lässt sich feststellen, ob diese zu einer Abweichung vom Unternehmensziel führen können, die außerhalb des in der Risikostrategie festgelegten Toleranzbereichs liegt. Als ein Beispiel dafür, dass einzelne für sich allein unbedeutende Risiken bei unglücklicher Verkettung zu einer Katastrophe führen können, sei erinnert an das Concorde-Unglück am 25. Juli 2000 bei Paris: Eine vorher gestartete DC10 hatte auf der Startbahn einen Metallstreifen aus Titanlegierung verloren. Dieses Ereignis war für die DC10 fast ohne Belang und die Gefahr, dass ein später auf der gleichen Startbahn startendes Flugzeug gerade diesen Metallstreifen überrollen würde, war sehr gering. Aber die danach startende Concorde fuhr so unglücklich über den Metallstreifen, dass ein Reifen nicht nur aufgeschnitten wurde, sondern explosionsartig platzte. Reifenreste zerstörten einen Tank des Überschalljets, der schon vom Boden abgehoben hatte und in einem Feuerball abstürzte. Alle Insassen kamen ums Leben. Dass die Reifenteile so folgenreich einen Tank zerstören konnten ist darauf zurückzuführen, dass die Tanks der Concorde nicht über einen ausreichenden Aufprallschutz verfügten. Das damit verbundene Risiko wurde aber als sehr gering eingestuft, waren doch die Concorde-Maschinen jahrzehntelang unfallfrei geflogen. Als Fazit ist daher festzuhalten, dass es bei der Bestimmung der Gesamtrisikoposition eines Unternehmens nicht ausreicht, die relative Bedeutung von Einzelrisiken auf die Unternehmensentwicklung zu ermitteln. Nur durch Zusammenfassung aller Risiken unter Beachtung der Wechselwirkungen lässt sich der wahre Gesamtrisikoumfang bestimmen.
21
Vgl. Deutsche Bundesbank 2004 und Kull 2004
Stand der Wissenschaft bei der Aggregation von Risiken
2
17
Vorgehen
Um den Leser mit den Problemen vertraut zu machen, die mit der Messung des Gesamtrisikos verbunden sind, wird in Abschnitt 3 zunächst der Risikobegriff definiert. Dieser hat im Laufe der Jahrhunderte einen Bedeutungswandel erfahren und wird heutzutage überwiegend pessimistisch interpretiert. Anschließend werden in Abschnitt 4 Instrumente zur Messung des Risikopotenzials eingeführt. Da Handlungsergebnisse zumeist als Zufallsvariablen aufgefasst werden müssen, stehen statistische Momente und andere statistische Maßzahlen im Mittelpunkt der Betrachtung. Wichtig ist dabei die Einteilung in diskrete und stetige Verteilungen, deren wesentliche Vertreter ausführlich betrachtet werden. Bei der Verdichtung von Verteilungen auf wenige Maßzahlen spielen bei der Risikomessung vor allem die αQuantile eine bedeutende Rolle, die in Form des Value-at-Risk-Maßes eine Schlüsselstellung bei der Bestimmung des Risikopotenzials einnehmen. Nur selten macht es Sinn, einzelne Risiken isoliert zu betrachten. Da Risiken oft gemeinsam auftreten und sich dabei abschwächen oder verstärken können, werden in Abschnitt 4.3 mehrdimensionale Zufallsvariablen und deren wichtigste Vertreter ausführlich dargestellt. Besonderes Gewicht wird dabei auf die Modellierung von Abhängigkeiten zwischen den Variablen gelegt. Die zugehörigen Kernbegriffe Kovarianz, Korrelationskoeffizient, Varianz-Kovarianz-Matrix werden gut verständlich und mathematisch sauber eingeführt. Nach einem kurzen Exkurs zu den Problemen traditioneller Risikoanalysen, wird in Abschnitt 6 die Risikobestimmung auf der Basis des Varianz-Kovarianz-Ansatzes dargestellt. Das derzeit wichtigste Risikoanalyse-Verfahren basiert auf der MonteCarlo-Simulation. In Abschnitt 7 werden die Vorgehensweise und einzelne Bausteine dieser Methodenklasse ausführlich beschrieben. Werden Risken verschiedener Kategorien zum Gesamtrisiko verdichtet, so kann das Problem auftreten, dass die Einzelrisiken in unterschiedlichen Zeiträumen gemessen werden. In Abschnitt 8 werden daher Ansätze zur Lösung dieses Zeitproblems diskutiert. Wie alle mathematisch-statistischen Verfahren können auch die Risikoanalyse-Verfahren nur dann gute Ergebnisse liefern, wenn eine verlässliche und ausreichende Datenbasis zur Verfügung steht. Dies ist in einigen Risiko-Kategorien gegeben, in anderen, z. B. bei operationalen Risiken, ist die Datenlage oft nur ungenügend. Wie hier Abhilfe geschaffen werden kann, ist Inhalt des Abschnittes 9.
18
3
Heinrich Rommelfanger
Der Risikobegriff
In allen Gesellschaften haben sich die Menschen einerseits bemüht, Gefahren zu minimieren, sich jedoch andererseits auch sehenden Auges in Gefahr begeben, um Vorteile zu erlangen. Ummauerte Städte und Staaten entstanden, um die Bewohner gegen das Risiko einer Invasion zu sichern. Zünfte und Genossenschaften suchten die ökonomische Unsicherheit des Daseins zu mindern. Die Risiko-Geschichte im engeren Sinne begann erst, als man Verlustund Gewinnmöglichkeiten genauer kalkulieren konnte. Diese Rationalisierung der Gefahr entstand im mediterranen Handelskapitalismus des späten Mittelalters. Der Begriff "Risiko" tauchte daher nicht zufällig erstmals im Italien des 14. Jahrhunderts als „risico“ bzw. „rischio“ auf und bezeichnet das mit einem Geschäft verbundene Wagnis bzw. die Verlustgefahr, die um eines erhofften Gewinns willen eingegangen wird und die man genau zu beziffern versuchte. Das kalkulierbare Risiko wurde zur Grundlage des Versicherungswesens. Mit den Mitteln der in der frühen Neuzeit entwickelten Wahrscheinlichkeitsrechnung ließ sich das Risiko erstmals genau kalkulieren. Zum Ur-Risiko der Seefahrt, das man schon relativ früh durch Versicherungen zu bewältigen versuchte, gesellte sich als zweites die Brandgefahr – vor allem in Nordeuropa, wo viel mit Holz gebaut wurde. Hamburg bekam 1676 seine erste Feuerversicherung, 1765 seine erste Seeversicherungskompanie. Die Versicherungen waren typische Einrichtungen einer Zeit, in der man Unglücksfalle nicht länger als Schicksal hinnahm. Adam Smith behauptete in seinem "Wealth of Nations" (1776) noch, die Menschen neigten stets dazu, die Gewinnchancen zu über- und das Verlustrisiko zu unterschätzen.22 Das hat sich offensichtlich gründlich gewandelt. Im Zuge des zivilisatorischen Fortschritts wuchs sowohl das Bedürfnis nach totaler Sicherheit als auch der Glaube, Risiken jeder Zeit technisch beherrschen zu können. Daher wirkte der Untergang der angeblich unsinkbaren "Titanic" am 15. April 1912 weltweit als schwerer Schock. Während der entscheidungstheoretische Risikobegriff noch Chancen und Risiken als gleichwertig behandelt und mittels Erwartungswert und Standardabweichung beschreibt, hat sich zunehmend in der Gesellschaft der ausfallorientierte Risikobegriff durchgesetzt, bei dem sich das Risiko wirkungsbezogen niederschlägt in einer negativen Abweichung von einer festgelegten Zielgröße, normalerweise des erwarteten Ergebnisses. Seit LAPLACE 1816 eine grundlegende Risikotheorie ("Theorie des hasards") formuliert hat, wird Risiko als Produkt von Schadenausmaß und 22
Vgl. Smith 1999
Stand der Wissenschaft bei der Aggregation von Risiken
19
Eintrittswahrscheinlichkeit definiert.23 Diese einfache Formel suggeriert eine Berechenbarkeit und somit Beherrschbarkeit des Risikos, die im Falle komplexer und neuartiger technischer Systeme aber in die Irre führt. Denn solche Systeme entziehen sich aufgrund ihrer Komplexität einer einfachen Modellbildung. Zudem befreit die Berechenbarkeit des Risikos nicht von der letztlich normativen Frage, welche Risiken wir eingehen wollen und welche nicht. Im Falle der Kernenergie zum Beispiel zeigt sich, dass ein extremes Katastrophenausmaß auch dann große Angst hervorruft, wenn die errechnete Eintrittswahrscheinlichkeit minimal ist.
4
Die Quantifizierung von Risiken, Risikomaßzahlen
Komplexe Handlungen im persönlichen und wirtschaftlichen Bereich führen zumeist nicht zu einem eindeutigen vorhersehbaren Ergebnis (einem deterministischen Zielwert), sondern unterliegen Einflüssen, die vom Entscheidungsträger nicht verändert werden können. Handlungsergebnisse sind daher zumeist als Zufallsvariablen anzusehen, von denen auch nur dann die Menge der möglichen Ergebnisse angegeben werden kann, wenn ausreichende Erfahrung vorliegt. 4.1 Diskrete Zufallsvariablen, Wahrscheinlichkeitsverteilungen Liegt ein Datensatz {xˆ j} j=1,2,..., m für eine Zufallsvariable X vor, so lässt sich durch Bildung des Erwartungswertes
µ x = E(X) = 1 ∑ x j m j
(A.1)
ein Orientierungswert für das zu erwartende Ergebnis ermitteln. Wird eine 1 €-Skalierung als Maßstab gewählt, so ist kaum damit zu rechnen, dass Ergebnisse mehrfach in der Datenmenge vorkommen. Um dies zu erreichen, muss im Allgemeinen der Maßstab vergröbert oder gleich eine Gruppierung der Daten vorgenommen werden. Werden n Klassen K1, K 2 ,..., K n unterschieden und bezeichnen wir die Repräsentanten der Klassen mit x i , i = 1, 2,K, n und die Anzahl der Elemente in einer
23
Vgl. Todhunter 1865
20
Heinrich Rommelfanger
Klasse K i mit m i , so lässt sich der Erwartungswert E(X) auch berechnen als n
m
n
µ x = E(X) = ∑ x i ⋅ i = ∑ x i ⋅ pi . m i =1 i =1
(A.2)
Dabei müssen die Repräsentanten x i so gewählt werden, dass xi = 1
mi
Die relativen Häufigkeiten
∑
x j ∈K i
xj.
mi werden in der Anwendung häufig mit m
p i symbolisiert und als Wahrscheinlichkeiten bezeichnet, obwohl dies nach streng mathematisch-statistischen Auffassung nur für den Grenzfall gilt, dass die Datenmenge unbeschränkt groß wird, d. h. m → +∞ . Bei geeignet gewählter Gruppierung stellt das Histogramm ein wertvolles Instrument zur Visualisierung der Ergebnisse dar, vgl. Tabelle 1 und Abb. 1. Die Feinheit der Zielklasseneinteilung hängt von der Menge der verfügbaren Daten ab. Auf jeden Fall muss die Klassenanzahl bedeutend kleiner als die Anzahl der Daten sein. Normalerweise existieren für eine Handlung mehrere Ziele und damit ein Zielergebnisvektor. Der Einfachheit halber wird hier unterstellt, dass nur das monetäre Ziel relevant ist, bzw. dass andere Ziele in Geld abgebildet werden können. Tabelle 1. Ergebnisklassen, absolute und relative Häufigkeiten
xi Ergebnisklassen (in Euro)
x1
x2
x3
x4
x5
x6
x7
x<50
-50 ≤ x ≤ -10
-10 < x<0
0≤x ≤ 10
10 < x ≤ 30
30 < x ≤ 60
60 ≤ x
absolute Häufigk.
20
48
84
100
120
20
12
pi rel. Häufigk.
0,05
0,12
0,21
0,25
0,30
0,05
0,03
Stand der Wissenschaft bei der Aggregation von Risiken
21
0,3 0,25 0,2 0,15 0,1 0,05 0 kleiner -50 -50 bis -10 -9 bis -1
0 bis 10 11 bis 30 31 bis 60 über 60
Abb. 1. Histogramm für die Ergebnisse einer Handlung
Von Verlust spricht man dann, wenn eine negative Abweichung vom erwarteten Ergebnis auftritt. Die Schadenhöhe ist dann E(X ) − x i unter der Voraussetzung, dass x i < E (X ) . Um eine Vorstellung von dem in Zukunft zu erwartenden Schaden zu erhalten, unterstellt man, dass die bisher beobachteten Ergebnisse eine gute Grundlage für eine Prognose der zukünftigen Ergebnisse bilden. Man unterstellt also, dass die Ergebnisverteilung auch für die Zukunft gilt und damit bekannt ist. Die Entscheidungstheorie spricht dann von „Entscheiden unter Risiko“. Um die Ergebnisverteilung auf wenige Parameter zu verdichten, ist es üblich, neben dem Erwartungswert E(X) die Standardabweichung (Volatilität) zu verwenden, welche definiert ist als Quadratwurzel aus der Varianz σ 2x = 1
m −1
m
2 ∑ ( xˆ j − µ x ) .
j=1
Liegen die Daten in Form einer Verteilung {( x i , p i )}i =1,2,..., n vor, so lässt sich die Varianz berechnen als n
σ 2x = ∑ p i ⋅ ( x i − µ x ) 2 . i =1
(A.3)
Dabei ist aber zu bedenken, dass sich nur die Normalverteilung, vgl. Abschnitt 4.2, eindeutig durch die Parameter Erwartungswert µ x und Standardabweichung σ x charakterisieren lässt. Bei anderen Wahrscheinlichkeitsverteilungen kann die Beschränkung der Analyse auf diese beiden Parameter zu Fehlinterpretationen führen. Das erkennt man auch an
22
Heinrich Rommelfanger
Abb. 1. Da dieses Histogramm keinen symmetrischen Aufbau aufweist, führt eine Verwendung von σ x leicht zu falschen Schlussfolgerungen. Liegt keine symmetrische Verteilung vor, so gibt es grundsätzliche Bedenken gegen die Verwendung des Erwartungswertes E(X) als Orientierungspunkt für ein zu erwartendes Ergebnis. Insbesondere ist zu beachten, dass E(X) stark durch Ausreißer (selten auftretende Ergebnisse mit ungewöhnlich hohen oder niedrigen Werten) beeinflusst wird. Hier empfiehlt es sich, vor der Berechnung von µ x die Ausreißer auszuschließen oder gleich den Median z x als Orientierung zu verwenden. Zur Berechnung des Medians gemäß der Formel
xˆ m+1 2 z x = xˆ m + xˆ m +1 2 2 2
für m ungerade
(A.4)
reicht es aus, wenn die Daten ordinal skaliert sind. Die so erhaltene Zahl hat die Eigenschaft, dass die Hälfte der Werte darunter, die Hälfte darüber liegt. Sie hat sich in vielen Fällen als eine relativ stabile Größe erwiesen. Während die Entscheidungstheorie Abweichungen von dem erwarteten Ergebnis sowohl ins positive als auch ins negative beachtet, hat sich in der Praxis der ausfallorientierte Risikobegriff durchgesetzt, nach dem sich Risiko wirkungsbezogen in einer negativen Abweichung von einer festgelegten Zielgröße, normalerweise dem erwarteten Ergebnis, niederschlägt. Als eine Risikokennzahl kommt dann die Standardabweichung σ x in Betracht, allerdings nur im Bereich der Abweichung in Richtung schlechterer Ergebnisse. Liegt keine Normalverteilung vor, so ist zu bedenken, ob nicht ein auf einem α-Quantil (α-Fraktil) x α , z. B. für α = 0,25, und Median z x basierende Kennzahl
zx − xα eine bessere Information zur Einschätzung des Risikos bietet. Dabei ist x α definiert als Argument der kumulierten Wahrscheinlichkeitsverteilungsfunktion F( x ) = ∑ pi mit F( x α ) = α . i mit x i ≤ x
Für eine diskrete Zufallsvariable auf der reellen Zahlenmenge stellt F(x) eine monoton steigende Treppenfunktion dar. Anstelle der Differenz z x − x α kann man direkt das α-Quantil x α als Risikokennzahl verwen-
Stand der Wissenschaft bei der Aggregation von Risiken
23
den. Es ist unter dem Namen Value-at-Risk bekannt. Im Falle eines negativen Betrages gibt das α %-Quantil an, welchen Verlust die Zufallsvariable mit einer Wahrscheinlichkeit von (1-α) % höchstens annimmt. Der Valueat-Risk ist somit ein Maß für die Verlustobergrenze, die mit einer bestimmten Wahrscheinlichkeit nicht überschritten wird. Basel II schreibt für einen Teil der Marktpreisrisiken vor, dass in einem Zeitraum von 10 Tagen der VaR höchstens mit einer Wahrscheinlichkeit von 1 % unterschritten wird. Der Value-at-Risk ist ein sehr einfaches Risikomaß, das aber nicht immer hinreichend aussagekräftig ist. Insbesondere ist als Mangel festzustellen, dass extreme Risiken durch den Value-at-Risk „abgeschnitten“ werden. In Abb. 2 weisen beide Portfolios den gleichen VaR auf. Bei dem rechten Histogramm ist aber das Risiko deutlich höher.
Abb. 2. Wertveränderungen zweier Portfolios
Dieser Mangel lässt sich beheben, indem man ergänzend zum Value-atRisk den Expected Shortfall (ES) berechnet. Er ist definiert als SF( x ) = E( X | X > VaR (X) ).
(A.5)
Inhaltlich beschreibt der Expected Shortfall den Erwartungswert der VaR-Überschreitungen. Er ist somit risikosensitiver als der Value-at-Risk und besonders geeignet zur Beschreibung extremer Risiken. Ein Nachteil des ES ist, dass er schwerer zu „greifen“ ist als der Value-at-Risk. Daher hat sich der Expected Shortfall nicht als Standard etabliert. 4.2 Stetige Zufallsvariablen, Dichtefunktionen
Obwohl in der Praxis nur endliche Mengen an Risikodaten vorliegen, ist es, besondere bei größeren Datenbeständen, rechnerisch viel einfacher, stetige Zufallsvariablen zu unterstellen, die näherungsweise das reale Bild widerspiegeln. Auch jede stetige Zufallsvariable auf R weist eine kumu-
24
Heinrich Rommelfanger
lierte Verteilungsfunktion F(x) auf, wobei F(x) die Wahrscheinlichkeit angibt, dass sich die Zufallsvariable X im Intervall ] − ∞ , x ] realisiert, d. h. F( x ) = P(] − ∞ , x ]) . Da alle kumulierten Verteilungsfunktionen monoton steigende Funktionen sind und sich im Erscheinungsbild nicht extrem unterscheiden, ist es besser, eine stetige Verteilung durch ihre Dichtefunktion f(x) zu charakterisieren, die definiert ist als x
F( x ) = ∫ f ( t ) dt .
(A.6)
−∞
Am besten bekannt ist die Dichtefunktion der Normalverteilung N(µ, σ) f (x ) =
1 σ ⋅ 2π
exp(−
( x − µ) 2 ), 2σ 2
(A.7)
welche die bekannte Glockenform (GAUßsche Glockenkurve) besitzt.
1,0 N(2, 1 )
0,8
3
0,6 0,4 N(0,1)
−2
N(2,1)
N(2,2)
0,2
−1
0
1
2
3
4
Abb. 3. Dichtefunktion von N(µ,σ) für verschiedene Parameterpaare (µ,σ)
Die Dichtefunktion der Normalverteilung N(µ, σ) ist eine Funktion, die +∞
spiegelsymmetrisch zum Erwartungswert µ = ∫ x ⋅ f ( x ) dx ist und Wen−∞
depunkte an den Stellen µ − σ und µ + σ aufweist.
Stand der Wissenschaft bei der Aggregation von Risiken
Durch die Transformation Y =
25
X −µ lässt sich jede Normalverteilung σ
N (µ, σ) auf die Standardnormalverteilung N(0,1) zurückführen. Daher kann die Verteilungsfunktion F einer N (µ, σ) -verteilten Zufallsvariable X durch die Verteilungsfunktion Φ der Standardnormalverteilung N(0,1) ausgedrückt werden: F(X ) = P( X ≤ x ) = P (
X −µ x −µ x −µ x −µ ≤ ) = P (Y ≤ ) = Φ( ). σ σ σ σ
(A.8)
Aus diesem Grund benötigt man nur eine Wertetafel der Standardnormalverteilung, wobei man sich darüber hinaus auf die nichtnegativen x -Werte beschränken kann, da die Dichtefunktion der Standardnormalverteilung spiegelsymmetrisch zu 0 ist. Es gilt dann: Φ ( − x ) = P( Y ≤ − x ) = P( Y ≥ x ) = 1 − P( Y ≤ x ) = 1 − Φ ( x ) .
(A.9)
Die durch die beiden Parameter µ und σ eindeutig charakterisierte Normalverteilung hat den Vorteil, dass sich die α-Quantil x α direkt aus diesen Parametern berechnen lassen. Für die zentralen Intervalle gilt: 0,6827 für λ = 1 P([µ − λσ , µ + λσ]) = 0,9545 für λ = 2 0,9973 für λ = 3
(A.10)
und für die einseitigen α-Quantile x α
0,990097 0,97725 F(µ − λσ) = P( [µ − λσ , µ + λσ[ ) = 0,9755002 0,95
λ = 2,33 λ=2 . λ = 1,96 λ = 1,645
(A.11)
26
Heinrich Rommelfanger
f(x)
F(xα) = α x xα
µ
Abb. 4. α-Quantil und Value-at-Risk
Sind die Ergebnisse annähernd normalverteilt, so lassen sich die Quantile einfach mittels µ -2σ bestimmen. Betrachten wir beispielhaft einen Investor, der am 31.3.2007 eine Position von 63.291.139,24 € hält. In den letzten drei Monaten hatten die täglichen Erträge aus dieser Position einen Mittelwert von 24.044,16 € und eine Standardabweichung von 140.164,34 €. Der zu einer Wahrscheinlichkeit von 97,725 % gehörende VaR-Wert kann dann berechnet werden als
VaR = 24.044,16 − 2 ⋅140.164,34 = 24.044,16 − 280.328,68 = −256.284,52. Ein praktisches Beispiel für den Einsatz der Normalverteilung als Näherung für ein Histogramm gibt Abb. 5. Die Normalverteilung ist die wichtigste Wahrscheinlichkeitsverteilung, weil sie in vielen praktischen Anwendungen zumindest näherungsweise vorliegt. Darüber hinaus konvergieren wichtige diskrete mehrdimensionale Verteilungen wie die Binomialverteilung mit der Wahrscheinlichkeitsfunktion n k n − k für k ∈ {0,1, K , n} k p (1 − p) B(k , n , p) = 0 für k ∉ {0,1, K , n} für wachsendes n gegen die Standardnormalverteilung.
(A.12)
Stand der Wissenschaft bei der Aggregation von Risiken
27
Abb. 5. Value-at-Risk-Berechnung über die Normalverteilung
Weitere wichtige stetige Verteilungen sind die Exponentialverteilung mit der Dichtefunktion − λx für 0 ≤ x , λ > 0 f ( x ) = λ ⋅ e sonst 0
(A.13)
und der Verteilungsfunktion für x < 0 0 F( x ) = − λx für 0 ≤ x − 1 e
(A.14)
und die einfache Gleichverteilung mit der Dichtefunktion 1 für a ≤ x ≤ b f (x) = b −a sonst 0
(A.15)
und der Verteilungsfunktion 1 für a ≤ x ≤ b . f (x) = b −a sonst 0
(A.16)
28
Heinrich Rommelfanger
4.3 Mehrdimensionale Zufallsvariablen
Während bisher nur das mit einer Handlung verbundene Risiko analysiert wurde, erfordert die Untersuchung des Gesamtrisikos eines Unternehmens die Beschäftigung mit mehreren Zufallsvariablen. Daher werden hier zunächst die wichtigsten Definitionen und Aussagen für mehrdimensionale Zufallsvariablen zusammengestellt. Fasst man mehrere Zufallsvariablen X j : Ω j → R zusammen zum Vektor X = (X1 , X 2 , K , X m ) , so bezeichnet man X als m-dimensionale Zufallsvariable. Die Bilder von X sind Elemente von Rm. Die Ereignisse zu X hängen im Allgemeinen von den Werten aller m Zufallsvariablen ab. Ist dann beispielsweise für jedes X j ein Ereignis B j von Interesse, j = 1, 2, K , m , so ist der Durchschnitt dieser n Ereignisse ein Ereignis zu X, für das wir die Schreibweise X1 ∈ B1 , X 2 ∈ B 2 ,K, X m ∈ B m benutzen. Aus gegebenen eindimensionalen Zufallsvariablen X j , j = 1, 2, K , m , lassen sich auf viele Weisen neue mehrdimensionale Zufallsvariablen bilden, z. B. m
X1 ⋅ X 2 ⋅ X 3 , X1 ⋅ X1 , ∑ X j . j=1
Die Zufallsvariablen X1, X 2 ,K, X m heißen (stochastisch) unabhängig, wenn die Wahrscheinlichkeit des Durchschnitts von Ereignissen X j ∈ B j stets gleich dem Produkt der einzelnen Wahrscheinlichkeiten ist: P( X1 ∈ B1 , X 2 ∈ B 2 ,K, X m ∈ B m )
= P(X1 ∈ B1 ) ⋅ P(X 2 ∈ B 2 ) ⋅ K ⋅ P(X m ∈ B m ) .
(A.17)
Ist X = ( X1 , X 2 ,K, X m ) eine m-dimensionale Zufallsvariable, so heißt die Funktion F, die jedem Tupel (X1 , X 2 ,K, X m ) die Wahrscheinlichkeit
F( x1,K, x m ) = P(X1 ≤ x1,K, X m ≤ x m )
(A.18)
zuordnet, die Verteilungsfunktion von (X1 , X 2 ,K, X m ) oder die gemeinsame Verteilungsfunktion der Zufallsvariablen X1 , X 2 ,K, X m . Eine m-dimensionale Zufallsvariable (X1 , X 2 ,K, X m ) heißt:
Stand der Wissenschaft bei der Aggregation von Risiken
A.
29
diskret, wenn sie nur endlich oder abzählbar unendlich viele m-Tupel (X1 , X 2 ,K, X m ) als Wert annehmen kann. Die Funktion P, die jedem m-Tupel (X1 , X 2 ,K, X m ) die Wahrscheinlichkeit
P( x1,K, x m ) = P(X1 = x1,K, X m = x m )
(A.19)
zuordnet, nennt man Wahrscheinlichkeitsfunktion von (X1 , X 2 ,K, X m ) oder gemeinsame Wahrscheinlichkeitsfunktion der Zufallsvariablen X1, X 2 ,K, X m . B.
stetig, wenn es eine Funktion f (X1 , X 2 ,K, X m ) gibt, so dass die Verteilungsfunktion F die Gestalt x1
xm
−∞
−∞
F( x1 ,K, x m ) = ∫ K ∫ f ( t1 ,K, t m ) dt m Kdt1
(A.20)
besitzt.
f ( x1, x 2 , K , x m ) heißt dann Dichtefunktion von X1, X 2 ,K, X m oder gemeinsame Dichte der Zufallsvariablen X1, X 2 ,K, X m . Wichtige diskrete mehrdimensionale Verteilungen sind: Die Hypergeometrische Verteilung mit der Wahrscheinlichkeitsfunktion M N − M k n − k für k = Max{0, n − ( N − M ), N Min ( n , M )} n H(k , n , M, N) = , 0 sonst
(A.21)
Die POISSON-Verteilung mit der Wahrscheinlichkeitsfunktion λk − λ für k = 0,1, 2,.. e . P(k , λ ) = k! 0 sonst
(A.22)
30
Heinrich Rommelfanger
F( x | λ) λ = 0,3
λ = 1,5
λ = 2,5
λ = 4,2
λ =8
λ = 10
x 1
5
10
15
17
Abb. 6. Kumulierte Verteilungsfunktion von POISSON-Verteilungen
Grundlage dieser Verteilungen ist die Zufallsvariable
1 falls das Ereignis A eintritt Xj = 0 falls das Ereignis A nicht eintritt. Führen wir das entsprechende Zufallsexperiment n-mal durch und interessieren uns für die Anzahl k der Durchführungen, bei denen A eintritt, so n
lässt sich diese (gemeinsame) Zufallsvariable schreiben als X = ∑ X j . J =1
Im Gegensatz zu den beiden ersten Verteilungen lässt sich die POISSONVerteilung nicht aus einem kombinatorischen Experiment ableiten, sondern stellt eine Näherung für die Binomialverteilung B(k , n, p) dar, für den Fall, dass p klein und n groß ist. Man verwendet die POISSON-Verteilung also für die Verteilung seltener Ereignisse. In diesen Fällen kann man eine Binomialverteilung B(k , n , p) durch die POISSON-Verteilung P( k, n ⋅ p) approximieren, d. h. mit Verteilungsparameter λ = n ⋅ p . Diese Approximation ist vertretbar für n ≥ 50, p ≤ 0,1 , n ⋅ p ≤ 10 . Aus einer zweidimensionalen gemeinsamen Verteilungsfunktion, Wahrscheinlichkeitsverteilung oder Dichtefunktion lassen sich spezielle eindimensionale Funktionen ableiten: A.
Aus der gemeinsamen Verteilungsfunktion F(x, y) einer zweidimensionalen Zufallsvariablen (X, Y) lassen sich die beiden eindimensionalen Verteilungsfunktionen
Stand der Wissenschaft bei der Aggregation von Risiken
B.
31
F1 ( x ) = F( x ,+ ∞) von X und F2 ( y) = F( y,+ ∞) von Y ableiten, welche als Randverteilungsfunktionen bezeichnet werden. Aus der zweidimensionalen Wahrscheinlichkeitsfunktion p( x i , y j ) einer Zufallsvariablen (X, Y) lassen sich die beiden eindimensionalen Wahrscheinlichkeitsfunktionen p1 ( x i ) = ∑ p( x i , y j ) von X und p 2 ( y j ) = ∑ p( x i , y j ) von Y j
C.
i
ermitteln, welche Randwahrscheinlichkeiten genannt werden. Aus der zweidimensionalen Dichte f(x, y) einer Zufallsvariablen (X, Y) lassen sich die beiden eindimensionalen Dichten +∞
+∞
−∞
−∞
f1 ( x ) = ∫ f ( x , y) dy von X und f 2 ( y) = ∫ f ( x , y) dx von Y
D.
berechnen, die als Randdichten bezeichnet werden. Analog sind die bedingten Wahrscheinlichkeitsfunktionen p( x i , y j ) p( x i , y j ) p1 ( x i y j ) = und p 2 ( y j x i ) = p1 ( x i ) p2 (y j ) bzw. die bedingten Dichten f ( x , y) f ( x , y) und f 2 ( x y) = f 1 ( x y) = f 2 ( y) f 1 (x) definiert.
Mit diesen Randfunktionen lässt sich der vorstehend definierte wichtige Begriff der Unabhängigkeit von Zufallsvariablen X1 , X 2 ,K, X m neu formulieren: Die Zufallsvariablen X1 , X 2 ,K, X m sind genau dann (stochastisch) unabhängig, wenn die gemeinsame Verteilungs-, Wahrscheinlichkeitsoder Dichtefunktion gleich dem Produkt der Randverteilungs-, Randwahrscheinlichkeits- oder Randdichtefunktionen der einzelnen Zufallsvariablen ist, d. h. wenn gilt: F( x1,K, x m ) = F 1 ( x1 )L Fm ( x m )
für alle x1 ,K, x m
p( x1 ,K, x m ) = p 1 ( x1 )L p m ( x m )
für alle x1 ,K, x m
f ( x1 , K , x m ) = f 1 ( x 1 ) L f m ( x m )
für alle x1 ,K, x m . Wichtige Aussagen über die Erwartungswerte und die Varianzen von mehrdimensionalen Zufallszahlen liefern die beiden nachfolgenden Sätze A.1 und A.2:
32
Heinrich Rommelfanger
Satz A.1: A. Ist die Wahrscheinlichkeits- bzw. die Dichtefunktion einer Zufallsvariablen X spiegelsymmetrisch zu einem Punkt x = a, so gilt E(X) = a. B. Für eine reellwertige Funktion g = R → R und eine Zufallsvariable X ist auch Y = g(X ) eine Zufallsvariable und es gilt:
∑ g ( x j ) ⋅ p ( x j ) falls X diskret j E (Y) = E[g (X )] = + ∞ ∫ g ( x ) ⋅f ( x ) dx falls X stetig. −∞
(A.23)
Speziell gilt für g (X ) = a + bX : E (a + bX) = a + bE (X ) , für alle a, b ∈ R.
(A.24)
C. Für die Summe von m Zufallsvariablen X1 ,..., X m gilt: m
m
i =1
i =1
E ( ∑ X i ) = ∑ E (X i ) .
(A.25)
D. Für unabhängige Zufallsvariablen X und Y gilt:
E (X ⋅ Y) = E (X) ⋅ E (Y) .
(A.26)
E. Gilt für jedes Elementarereignis ω eines Zufallsexperimentes und für zwei Zufallsvariablen X und Y die Ungleichung X(ω) ≤ Y (ω) , so folgt
E (X) ≤ E (Y) . F. Ist g eine konvexe oder eine konkave Funktion, so gilt für jede Zufallsvariable X
E [g (X )] ≥ g [ E (X )]
JENSENsche
(A.27)
Ungleichungen.
(A.28)
falls g konvex
E [g ( X)] ≤ g [ E (X )] falls g konkav Satz A.2: A. Es gilt der Verschiebungssatz
Var (X ) = E ( X 2 ) − [ E (X )] 2. B. Für eine lineare Transformation a + bX gilt:
(A.29)
Stand der Wissenschaft bei der Aggregation von Risiken
Var (a + bX ) = b 2 ⋅ Var (X) .
33
(A.30)
C. Sind die Zufallsvariablen X1 ,..., X m linear unabhängig, so gilt:
m m Var ∑ X i = ∑ Var(X i ) . i =1 i =1
(A.31)
Analog zu einer normal verteilten Zufallsvariable lässt sich auch jede andere stetige Zufallsvariable X mit E( X) = µ x und Var (X) = σ 2 so normieren, dass die standardisierte Zufallsvariable Y =
X −µ den Erwarσ
tungswert 0 und die Varianz 1 besitzt. Mit standardisierten Zufallsvariablen lässt sich oft einfacher arbeiten, wie der folgende Satz zeigt: Sind X1, K , X m unabhängige Zufallsvariablen, die alle den gleichen Erwartungswert µ und die gleiche Varianz σ 2 aufweisen, so besitzt die m
Zufallsvariable X = 1 ∑ X i den Erwartungswert µ und die Varianz n i =1
1 σ2 . m
Eine wichtige Abschätzung nach oben erlaubt die TSCHEBYSCHEFFsche Ungleichung P ( X − E ( X ) ≥ c) ≤
Var (X ) c2
für alle c > 0 .
(A.32)
Neben Erwartungswert und Varianz stellt die Kovarianz einen wichtigen Verteilungsparameter dar. Für zwei Zufallsvariablen X und Y ist die Kovarianz definiert als σ xy = Cov(X, Y) = E[(X − E (X )) ⋅ (Y − E (Y ))]
(A.33)
+∞ +∞
= ∫
∫ ( x − E (X))( y − E (Y)) f ( x , y) dx dy .
−∞ −∞
Offensichtlich ist die Varianz der Spezialfall der Kovarianz für den Fall, dass die Variablen X und Y übereinstimmen. Die Parameter lassen sich übersichtlich darstellen in der symmetrischen Varianz-Kovarianz-Matrix
34
Heinrich Rommelfanger
σ2 σ x xy Var (X ) Cov(X, Y) , Ξ = = 2 Cov(Y, X Var ( Y) σ yx σ y
(A.34)
die für m Zufallsvariablen X1, K , X m die Form aufweist: Cov( X1 , X 2 ) Var (X1 ) Cov(X 2 , X1 ) Var (X 2 ) Ξ= M M Cov( X , X ) Cov(X , X ) m 1 m 2
L Cov(X1 , X m ) L Cov( X 2 , X m ) . O M L Var (X m )
(A.35)
Da sich die Kovarianz auch schreiben lässt als Cov(X,Y) = E(X⋅Y) - E(X)⋅E(Y),
(A.36)
folgt aus der Definition der stochastischen Unabhängigkeit, dass für zwei stochastisch unabhängige Zufallsvariablen ihre Kovarianz gleich Null ist. Mit der Kovarianz lässt sich für Var(X ) ≠ 0 und Var(Y ) ≠ 0 der Korrelationskoeffizient ρ( X , Y ) =
Cov(X, Y ) Var(X) ⋅ Var(Y )
(A.37)
bilden, welcher Aussagen über die Abhängigkeit der Variablen X und Y liefert. Nach Konstruktion nimmt ρ Werte zwischen -1 bis +1 an. Aus obiger Bemerkung folgt sofort, dass für zwei stochastisch unabhängige Zufallsvariablen ihre Korrelation gleich Null ist. Diese Aussage ist aber nicht umkehrbar, denn aus ρ(X, Y ) = 0 lässt sich nicht auf die stochastische Unabhängigkeit von X und Y schließen; man sagt nur, dass X und Y unkorreliert sind. Ist andererseits ρ(X, Y ) ≠ 0 , so sind die Zufallsvariablen X und Y stochastisch abhängig. Ist ρ(X, Y) > 0 , so spricht man von positiver Korrelation. Dies bedeutet, dass mit wachsendem X auch Y steigt. Umgekehrt redet man von negativer Korrelation, wenn ρ(X, Y) < 0 . Für die Aggregation von Risiken bedeutsam ist der folgende Satz: Für die Varianz der Summe zweier Zufallsvariablen gilt: Var(X + Y) = Var(X ) + Var(Y ) + 2 Cov (X, Y) . Für m Zufallsvariablen X1, K , X m hat diese Formel die Gestalt
(A.38)
Stand der Wissenschaft bei der Aggregation von Risiken
m
m
i =1
i =1 j=1, j≠ i
35
m
Var(X1 + X 2 + K + X m ) = ∑ Var(X i ) + ∑ ∑ Cov(X i , X j ) .
(A.39)
Dieser Zusammenhang bildet die Grundlage der Portfolio-Theorie von HARRY MARKOWITZ (1952). Durch eine geschickte Diversifikation des Portfolios läst sich die Varianz dieses Portfolios reduzieren, im Extremfall sogar auf Null. µ A ρ = -1 C
-1< ρ <1
ρ=1
B σ
Abb. 7. (µ,σ) des Portfolios aus A und B in Abhängigkeit von ρ
Ist ρ = +1, d. h. liegt perfekte positive Korrelation vor, so treten keinerlei Diversifikationseffekte auf. Der (µ,σ) des Portfolios aus A und B liegt auf der Verbindungsstrecke zwischen A und B. Der maximale Diversifikationseffekt liegt bei ρ = -1 vor (Punkt C); die Portfolio-Volatilität ist dann gleich Null und damit liegt ein sicherer Ertrag vor. Normalerweise gilt aber -1 < ρ < +1. Dann hat die (µ,σ)-Kurve des Portfolios einen hyperbelförmiger Verlauf. Voraussetzung ist allerdings, dass die Erträge aller Assets normalverteilt sind. Dies ist aber in der Praxis im Allgemeinen nicht gegeben. Die Ränder der tatsächlichen Häufigkeitsverteilung werden durch Normalverteilung oft unterschätzt (Fat tails) und ihre Mittelwerte sind höher als bei der Normalverteilung (Leptokurtische Verteilung). Weiterhin weisen reale
36
Heinrich Rommelfanger
Verteilungen oft mehr Beobachtungen in der linken als in der rechten Seite auf (Linksschiefe).
5
Probleme bei der Risikoanalyse mit traditionellen Verfahren
Wie schon in der Risiko-Definition in Abschnitt 3 deutlich wird, gibt der Schadenerwartungswert das „erwartete Risiko“ an. Mit diesem Schaden muss – bei gleichen allgemeinen Bedingungen – im Durchschnitt gerechnet werden. Für diese Schadenhöhe muss also auf jeden Fall Vorsorge getroffen werden. Sie ist in voller Höhe in der normalen Geschäftskalkulation zu berücksichtigen. Daher lässt sich aus der Höhe eines Schadenerwartungswert kein Rückschluss ziehen auf das „Risiko“, das mit dieser Entscheidung verbunden ist. Bei der Risikoanalyse geht es nämlich um die „unerwarteten Risiken“, die auftreten können, aber nicht müssen. Die sind negative Abweichungen vom erwarteten Risiko und lassen sich durch Streuungsmaße oder αQuantile charakterisieren. Weiterhin macht es wenig Sinn, neben den Schadenerwartungswerten nur die Höchstschadenswerte (Worst Case-Analyse) zu betrachten. Diese maximal denkbaren Schäden weisen normalerweise ganz geringe Eintrittswahrscheinlichkeiten auf und führen daher zu einer deutlichen Überschätzung der tatsächlichen Risikosituation. Hinzu kommt, dass oft zur Beurteilung des Gesamtumfangs des Unternehmensrisikos die maximalen Schadenhöhen einzelner Risiken einfach addiert werden, worin zum Ausdruck kommt, dass die Worst Case-Analyse unterstellt, dass alle Risiken im Betrachtungszeitraum mit maximaler Schadenhöhe auftreten und strenge positive Korrelation besteht. Gewarnt werden muss auch vor einer vereinfachenden „Berechnung“ mit Schadenklassen. Tabelle 2. Skala der Risikoklassen
Schadenstufe
1
2
3
4
5
Bezeichnung
gering
mittel
hoch
Existenz gefährdend
tödlich
Schadenhöhe
< 10 Mio. € < 40 Mio. € < 150 Mio. € < 500 Mio. € ≥ 500 Mio. €
Stand der Wissenschaft bei der Aggregation von Risiken
Solche ordinalen Skalen erlauben keine einfache Addition der densstufen. Ein einfaches Aufsummieren der Schadensstufen der „1 + 2 + 2 = 5“ würde ein „tödliches Risiko“ suggerieren, obwohl im Extremfall die Schadensumme kleiner als 90 Mio. € ist und höchstens als „hoch“ bezeichnet werden kann.
6
37
SchaForm selbst damit
Risikoanalyse auf Basis des Varianz-KovarianzAnsatzes
Unter der Voraussetzung, dass die Ergebnisse diverser Aktivitäten normalverteilt sind, kann direkt mittels der Formeln (A.38) und (A.39) das Gesamtrisiko als Vielfaches der Volatilität bzw. als Value-at-Risk berechnet werden. Da sich die Gleichung (A.37) umschreiben lässt zu
Cov(X, Y) = ρ(X, Y) Var(X) ⋅ Var(Y) = ρ xy ⋅ σ x ⋅ σ y ,
(A.40)
können zur Berechnung der Gesamtvarianz auch die Formeln V(X+Y) = σ 2x + σ 2y + 2 ρ xy ⋅ σ x ⋅ σ y m
m m
Var(X1 + X 2 + K + X m ) = ∑ σ2x + ∑ ∑ ρ x i x j ⋅ σ x i ⋅ σ x j i =1 i i =1 j=1, j≠i
m m
= ∑ ∑ σxi ⋅ ρxi x j ⋅ σx j
(A.41)
= σT ⋅ K ⋅ σ
(A.42)
i =1 j=1,
verwendet werden, wobei σ T = (σ x1 ,..., σ x m ) der Vektor der Einzelvolatilitäten und
38
Heinrich Rommelfanger
1 ρ x 2 x1 K= M ρ x m x1 ρ x m x1
ρ x 1x 2 1 M
ρ x m x1 ρ x m x1
L
ρ x1x m −1
L ρ x 2 x m −1 O M L 1 L ρ x m x m −1
ρ x 1x m ρ x 2x m M ρ x m x1 1
die Matrix der Korrelationskoeffizienten symbolisieren. Analysieren wir beispielhaft das Risiko, das der französische Finanzmogul Grand Risque eingeht, wenn er zu dem vorhandenen Portfolio P1 aus Diversifikationsgründen ein zweites Portfolio P2 kauft. Die täglichen Renditen von P1 wiesen im letzten Jahr einen Mittelwert von 140.000 EUR und eine Volatilität von 760.000 EUR auf. Für P2 werden für die täglichen Renditen ein Mittelwert von 38.000 EUR und eine Volatilität von 114.000 EUR geschätzt. Der gemeinsame 99 %-VaR der beiden Portfolios unter der Annahme, dass die Renditen negativ korreliert sind mit ρ = -0,43, lässt sich dann wie folgt berechnen:
µ = µ1 + µ 2 = 140.000 + 38.000 = 178.000 [€] σ = σ12 + σ 2 2 + 2ρ ⋅ σ1 ⋅ σ 2 = 760.000 2 + 114.000 2 − 0,43 ⋅ 2 ⋅ 760.000 ⋅114.000 = 516.085.600.000 = 718.390,98 [€] VAR = −178.000 + 2,326 ⋅ 718.390,98 = 1.492.977,42 [€] . Die Benutzung des Varianz-Kovarianz-Verfahrens setzt voraus, dass die Ergebnisse der einzelnen Aktionen sich vollständig durch Mittelwerte, Volatilitäten und Korrelationskoeffizienten beschreiben lassen. Dies bedeutet, dass sie normalverteilt und die Verteilungsparameter bekannt sind. Selbst wenn die Normalverteilungsannahme als erfüllt angesehen werden kann, steht man bei praktischen Anwendungen vor dem weiteren Problem, die Parameter aus den vorliegenden Beobachtungsdaten zu prognostizieren. In Abhängigkeit der konkreten Anwendung kommt hier eine Fülle unterschiedlicher Verfahren zum Einsatz. Neben einfachen empirischen Schätzverfahren sei lediglich auf Glättungsverfahren, ARCH und GARCH Modelle, die Extremwerttheorie zur Behandlung von Ausreißern und die Verwendung impliziter Volatilitäten hingewiesen.
Stand der Wissenschaft bei der Aggregation von Risiken
39
Ein Nachteil des Varianz-Kovarianz-Verfahrens ist auch darin zu sehen, dass dieser Ansatz nur lineare Risiken berücksichtigt. Die derivativen Finanzinstrumente, die immer stärker nicht nur bei Banken sondern auch in den Portfolios von Versicherungen, Unternehmen und Privatpersonen vorhanden sind, enthalten aber auch nicht-lineare Risiken.
7
Risikoanalyse auf Basis der Monte-Carlo-Simulation
Da die Voraussetzungen zur Anwendung des Varianz-Kovarianz-Verfahrens in der Praxis zumeist nicht vorliegen und die vorhandenen Schadensdatenbanken oft einen so geringem Umfang aufweisen, dass die Schätzungen der Verteilungsparameter nicht statistisch relevant sind, hat sich in den letzten Jahren die Monte-Carlo-Simulation zur Berechnung des Gesamtrisikos durchgesetzt. Die Monte-Carlo-Simulation ist ein stochastisches Verfahren, bei dem auf der Grundlage sehr häufig durchgeführter Zufallsexperimente Schlussfolgerungen über den Zusammenhang zwischen Input- und Outputvariablen gezogen werden. Der Name geht auf die weltbekannte Spielbank in Monte Carlo, einem Stadtteil des Fürstentums Monaco, zurück. Die Vorgehensweise einer Monte-Carlo-Simulation lässt sich wie folgt erläutern. 1. Ausgangspunkt ist ein deterministisches Modell 1 ρ x 2 x1 K= M ρ x m x1 ρ x m x1
ρ x 1x 2 1
L L
ρ x 1 x m −1 ρ x 2 x m −1
M
O L L
M 1
ρ x m x1 ρ x m x1
ρ x m x m −1
ρ x 1x m ρ x 2x m M . ρ x m x1 1
Neben der Auswahl der Variablen sind hier die Zusammenhänge zwischen den Variablen abzubilden.
40
Heinrich Rommelfanger
x1 x2
y1
Modell y = f(x) y2
x3 Abb. 8. Deterministisches Modell
2. Dann wird eine Menge von Zufallsinputwerten {X1 j , X 2 j ,..., X 3 j} generiert. Mit Hilfe von Zufallszahlen als Input wird nun das deterministische Modell immer wieder berechnet und die Ergebnisse bewertet. Die Zufallsexperimente werden heutzutage durch die Erzeugung von künstlichen Zufallszahlen durchgeführt, wobei die mit dem Computer generierten Zufallsvorgänge in beinahe beliebig großem Umfang simuliert werden können.
X1 Y1
X2
Modell f(x )
Y2
X3
Abb. 9. Stochastisches Modell
3. Das Modell wird evaluiert und die berechneten Bewertungsgrößen, z. B. die Risikoparameter, werden gespeichert. 4. Um eine stabile Basis für Schlussfolgerungen zu erhalten, sind mehrere Simulationsläufe durchzuführen. 5. Die Gesamtresultate sind dann zu analysieren, wobei häufig statistische Hilfsmittel wie Histogramme und Konfidenzintervalle benutzt werden.
Stand der Wissenschaft bei der Aggregation von Risiken
41
Die Monte-Carlo-Simulation kommt dann zum Einsatz, wenn die Modelle zu komplex werden, nicht-lineare Zusammenhänge beinhalten oder ungenaue Parameter aufweisen. Man versucht also, aufgrund der Ergebnisse mit Hilfe der Wahrscheinlichkeitstheorie analytisch unlösbare Probleme im mathematischen Kontext numerisch zu lösen. Als Rechtfertigung dient dabei vor allem das Gesetz der großen Zahl. Die Monte-Carlo-Simulation lässt sich auch als ein Stichprobenverfahren interpretieren, da die Inputwerte zufällig gemäß einer Wahrscheinlichkeitsverteilung generiert werden, die die Stichprobenerhebung einer wirklichen Population simuliert. Die für die Inputvariablen unterstellten Wahrscheinlichkeitsverteilungen sollten daher möglichst gut den vorliegenden Daten und dem aktuellen Wissensstand entsprechen. Für die Erzeugung von im Intervall [0,1] gleichverteilten Pseudozufallszahlen existieren mehrere Algorithmen, von denen die beiden bekanntesten nachstehend kurz erläutert werden. 7.1 Die Mid-Square-Methode
Man geht von einer beliebigen n-stelligen natürlichen Zahl als Startwert aus. Die Zahl wird dann quadriert, wobei das Ergebnis maximal 2n Stellen aufweist. Ergibt sich eine Quadratzahl mit weniger als 2n Stellen, so ist diese mit vorgestellten Nullen auf 2n Stellen aufzufüllen. Die mittleren n Stellen bilden dann als Nachkommastellen die erste Zufallszahl. Weiterhin wird mit der aus den mittleren n Stellen erzeugten Zahl der Algorithmus fortgesetzt. Sei n = 4 und werde x1 = 5643 als Startzahl gewählt. x1 = 5643 → x 12 = 31843449 → Zufallszahl x2 = 8434 → x 22 = 71132356 →
xneu,1 = 0,8434
xneu,2 = 0,1323
x3 = 1323 → x 32 = 01750329 → xneu,3 = 0,7503 usw. Ein Problem der Mid-Square-Methode ist, dass bei ungeschickter Wahl des Startpunktes sehr kurze Periodenlängen auftreten können oder die Folge abbricht, da nach einigen Rekursionsschritten nur noch Nullen auftreten. So führt z. B. der Startwert 1600 zu einer Folge mit der Periodenlänge 4, denn es ergibt sich die Folge 1600, 5600, 3600, 9600, 1600. Beim Startwert 7662 stellt sich nach 6 Schritten eine Nullfolge ein.
42
Heinrich Rommelfanger
7.2 Lehmergeneratoren
Die Lehmergeneratoren basieren auf dem rekursiven Bildungsgesetz x i = (a ⋅ x i + c) mod m ,
(A.43)
wobei die Zahl „n mod m“ den Rest angibt, der bei der Division von n durch m entsteht. Die Zufallszahl wird dann dadurch gebildet, dass dieser Rest durch m dividiert wird. Mit den Parametern a = 21, c = 3, m= 17 und dem Startwert x0 = 7, lassen sich die folgenden Zufallszahlen zi berechnen: x1 = (21×7+3) mod 17 = 150 mod 17 = 14 → z1 = 0,823529 x 2 = (21×14+3) mod 17 = 297 mod 17 = 8 → z 2 = 0,470588 x 3 = (21×8+3) mod 17 = 171 mod 17 = 1 → z 3 = 0,0588588 x 4 = (21×1+3) mod 17 = 24 mod 17 = 7 → z 4 = 0,823529 Diese Folge weist nur eine Periodenlänge von 4 auf. Da die Pseudozufallszahlen nach einem Algorithmus berechnet werden, ist stets zu überprüfen, ob die so erzeugten „Zufallszahlen“ auch wirklich als zufällig angesehen werden können. Dies ist mit statistischen Tests, wie dem χ 2 − Anpassungstest oder dem KOLMOGOROV-SMIRNOV-Anpassungstest, zu überprüfen. Als nächster Schritt sind die über [0,1] gleichverteilten Zufallszahlen zu transformieren in Zufallszahlen, die der jeweils gewünschten Verteilung genügen. Dazu benutzt man die kumulierte Verteilungsfunktion F(x), der die jeweilige Zufallsvariable X genügt. Die Transformation erfolgt dann mit der inversen Funktion x = F −1 ( y) , wie dies in Abb. 10 veranschaulicht ist. y F(x)
x Abb. 10. Erzeugung von normalverteilten Zufallsvariablen
Stand der Wissenschaft bei der Aggregation von Risiken
43
Summenwahrscheinlichkeit
Bei sehr kleinem Stichprobenumfang oder bei unzureichender Güte der generierten, über [0,1] gleichverteilten Zufallszahlen kann eine „Klumpenbildung“ auftreten. Um bessere Ergebnisse zu erzielen, kann die so genannte Latin-Hypercube-Methode benutzt werden, mit der eine Schichtung der gleichverteilten Zufallszahlen vorgenommen wird. Man teilt dazu das Intervall [0,1] in gleich große Teilintervalle. In Abb. 11 werden 4 Teilintervalle unterschieden. Das Auswahlprinzip besteht nun darin, dass per Zufall eines dieser Intervalle ausgewählt und aus diesem dann zufällig eine Probe entnommen wird. Dieser Vorgang wird so lange wiederholt, bis aus jedem Intervall ein Zufallswert vorliegt. F(x)
1,0
0,75 0,5
0,25 x
0,0 Minimalwert der Verteilung
Erhobene Werte
Maximalwert der Verteilung
Abb. 11. Latin-Hypercube-Methode
Bei Verwendung von elektronisch generierten Zufallszahlen bedeutet dies, dass die einzelnen Zufallszahlen den Intervallen zugeordnet und nur dann akzeptiert werden, wenn in dieser Runde noch keine Zufallszahl diesem Intervall zugeordnet wurde. Die nicht akzeptierten Zufallsvariablen werden entweder übersprungen oder an späterer Stelle eingereiht. Bestehen zwischen den Risikofaktoren Abhängigkeiten, so müssen diese natürlich berücksichtigt werden. Die Lösung besteht darin, N unabhängige Zufallszahlen x zu erzeugen und diese dann in N Zufallszahlen y mit der gewünschten Korrelation abzubilden. Dies kann mit Hilfe der CholeskyFaktorisierung erreicht werden.24 Dabei wird zur N×N-Korrelationsmatrix K eine untere Dreiecksmatrix A mit der Eigenschaft gesucht, dass gilt:
24
Vgl. RMG 1996
44
Heinrich Rommelfanger
K = A ⋅ AT .
(A.44)
Aus einem Vektor mit unabhängigen Zufallsvariablen x ergibt sich dann mit z=Ax
(A.45)
ein Vektor z mit korrelierten Zufallsvariablen bzgl. der Korrelationsmatrix K. Für N = 2 lässt sich das Grundprinzip der Cholesky-Faktorisierung leicht erkennen. Aus
1 ρ12 a 11 0 a 11 ⋅ = K = ρ 21 1 a 12 a 22 0 a2 a 11 ⋅ a 12 = 11 2 2 a 11 ⋅ a 11 a 12 + a 22
a 12 a 22
(A.46)
und den Gleichungen 2 = 1 , a ⋅ a = ρ , a2 + a2 = 1 a11 11 12 12 12 22
errechnet sich 1 ρ12 1 = K = ρ 21 1 ρ12
0 1 2 ⋅ 1 − ρ12 0
ρ . 2 1 − ρ12
(A.47)
Aus dem Vektor x ' = ( x1 , x 2 ) mit den beiden unkorrelierten Zufallsvariablen ergibt sich der Vektor z' = (z1 , z 2 ) mit bzgl. K korrelierten Zufallsvariablen als
x1 z 1 ρ12 x1 ⋅ = z = 1 = 2 ⋅ z 2 ρ 21 1 x 2 ρ12 x1 + x 2 ⋅ 1 − ρ12
(A.48)
Auch im allgemeinen Fall einer positiv definiten N×N-Korrelationsmatrix K kann die untere Dreiecksmatrix A rekursiv bestimmt werden. Die Elemente der Matrix A = (a ij )i , j=1,..., N lassen sich berechnen als i −1
2 a ii = ρii − ∑ a ik k =1
(A.49)
Stand der Wissenschaft bei der Aggregation von Risiken
a ij =
1 a ii
i −1 ⋅ ρij − ∑ a ik a jk für j = i+1, i+2,…, N. k =1
45
(A.50)
Zur Durchführung der Monte-Carlo-Simulation existieren Softwaretools, wie z. B. @-Risk der Palisade Corporation, so dass die Anwendung dieses Verfahrens nicht an fehlendem IT-Wissen scheitern sollte. In vielen Bereichen des Risikomanagements fehlen aber Daten, um die Verteilungen der Inputvariablen hinreichend genau modellieren zu können.
8
Das Zeitproblem bei der Risikoaggregation
In der Praxis hat sich historisch begründet die Vorgehensweise etabliert, dass in einem ersten Schritt eine Risikoaggregation innerhalb einzelner Unternehmensbereiche durchgeführt wird. So werden bei Banken zunächst die Risiken innerhalb der Kategorien Marktrisiko, Kreditrisiko und Operationales Risiko zusammengefasst. In einem zweiten Schritt sind dann die Risiken über diese Kategorien zu aggregieren, wobei auch hier die Abhängigkeitsstruktur zu berücksichtigen ist. Um dies leisten zu können, benötigt man ein einheitliches Maßsystem, mit dem, um bei dem Bankenbeispiel zu bleiben, Markt-, Kredit- und Operationale Risiken gemessen werden können. Als geeignete Maßgröße, die sowohl von den Banken als auch von der Bankenaufsicht als angemessen betrachtet wird, hat sich das „Economic Capital“ etabliert. Es ist definiert als jenes Kapital, das die Banken benötigen, um Verluste mit einer vorgegebenen Wahrscheinlichkeit abzudecken. Die gängigste Form der Messung des Economic Capital ist zurzeit der Value-at-Risk-Ansatz mit einem 1 %-Konfidenzniveau. Um die Risiken der einzelnen Risikokategorien zu einer Gesamtgröße zu aggregieren reicht es aber nicht aus, die gleiche Messmethode zu verwenden. Die Quantifizierung der einzelnen Risiken muss auch für die gleiche Zeitbasis erfolgen. Bei der Berechnung des Gesamtrisikos einer Bank ist hierzu festzustellen, dass für Kredit- und Operationale Risiken ein Zeithorizont von einem Jahr festgelegt ist. Dies macht Sinn, da z. B geänderte gesamtwirtschaftliche Bedingungen nicht sofort, sondern erst mit zeitlicher Verzögerung Kreditausfälle beeinflussen können. Aus diesem Grund sind den Anforderungen nach Basel II die Kredit-Ratingsysteme auf einjährige Ausfallwahrscheinlichkeiten zu kalibrieren. Dagegen ist bei Marktrisiken eine sehr kurze zeitliche Bezugsperiode sinnvoll. Beim üblichen over night-Risiko wird eine Haltedauer von nur einem Tag unterstellt. Auch ist zu bedenken, dass die Zusammensetzung
46
Heinrich Rommelfanger
eines Portfolios kurzfristig geändert werden kann, um dadurch aktiv einer Erhöhung des Marktrisikos entgegen zu wirken. Technisch wäre es natürlich möglich, den für eine Haltedauer von einem Tag berechneten MarktValue-at-Risk auf einen längeren Zeitraum, z. B. ein Jahr, umzurechnen. Dies führt aber normalerweise zu einer starken Überschätzung der Marktrisiken auf Jahresbasis, da eine Hochrechnung der täglichen Volatilitäten zu überhöhten Jahresvolatilitäten führt und darüber hinaus die Banken durch aktives Portfoliomanagement ihre Marktrisiken im Laufe eines Jahres senken können. Die Bundesanstalt für Finanzdienstleistungen (BaFin) schlägt hier eine recht grobe Hochrechnung vor, bei der Volatilitäten und Korrelationen auf der Basis von monatlichen Renditen geschätzt werden.
9
Das Problem unzureichender Schadendaten
Mathematisch-statistische Risikoanalyseverfahren können nur dann das Risiko richtig quantifizieren, wenn eine ausreichende Anzahl zuverlässiger Daten vorliegt. Dies ist bei einigen Risikokategorien, z. B. bei Marktrisiken, gegeben. Dagegen ist die Datensituation für die Messung und Steuerung Operationaler Risiken unbefriedigend. Jahrzehnte lang war es Brauch, Schadenfälle oder mögliche Risiken nur dann zu melden, wenn dies nicht vertuscht werden konnte. Dies galt für alle Hierarchieebenen und in fast allen Branchen. Um eine aussagekräftige Verlustdatenbank zu erhalten ist es daher notwendig, in den Betrieben die Risikokultur zu verbessern, mit dem Ziel, Risiken frühzeitig zu erkennen und gegenzusteuern. Um eine vollständige, unverzerrte, den Verursachern zuordenbare und genaue Schadendatenbank zu erhalten, müssen Anreize geschaffen werden, damit alle Mitarbeiter alle aufgetretenen Schäden melden und zusätzlich auf Gefahren hinweisen, die zu Verlusten führen würden, im aktuellen Fall aber abgewendet werden konnten. Dabei wird man wohl nicht so weit gehen wie namhafte Fluggesellschaften, die ihren Piloten zusichern, dass ihnen kein Nachteil entsteht, wenn sie selbst dem Management Safety Control Board Fehler als Erster melden. Neben dem Aufbau firmeninterner Schadendateien werden auch externe Schadendateien benötigt, um seltene, aber hohe Verluste bei der Risikobestimmung mit zu berücksichtigen. Solche Datenbanken existieren schon für einzelne Branchen oder sind in Bearbeitung. Ein gutes Beispiel dafür sind die diversen Quantitative Impact Studies des Baseler Committee on Banking Supervision.25 25
Vgl. Bank for International Settlements 2001–2006
Stand der Wissenschaft bei der Aggregation von Risiken
47
Ein zurzeit stark genutztes Instrument zur Bestimmung von Risikopotentialen sind Risikoinventuren, die zumeist in Form von Self Assessments durchgeführt werden. Um Operationale Risiken identifizieren und bewerten zu können, geben ausgewählte Personen anhand eines Fragenkatalogs Einschätzungen über vorhandene Risikopotentiale ab. Self Assessments liefern neben Indikatoren und Verlustdaten weitere wertvolle Informationen für das Managen Operationaler Risiken. Eine ausschließlich aus historischen Verlustdaten bestehende Datenbank würde das Risikoprofil eines Unternehmens nur unzureichend abbilden, da für neue Aktivitäten keine Daten verfügbar wären und auch keine Maßnahmen berücksichtigt würden.
Teil 2 Fallstudien aus der Industrie
Die Aggregation von Risiken bei der SAP AG
Dirk Metzger SAP Asia Pte Ltd
1
Der SAP Konzern26 und seine Kernrisiken
Die SAP wurde 1972 gegründet und ist heute, gemessen an der Marktkapitalisierung, das drittgrößte, global tätige unabhängige Softwareunternehmen und der größte Hersteller von Unternehmenssoftware. Die SAP hat rund 36.000 Kunden und beschäftigt weltweit rund 38.000 Mitarbeiter an Vertriebs- und Entwicklungsstandorten in 120 Ländern in den Regionen Europa, Naher Osten, Afrika, Amerika und Asien-Pazifik. Der Hauptsitz der SAP ist in Walldorf, Deutschland. Kerngeschäft der SAP ist die Lizenzierung von Nutzungsrechten an den SAP-Softwarelösungen. Dabei umfasst das Lösungsportfolio der SAP insbesondere die Plattform SAP NetWeaver und Softwareanwendungen zur Unterstützung betrieblicher Prozesse für Kunden jeder Größenordnung und in über 25 Branchen. Zusätzlich vermarktet die SAP auf ihre Softwarelösungen bezogene Wartungsdienstleistungen, Beratungsdienstleistungen und Schulungen. Der Gesamtumsatz der SAP betrug im Jahre 2005 ca. 8,5 Milliarden €, den größten Teil bilden Erlöse aus dem Softwarelizenzgeschäft und der Produktwartung.
26
Angaben in diesem Abschnitt sind teilweise wörtlich zitiert dem Geschäftsbericht der SAP AG des Jahres 2005 entnommen. Siehe auch http//www.sap.de/investor.
52
Dirk Metzger
1.1 Aufbauorganisation27
Das Unternehmen gliedert sich in sieben Vorstandsbereiche die entlang der Wertschöpfungskette ausgerichtet sind (s. Abb. 12, auf die sich auch die Abkürzungen in den Klammern beziehen). • Research & Breakthrough Innovation (R&I): Forschung und Innovation stehen am Anfang der Wertschöpfungskette. Hier liegt auch die Verantwortung für die weitere Entwicklung der Geschäftsprozessplattform der SAP. • Product & Technology Group (Product): Die Entwicklung sämtlicher SAP-Lösungen geschieht unter diesem Dach. • Production, Processes, People (Production, Human Resources & Processes): Vereint alle Organisationen, die die Produktionsprozesse des Unternehmens sichern und unterstützen: Personalwesen, Qualitätsmanagement, interne IT und das Management der SAP-Entwicklungszentren. • Global Service and Support (Ser & Sup): Betreuung und Unterstützung aller Kunden. • Customer Solutions & Operations (CSO): Der global am weitesten verzweigte Vorstandsbereich für den Vertrieb der Produkte sowie die Erbringung von zugehörigen Beratungs- und Schulungsdienstleistungen bildet den Abschluss der Wertschöpfungskette. • Büro des Vorstandssprechers (Office of the CEO) ist u.a. für die globale Strategie und die Geschäftsentwicklung der SAP, die Interne Revision und die globale Unternehmenskommunikation verantwortlich. • Finance & Administration: Neben anderen zentralen Finanzfunktionen wird auch das globale Risikomanagement direkt vom Finanzvorstand geleitet. Von diesem Vorstandsbereich werden auch die SharedServices-Aktivitäten, SAP-Ventures und die M&A-Aktivitäten gesteuert.
27
Alle Aussagen zur Organisation der SAP allgemein und zum Risikomanagement insbesondere geben den Stand Q4/2006 wieder. So wurde die Risikomanagementorganisation mittlerweile in eine globale Governance Risk Management and Compliance-Organisation (GRC) eingebettet. Alle inhaltlichen Argumente behalten dessen ungeachtet ihre Gültigkeit. (Der Autor im August 2007.)
Die Aggregation von Risiken bei der SAP AG
53
Office of the CEO
R&BI
Product
Production
Ser & Sup
CSO
Finance & Administration
Human Resources & Processes
Abb. 12. Die Organisationsstruktur der SAP
1.2 Kernrisiken der SAP
Jeder der oben beschriebenen Bereiche trägt Risiken, die zwar zum einen charakteristisch für den Bereich sind, zum anderen jedoch über die Wertschöpfungskette zusammenhängen und oft nicht isoliert betrachtet werden können. Der Begriff „operationelle Risiken“ ist bei der SAP weit gefasst und bezieht beispielsweise auch die von vielen Unternehmen ausgeblendeten Reputationsrisiken oder die oft gesondert behandelten Finanz- und Marktrisiken mit ein. Die operationellen Kernrisiken der SAP, die aktiv behandelt werden, sind auf den zehn obersten Ebenen eines Klassifikationssystems (Operationelle Kernrisiken oder „Common Risk Catalogue“, der auch, wie weiter unten beschrieben, bei der Aggregation von Risiken eine Rolle spielt) wie folgt darstellbar (s. Abb. 13): •
•
Gesamtwirtschaftliche (ökonomische) Risiken: z. B. anhaltende ökonomische und politische Krisen, die die Investitionsbereitschaft der Kunden senken, Naturkatastrophen und andere unvorhergesehene Ereignisse, die Einfluss auf lokale oder regionale Märkte nehmen, regulatorische Einschränkungen der internationalen Geschäftstätigkeit Risiken der strategischen Planung: z. B. bestehende Partnerschaften mit anderen Softwareanbietern, Hardwareherstellern oder Technologielieferanten können ihren Charakter verändern oder ganz beendet werden, was die Vermarktung oder die Nachfrage für SAP-Produkte negativ beeinflussen kann
54
• •
•
•
•
• •
•
Dirk Metzger
Personalwirtschaftliche Risiken: z. B. kann es in Zeiten anhaltenden ökonomischen Aufschwungs schwierig sein, Schlüsselmitarbeiter an die Firma zu binden Organisations-, Compliance- und Governancerisiken: z. B. Verlust des Ansehens und negativer Einfluss auf den Aktienkurs der SAP beispielsweise durch Nachlässigkeit oder Nichteinhaltung interner, gesetzlicher oder regulatorischer Vorschriften durch einzelne Mitarbeiter Kommunikations- und Informationsrisiken: z. B. Schädigung der Marktposition der SAP durch ungewollte oder verfrühte Veröffentlichung von brisanten Informationen wie der zukünftigen Strategie, neuer Technologien oder der Produktplanung Marktrisiken: z. B. Verlust des Marktanteils der SAP durch Zusammenschluss von Wettbewerbern oder Kunden, schwindende Verkaufszahlen durch die Ausgliederung von Geschäftsprozessen der Kunden zu so genannten „Outsourcing“-Anbietern, die ihre Dienstleistungen mit SAP-Anwendungen bündeln Finanzrisiken: z. B. Verlust durch Währungsschwankungen, da ein erheblicher Teil der Geschäfte in Fremdwährungen durchgeführt wird, Schmälerung des Ergebnisses durch geänderte Steuergesetzgebung oder unerwartet hohe Zahlungen aus Mitarbeiterbeteiligungsprogrammen Projektrisiken: z. B. erhöhte Kosten und Imageschäden durch problembehaftete Implementierungsprojekte Produktrisiken: z. B. Verzögerungen bei der Markteinführung neuer Produkte durch unvorhergesehen lange Entwicklungs- und Testzeiten, Produkthaftungsrisiken, unbefugter Zugriff auf in SAP-Systemen gespeicherte Informationen und daraus resultierende Regressforderungen, vorzeitige Beendigung von Lizenzvereinbarungen mit Drittanbietern, die zu erhöhten Entwicklungsaufwendungen führen, Umsatzeinbußen durch eine nicht erfolgreiche Produktstrategie sonstige Betriebsrisiken: z. B. Schwächung der Marktposition der SAP durch die Verletzung von geistigem Eigentum, das sich nicht in allen Ländern gleichwertig schützen lässt, erhöhte Aufwendungen durch Patentstreitigkeiten, Schädigung der IT-Infrastruktur durch Software-Viren, Schwierigkeiten resultierend aus dem Zukauf von anderen Unternehmen.
Die Aggregation von Risiken bei der SAP AG
55
Abb. 13. Die operationellen Kernrisiken der SAP
Mit Blick auf das Risikomanagement lässt sich feststellen, dass ein sehr großer Teil der Geschäftstätigkeit der SAP Projektcharakter hat. Die Entwicklung der SAP-Lösungen ist in Projekten und Programmen als deren Zusammenfassung organisiert, Beratungsdienstleistungen werden in der Regel im Rahmen von Softwareimplementierungsprojekten erbracht. Die Vertriebsaktivitäten im Großkundensegment (so genannte „Local and Global Enterprises“ mit jeweils mehr als 1.000 Mitarbeitern) sind sehr stark an den Bedürfnissen der individuellen Kunden orientiert. Die Anzahl der Projekte, die den Anforderungen des Risikomanagementsystems unterworfen sind, wird durch Schwellenwerte (z. B. Projektvolumen in geplanten Personentagen) oder andere Schlüsselkriterien (z. B. Erstimplementierung einer neuen Lösung) festgelegt. In den mehr prozessorientiert arbeitenden Bereichen, wie z. B. der Verwaltung oder der internen IT, ist eine zyklische Erhebung von Risikodaten, Planung und Durchführung von Abschwächungsmaßnahmen die bevorzugte Methode. Darin unterscheidet sich die Ausgangssituation für das Risikomanagement der SAP nicht grundsätzlich von der anderer produzierender Unternehmen.
56
Dirk Metzger
Da die Anzahl der Aktivitäten, für die Risikomanagement betrieben wird, umfangreich ist und nicht von vornherein feststeht, ist auch die Menge aller betrachteten Risiken (Risikoinventar) sehr groß und einem ständigen Wandel unterworfen. Diese Veränderungen werden hauptsächlich durch das Beenden und Starten von Projekten getrieben. Das Risikoinventar war bei Einführung des Risikomanagementsystems im Jahre 2003 stetig wachsend. Mittlerweile hat sich jedoch ein Gleichgewicht der Zahlen geschlossener und neuer Risiken eingestellt, so dass die Gesamtzahl der Risiken in etwa stabil ist. Üblicherweise werden im Rahmen des Risikomanagements gleichzeitig einige tausend Risiken betrachtet.
2
Das Risikomanagementsystem der SAP AG
Die SAP verfügt über ein Risikomanagementsystem, das sowohl die frühzeitige Erkennung und Analyse von Risiken, als auch das Ergreifen entsprechender Gegenmaßnahmen ermöglicht.28 Das System ist unternehmensweit implementiert und für alle Geschäftsbereiche gültig. Das Risikomanagement-Konzept (Global Risk Management Framework) im engeren Sinne ist dabei in das Risikomanagementsystem eingebettet, welches auch die Einhaltung der Anforderungen des US amerikanischen Sarbanes-Oxley Act sicherstellt, dem die SAP durch ihre Notierung an der New Yorker Börse unterliegt. Risiken werden als Resultat der Dokumentation und des Testens des internen Kontrollsystems über die Finanzberichterstattung nach Section 404 des Sarbanes-Oxley Act im Rahmen des Risikomanagements transparent gemacht.29 Um ein global einheitliches Management aller Unternehmensrisiken zu garantieren, wurde eine schlanke, zentrale Risikomanagementorganisation mit einer direkten Berichtslinie zum Finanzvorstand (CFO) geschaffen. Damit wird eine Neutralität gegenüber den operativen Bereichen gewährleisten. Risiken sollen grundsätzlich in den verantwortlichen Geschäftsbereichen behandelt werden, weshalb dort ein personell stärkeres Netzwerk von Risikomanagern etabliert wurde. Die Risikomanager arbeiten gleichzeitig eng mit den risikotragenden Organisationen, an die sie in der Regel direkt berichten, und der zentralen Risikomanagementfunktion, zu der eine indirekte Berichtslinie existiert, zusammen. Die Risikomanagementorganisation ist vierstufig aufgebaut: Die erste Stufe stellt der Konzern selbst dar, für den der Corporate Risk Management Director verantwortlich ist. Die zweite Stufe bilden die oben be28 29
Vgl. im Folgenden auch Brandt 2005 Vgl. hierzu weiterführend Mucic 2004, 2006
Die Aggregation von Risiken bei der SAP AG
57
schriebenen Vorstandsbereiche. Einer oder mehrere Vorstandsbereiche30 werden in der zentralen Risikomanagementfunktion durch einen Corporate Risk Manager betreut. Jeder Corporate Risk Manager arbeitet mit einem oder mehreren so genannten Divisional Risk Managern zusammen (dritte Stufe), die organisatorisch in die jeweiligen Vorstandsbereiche eingebunden sind. Unterhalb der Divisional Risk Manager gibt es in einer vierten Schicht Unit- bzw. Country Risk Manager, die in vielen Fällen direkt an die Divisional Risk Manager berichten. Nicht alle Funktionen werden in Vollzeit ausgeübt. Abb. 14 verdeutlicht den Aufbau exemplarisch, der auch für die Beschreibung der Aggregation im Folgenden wichtig ist.
Abb. 14. Die Risikomanagementorganisation
Kernbestandteile des Global Risk Management Frameworks sind: • • • •
die Risikomanagementrichtlinie (die als eine der Global Policies bei der SAP einem gesonderten Governance Prozess unterliegt), die Risikomanagementorganisation, das Risikomanagement-Prozessmodell, das die Durchführung im Einzelnen regelt, die SAP-weit implementierte Risikomanagementsoftware (eine Eigenentwicklung, die als Kernbestandteil der neuen SAP Lösung für „Go-
So werden etwa die Bereiche „Research and Breakthrough Innovation“ und „Product“ aus Sicht des Risikomanagements zusammengefasst, weil sich beide Bereiche mit der Softwareentwicklung beschäftigen. 30
58
•
3
Dirk Metzger
vernance, Risk Management and Compliance“ im Jahre 2007 auch dem Markt zur Verfügung stehen wird)31 und die unternehmensweite, kaskadierende bzw. konsolidierende Risikoberichterstattung.
Die Bewertung von Risiken
3.1 Vorbemerkung
Das Risikomanagement-Prozessmodell der SAP definiert Risiken als „im weitesten Sinne die Gefahr, die finanziellen, strategischen oder operationellen Ziele nicht wie geplant zu erreichen“. Risiken werden bei der SAP auf Basis von Expertenschätzungen identifiziert und bewertet. Jedes Risiko ist – wie in Punkt 1.2 dargestellt – einem der operativen Kernrisiken zugeordnet. Dieser Prozess wird von einem Risikomanager unterstützt. Im Folgenden wird zunächst der Risikobewertungsprozess der SAP skizziert, wie er bis September 2006 zur Anwendung kam, bevor der seither implementierte Prozess betrachtet wird. Wesentliches Unterscheidungskriterium zwischen den beiden Bewertungsprozessen ist eine durchgängige, quantitative Bewertung aller Risiken im aktuellen Prozess. 3.2 Der Bewertungsprozess der SAP bis September 2006
Bis September 2006 war es den Experten freigestellt, den möglichen maximalen Schaden der Risiken quantitativ, monetär (als „Total-Loss“) oder qualitativ auf einer „Impact“-Skala von 1 (unerheblich) bis 5 (katastrophal) zu bewerten. Um eine Vergleichbarkeit der Risiken zu garantieren, musste immer mindestens eine qualitative Einschätzung auf Konzernebene abgegeben werden. Zusätzlich war es möglich, die (lokale) qualitative (Organisationseinheit, Projekt) Einschätzung zu ergänzen: Risiken wurden aus Sicht eines Bereiches oder eines Projektes in der Regel anders (meist höher) bewertet als aus Konzernsicht. Bei einer quantitativen Abschätzung entfiel diese Unterscheidung, da die Höhe des möglichen Verlustes unabhängig von der Sichtweise war. Gleichfalls wurde die Eintrittswahrscheinlichkeit des Risikos (hier genauer: des maximalen Schadens) bewertet. Die Wahrscheinlichkeiten wurden in fünf Klassen eingeteilt und qualitativen wie quantitativen Schadensklassen (Impact) zugeordnet (vgl. Tabelle 3).
31
Vgl. auch Menzies 2006, S 319 ff
Die Aggregation von Risiken bei der SAP AG
59
Die Bewertung des jeweiligen Risikos bezog sich auf das laufende und die kommenden beiden Geschäftsjahre. Tabelle 3. Schadenswahrscheinlichkeit und Impact Quantitativer Impact (Total Loss) 1 = € 0–€ 199,999
Wahrscheinlichkeit
Qualitativer Impact
1–20 % = Sehr unwahrscheinlich 21–40 % = Unwahrschein- 2 = € 200,000–€ 999,999 lich 41–60 % = Wahrscheinlich 3 = € 1,000,000–€ 4,999,999 61–80 % = Sehr wahr4 = 5,000,000–€ 24,999,999 scheinlich 81–99 % = Fast sicher 5 = > € 25,000,000
1 = Unerheblich 2 = Klein 3 = Mittel 4 = Groß 5 = Katastrophal
Wahrscheinlichkeit
Jedem Einzelrisiko wurde auf Basis der vorangegangenen Einschätzungen ein Risikoniveau, das entweder „hoch“, „mittel“ oder „niedrig“ sein kann, zugeordnet (s. Abb. 15). Ein hohes Risiko sollte sowohl eine hohe Eintrittswahrscheinlichkeit haben, als auch relevante Auswirkungen aufweisen. Wie oben erläutert, kann das Risikoniveau auf globaler (Konzern) und lokaler Ebene (Organisationseinheit, Projekt) bestimmt werden, sofern separate Impact-Werte existieren. Hohe Risiken erfordern die unmittelbare Aufmerksamkeit des zuständigen Managements, um geeignete Gegenmaßnahmen einzuleiten. 81–99 %
N
M
H
H
H
61–80 %
N
M
M
H
H
41–60 %
N
N
M
M
H
21–40 %
N
N
N
M
M
1–20 %
N
N
N
N
M
1
2
3
4
5
= Hohes Risiko
= Mittleres Risiko
= Niedriges Risiko
Impact
Abb. 15. Zuordnung von Risikoniveaus
Im Falle einer quantitativen Bewertung konnte bei dieser Vorgehensweise aus dem Produkt des Total-Loss-Wertes und der Wahrscheinlichkeit ein Expected-Loss-Wert bestimmt werden. Zum Abschluss des Bewertungsprozesses wurden die Gegenmaßnahmen priorisiert. Der Zeitraum, in dem frühestens auf ein Risiko reagiert werden musste, wurde zusammen mit dem Risikoniveau herangezogen,
60
Dirk Metzger
um eine Priorisierung nach untenstehender Tabelle vorzunehmen (s. Tabelle 4). Folgerichtig erhielten Maßnahmen als Reaktion auf hohe Risiken die Priorität 1. Tabelle 4. Priorisierung von Risiken Risiko-Niveau und Priorität Zeitrahmen
Kurzfristig (weniger als 3 Monate) Mittelfristig (3–12 Monate) Langfristig (mehr als 12 Monate)
Niedrig
Mittel
Hoch
5 7 9
2 4 8
1 3 6
Die grundsätzliche Möglichkeit, Risiken entweder qualitativ oder quantitativ zu bewerten, brachte jedoch Nachteile mit sich. Wie oben erläutert, ist die Anzahl der in einer Organisationseinheit, z. B. einer großen Landesgesellschaft, betrachteten Risiken aufgrund der Vielzahl relevanter Projekte in der Regel erheblich. Da außer für das Risikoniveau keine einheitliche Skala vorgegeben war, wurde das Herausfiltern von wesentlichen Risiken schwierig. Auch ließ sich aus einer Sammlung von Risiken unterschiedlicher Risikoniveaus nur schwer ein Gesamtrisikoniveau oder eine interpretierbare Gesamtrisikoposition ermitteln. Wie bedeutend sind z. B. 30 hohe, 60 mittlere und 20 niedrige Risiken? Dies erschwerte auch die Vergleichbarkeit von Organisationen untereinander. Im nächsten Abschnitt wird erläutert, wie man dieses Problem durch Einführung eines „kontinuierlichen Risikoniveaus“ gelöst hat. 3.3 Der Bewertungsprozess der SAP seit September 2006
Um den genannten Schwierigkeiten entgegenzutreten, werden bei SAP Einzelrisiken seit September 2006 grundsätzlich quantitativ (monetär) bewertet. Für jedes Risiko ist der maximale Verlust (Total-Loss), ausgedrückt als Ertrags- oder Umsatzminderung bei Eintritt des Risikos, zu beziffern. Dabei müssen die Risiken gemäß ihrer Auswirkung klassifiziert werden. Im Hinblick auf den zu erwartenden Verlust werden die Risiken dann gemäß ihrer Auswirkung in zwei Gruppen zusammengefasst (Impact Classification): •
Ertragsminderung: Der maximale Verlust wird einerseits als Ertragsminderung interpretiert, da der Gesamtertrag durch risikobedingt
Die Aggregation von Risiken bei der SAP AG
•
61
erhöhte Aufwendungen, die mit Mittelabflüssen (z. B. Vertragsstrafen) verbunden sein können, reduziert wird. Umsatzminderung: Der maximale Verlust beschreibt andererseits eine mögliche Umsatzminderung, z. B. dadurch, dass Software nicht im geplanten Umfang verkauft werden kann (z. B. durch eine Schädigung der Reputation).
Da alle Risiken quantifiziert werden, ist es nun möglich, auch für jedes Risiko den Expected-Loss als Produkt aus Eintrittswahrscheinlichkeit und Total-Loss zu berechnen. Die Analyse der Risiken wird dadurch unterstützt, dass jeder Aktivität, die relevant im Sinne des Risikomanagement-Modells ist (Beratungsprojekt, Landesrisikobericht), ein Schwellenwert zugewiesen wird. Überschreitet der maximale Verlust eines Einzelrisikos diesen Schwellenwert, wird die Auswirkung des Risikos auf die Aktivität, beispielsweise ein Projekt oder das Geschäft eines Landes, als katastrophal (entspricht Impact Level 5) eingestuft. Eine Einstufung in niedrigere Impact-Klassen (1 bis 4) wird ebenfalls in Abhängigkeit vom Schwellenwert32 automatisch vorgenommen. Umgekehrt liefert die Einschätzung des Verlustes über die Impact-Skala einen monetären Wert als Vorgabe, den der jeweilige Risikomanager entweder akzeptieren oder korrigieren kann. Die Höhe des Verlustes kann jetzt außerdem für jede Organisationseinheit individuell qualitativ bewertet werden, indem man eine organisationsspezifische Impact-Matrix hinterlegt. Eine Gewinneinbuße von 1 Mio. € kann für eine kleine Landesgesellschaft schwerwiegende Folgen haben, während der Betrag für den Konzern als Ganzes eher einen mittleren Verlust darstellt. Damit wird die Unterscheidung im Ausgangsmodell zwischen „globalem Impact“ und „lokalem Impact“ obsolet, da jetzt auf jeder relevanten Ebene der Organisationshierarchie eine solche Impact-Matrix gepflegt ist. Neben der Einstufung in drei Risikoniveaus (hoch – mittel – niedrig) betrachtet die SAP das Produkt aus Wahrscheinlichkeit (P) und Impact (I). Der „PxI“ genannte Wert kann als kontinuierliche Version der Risikoniveaus angesehen werden. Sein Wertebereich ist 0 < PxI < 5.33 Das heißt, die Einstufung als „high“, „medium“ oder „low“ wird basierend auf dem PxI-Wert vorgenommen. Da der Impact-Wert von der Organisationseinheit, für die er bestimmt wird, abhängt, wird ersichtlich, dass das Risiko 32
Der Schwellenwert wird in der Praxis als Produkt aus dem Activity Value und einem als Prozentzahl angegebenen Catastrophy Threshold ermittelt. 33 Die Wahrscheinlichkeiten liegen zwischen 0 und 1, die Impact-Werte zwischen 1 und 5.
62
Dirk Metzger
auch einen organisationsabhängigen PxI-Wert hat. Im Allgemeinen wird dieser kleiner, von je weiter oben in der Organisationshierarchie man auf das Risiko blickt – die Bedeutung eines Einzelrisikos nimmt ab, wenn man es in einem größeren Zusammenhang sieht. So mag z. B. das potenzielle Scheitern eines Projektes für eine Landesgesellschaft bedeutend sein, für den gesamten Konzern jedoch als relativ unerheblich erscheinen. Die Angaben zur Wahrscheinlichkeit ändern sich bei diesem Ansatz nicht. Jedoch muss der Genauigkeit dieser Wahrscheinlichkeit ein größeres Augenmerk geschenkt werden, wenn alle Risiken quantifiziert werden. Die Bereiche für die verschiedenen Eintrittswahrscheinlichkeiten sollen den verbalen Beschreibungen besser angepasst werden: z. B. sind Eintrittswahrscheinlichkeiten knapp unter 20 % sicherlich größer als „remote“, während es schwierig ist, im Bereich zwischen 60 % und 99 % weiter zwischen „highly likely“ und „near certainty“ zu unterscheiden. Die Eintrittswahrscheinlichkeiten werden daher nunmehr wie folgt klassifiziert: Tabelle 5. Klassifizierung von Eintrittswahrscheinlichkeiten
0–1 % 1–10 % 10–50 % 50–70 % 70–99 %
Wahrscheinlichkeit = Sehr unwahrscheinlich = Unwahrscheinlich = Wahrscheinlich = Sehr wahrscheinlich = Fast sicher
Die Bestimmung einer aus der Dringlichkeit der einzuleitenden Maßnahmen abgeleiteten Priorisierung besteht weiter. Wie im ursprünglichen Modell ist der Zeitrahmen, auf den sich die Risikoanalyse bezieht, das laufende und die nächsten beiden Geschäftsjahre.
4
Die Aggregation von Risiken
4.1 Vorbemerkungen
Gemäß § 91 (2) AktG hat der Vorstand einer Aktiengesellschaft „ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Die Umsetzung dieser Anforderung wurde seit ihrer Einführung durch das KonTraG von Theorie und Praxis intensiv diskutiert.34 34
Vgl. überblicksartig Heiden u. Weiss 2002
Die Aggregation von Risiken bei der SAP AG
63
Mit Blick auf die hier thematisierte Risikoaggregation erscheinen grundsätzlich zwei Vorgehensweisen denkbar: Zum einen können die Risiken Top-down durch eine Serie von Interviews mit dem Management bestimmt werden. Anschließend werden Maßnahmen zur Abschwächung der Risiken und Personen, die für die Durchführung und Überwachung der Maßnahmen verantwortlich sind, bestimmt. Dieser Ansatz wird von sehr vielen Aktiengesellschaften verfolgt und hat einen eher strategischen Fokus. Die Anzahl der so in Betracht gezogenen Risiken liegt üblicherweise in der Größenordnung von maximal 100 Risiken und ist damit relativ gering. Das Risikoinventar ist stabil, da eine (Neu-)Erhebung der Risiken für längere Zeiträume als ein Geschäftsjahr erfolgt. Dieser Ansatz zielt zwar direkt auf die Bestimmung bestandsgefährdender Risiken ab, jedoch können manche Risiken erst im Zusammenspiel bestandsgefährdend werden, was auch hier die Notwendigkeit für eine Aggregation von Risiken entstehen lässt. Zwar mit einem höheren Aufwand verbunden, ist es zum anderen der Bottom-up-Ansatz, der es ermöglicht, Risiken in einer wesentlich feineren Granularität zu erfassen. Hierzu wird zunächst die Wertschöpfungskette des Unternehmens untersucht: Alle Aktivitäten die einen relevanten Beitrag für den geschäftlichen Erfolg des Unternehmens leisten, werden einem formalen Risikomanagementprozess unterworfen. Damit sind z. B. Projekte oder Geschäftsanbahnungsvorgänge gemeint, deren Zahl konzernweit in die Hunderte gehen kann. Risiken von über einzelne Projekte hinausgehender Relevanz müssen aus dem vorhandenen Risikoinventar erschlossen werden. In diesem idealen Bottom-up-Ansatz können bestandsgefährdende Risiken dann durch Aggregation aus dem Risikoinventar abgeleitet werden. Durch die Ausrichtung an der Wertschöpfungskette hat dieser Ansatz eine deutlich operativere Orientierung als der Top-downAnsatz. Die SAP entschied sich Elemente beider Ansätze zu verwenden. Wie schon erläutert, ist ein sehr großer Teil der Geschäftstätigkeit in Projekten organisiert, die sich stark voneinander unterscheiden. Das legt eine stärker operative Orientierung des Risikomanagements nahe, die sich auch historisch motivieren lässt: Lange bevor gesetzliche und andere regulatorische Anforderungen zur Einführung eines konzernweiten Risikomanagementsystems führten, war Risikomanagement weltweit als Teil von SAPBeratungsprojekten etabliert worden.35 Dies war allerdings auf die Projekte selbst beschränkt, d. h. eine projektübergreifende Aggregation von Risiken fand nicht statt. Beim Aufbau des Risikomanagementsystems mussten er35 Der Ansatz basiert auf dem „Guide to the Project Management Body of Knowledge“ (PMBOK, ANSI Standard 99-001-2000).
64
Dirk Metzger
gänzend noch weitere Risikobereiche in Betracht gezogen werden. Alle nicht projektgetriebenen Bereiche - wie etwa die Zentralabteilungen - führen nun, derselben Methodik folgend, regelmäßige Risk Assessments durch, wobei Risiken oftmals direkt auf Ebenen der Konzernführung betrachtet werden (Beispiele: Währungsrisiko, Risiken aus M&A Aktivitäten). Dies kommt im Projektumfeld recht selten vor, außer vielleicht bei Einzelrisiken aus sehr großen Kundenprojekten. Der unmittelbare Nutzen von Risikomanagement ist für die Projekte hoch, was auch den vergleichsweise höheren Aufwand zu den quartalsweisen Bewertungen rechtfertigt. Risikomanagement trägt durch erhöhte Sicherheit (Gegenmaßnahmen) und Transparenz (gezielte Lenkung der Aufmerksamkeit des Managements) entscheidend zu einem verbesserten Projekterfolg bei. Dem steht die jetzt zwingende Notwendigkeit zur Aggregation der stark fragmentierten Information gegenüber, um die Risikodaten den Entscheidungsträgern in der Führungshierarchie zugänglich zu machen und damit den Nutzen des Projektrisikomanagements auch über das Projekt hinaus zu kommunizieren. Der unmittelbare Nutzen regelmäßiger Top-down-Assessments für bestimmte berichtspflichtige Bereiche selbst ist hingegen etwas geringer. Die als Antwort auf die Risiken getroffenen Maßnahmen ergeben sich oft als natürlicher Teil der ohnehin durchzuführenden Tätigkeiten (Beispiel Hedging im Treasury), so dass formales Risikomanagement eher von gesetzlichen Anforderungen getrieben wird, natürlich aber auch für die Geschäftsführung direkt interessante und relevante Resultate erzeugt. Angesichts der großen Zahl der dokumentierten Risiken ist die Aggregation der Risikomanagementinformation für Berichtszwecke eine Notwendigkeit. Nicht zuletzt auch um den beteiligten Mitarbeitern die Nutzung dazu notwendiger Tools (Tabellen, Datenbanken) zu verdeutlichen, da nur so eine Wirkung über die konkrete Arbeit hinaus erzeugt wird. Neben den beschriebenen betrieblichen Anforderungen gibt es auch regulatorische Anforderungen zur Aggregation. Laut IDW PS 34036 umfasst die Analyse von Risiken ausdrücklich auch die quantitative Beurteilung von Eintrittswahrscheinlichkeiten und Auswirkungen, sowie – als Treiber der Risikoaggregation – die Einschätzung, ob Einzelrisiken durch Interaktion oder Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko führen können. Eine Aggregation von Risiken ist auf zwei Arten denkbar: Zum einen können textlich vorliegende Informationen verdichtet werden (semantische Aggregation), zum anderen können mathematische Attribute der Risiken 36
Institut der Wirtschaftsprüfer (IDW), Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB
Die Aggregation von Risiken bei der SAP AG
65
wie monetäre Verlustinformationen oder Wahrscheinlichkeiten zusammengefasst werden (mathematische Aggregation). Die dargestellte Erweiterung des Risikomanagement-Ausgangsmodells wurde im September 2006 vor allem unter dem Aspekt einer verbesserten Risikoaggregation von der SAP vorgenommen. Es gilt mit Hilfe der Aggregation eine Verbindung zwischen den Risiken, die auf operativer Ebene erhoben werden, und den eher strategischen Risiken zu schaffen. Da der quantitative Ansatz bisher nur für die Konzernsicht anwendbar war – nur hier war eine Übersetzung der Impact-Werte in Zahlenwerte möglich – ist die mit dem erweiterten Modell eingeführte durchgängige Quantifizierung aller Risiken hierfür Voraussetzung. Im Folgenden werden diese beiden grundsätzlichen Formen der Risikoaggregation näher betrachtet. Dabei wird zunächst jeweils die ursprüngliche Situation vor September 2006 beleuchtet, bevor die Auswirkungen der Einführung einer veränderten Risikobewertung aufgezeigt werden. Alle vorgestellten Methoden zur Aggregation von Risiken wurden und werden auf das gesamte Risikoinventar angewendet. Ob sich zu einem späteren Zeitpunkt herausstellen wird, dass sich bestimmte Typen von Risiken dafür mehr eignen als andere, ist derzeit noch offen. 4.2 Semantische Aggregation
Bestimmte Risiken können in einer Reihe von Projekten oder Bereichen auftreten. Wenn diese Risiken für sich genommen auch nicht von bereichsübergreifender Relevanz sind, können sie dennoch zusammengenommen eine wichtige Information für das Management darstellen und die Ergreifung geeigneter bereichsübergreifender Maßnahmen erfordern. Beispielsweise mag es in mehreren Ländern kleinere Risiken im Zusammenhang mit dem Vertrieb eines bestimmten Produktes geben. Hinter diesen Einzelrisiken kann sich jedoch ein größeres Produktproblem (d. h. ein aggregiertes Risiko) verbergen. Es erhöht den Mehrwert von Risikomanagement deutlich, die als Text vorliegenden Risikoinformationen im Hinblick auf wiederkehrende oder zusammenhängende Themen zu durchsuchen, eine Möglichkeit, die ohne einen Aggregationsmechanismus ungenutzt bliebe. Bei der SAP wird eine semantische Aggregation auf zwei Arten durchgeführt: • Im Rahmen der quartalsweisen Risikoberichterstattung sind die Risikomanager aufgefordert, für ihren Zuständigkeitsbereich „Trends“ zu identifizieren, deren Formulierung sich aus aggregierter Risikoinformation ergibt. Trends werden als freier Text ohne quantitative Beurteilung for-
66
Dirk Metzger
muliert und geben Auskunft darüber, wie hoch das Risiko durch den beschriebenen Sachverhalt eingeschätzt wird (visualisiert in einer Ampel) und wie er sich über das letzte Quartal verändert hat (visualisiert durch einen nach oben, nach unten oder waagrecht zeigenden Pfeil). • Risikomanager können immer, also auch außerhalb existierender Berichtszyklen, Risiken in einem „linked risk“ zusammenführen. Die in einzelnen Organisationseinheiten gelisteten Risiken werden dabei durch ein einzelnes, auf einer übergeordneten Organisationseinheit geführtes Risiko ersetzt. Dieses aggregierte Risiko wird neu beschrieben und durch einen Experten bewertet. Die Projekte oder Organisationseinheiten, in denen das Risiko ursprünglich berichtet wurde, können das aggregierte Risiko durch Erstellung eines Links sichtbar machen, allerdings nicht mehr selbst verändern. Voraussetzung für die Benutzung dieses Mechanismus ist die Relevanz und das Ergreifen von Maßnahmen auf der aggregierten Ebene. Die semantische Aggregation lässt sich naturbedingt nur schlecht automatisieren und bedeutet daher Mehraufwand, der allerdings überschaubar ist, da das Risikoinventar ohnehin durch die Risikomanager regelmäßig gesichtet wird. Eine weitere Voraussetzung ist eine funktionierende Kommunikation, die bei der SAP durch das konzernweite Risikomanagementnetzwerk gegeben ist. Die quartalsweise Berichtserstattung erfolgt auf jeder der vier Stufen der Risikomanagementorganisation. Semantisch aggregierte Risikoinformation erreicht somit auch den Vorstand der SAP AG. Die Einführung des erweiterten Modells hat auf die semantische Aggregation keinen direkten Einfluss. Jedoch wurden zusätzliche technische Möglichkeiten geschaffen, um das Arbeiten mit als Text vorliegender Information zu verbessern. In der Risikomanagementanwendung der SAP kann man nun nach Stichworten suchen, was das Auffinden von Risiken mit zusammenhängenden Inhalten und deren Weiterverarbeitung (Trend, technisch gelinktes Risiko) erleichtert. Die Beobachtung der zeitlichen Entwicklung einer Sammlung von Risiken, geordnet z. B. nach Risikoklassen (Common Risks), die nun ebenfalls, wie weiter unten erläutert, auf allen vier Risikoberichtsebenen zur Verfügung steht, ist gleichfalls ein guter Ideengeber für die semantische Aggregation. Der Nutzen der semantischen Aggregation wird in dem so erweiterten Modell also indirekt erhöht.
Die Aggregation von Risiken bei der SAP AG
67
4.3 Mathematische Aggregation
Bis September 2006 war es der jeweiligen Organisationseinheit freigestellt Risiken quantitativ zu bewerten. Da eine qualitative Einschätzung wesentlich einfacher durchzuführen ist und die Festlegung auf eine konkrete Zahl gerne vermieden wird, war nur der geringere Teil des Risikoinventars quantitativ bewertet, was eine mathematische Aggregation der Risiken erschwerte. Gruppierung und Korrelationen
Die einfachste Art, quantitativ bewertete Risiken mathematisch zu aggregieren, ist die so genannte Gruppierung. Die Gruppierung von Risiken war im Ursprungsmodell nur für quantitativ bewertete Risiken möglich. Da seither alle Risiken quantitativ bewertet vorliegen, ist es nun prinzipiell möglich, alle Risiken zu gruppieren. Als Voraussetzung müssen Risiken unter einer Aktivität (z. B. einer wichtigen Vertriebsgelegenheit oder einem Länderrisikobericht) gelistet sein. Es kommt vor, dass mehrere Risiken möglicherweise ein- und denselben Verlust aus unterschiedlichen Ursachen zur Folge haben. Der Verlust einer Vertriebsmöglichkeit etwa kann dadurch ausgelöst werden, dass sich der potenzielle Kunde aus Kostengründen für einen anderen Anbieter entscheidet, oder weil ein Produkt nicht in der Lage ist, alle Anforderungen des Kunden zu befriedigen. Zunächst werden beide Risiken unabhängig aufgelistet, z. B. um eine separate Maßnahmenplanung zu gewährleisten. Der geschätzte totale Verlust wäre in beiden Fällen der entgangene Umsatz, jedoch kann die Vertriebsmöglichkeit nicht zwei Mal verloren gehen. Deshalb ist es möglich, die Risiken in einer Gruppe zusammenzufassen. Für gruppierte Risiken kann ein Wert für den maximalen Verlust und die Eintrittswahrscheinlichkeit neu festgelegt werden. Für alle weiteren Berechnungen werden die Einzelrisiken zu Gunsten der Gruppe dann als ein Risiko betrachtet. Es ist möglich, beliebig viele Risiken zu gruppieren. Die Gruppierung von Risiken ist auch eine einfache Art, Korrelationen zwischen Risiken zu berücksichtigen. Risiken werden gruppiert, weil sie nicht unabhängig voneinander sind – auch im statistischen Sinne. Bei der SAP werden generell Korrelationen von Risiken nicht berücksichtigt, da näherungsweise davon ausgegangen wird, dass Risiken unabhängig voneinander sind. Dies hat mehrere Gründe: Zum einen kann man davon ausgehen, dass die im Risikomanagement betrachteten Aktivitäten, wie z. B. Implementierungsprojekte, unabhängig voneinander sind. Mehrere gleichzeitige, risikomanagementrelevante Aktivitäten einen Kunden betreffend
68
Dirk Metzger
(z. B. Implementierungsprojekt, kundenspezifisches Entwicklungsprojekt) werden gemeinsam bewertet. Zum anderen werden Risiken innerhalb einer Aktivität durch geschickte Gruppierung unabhängig voneinander gemacht. Schließlich ist es in Abwesenheit statistischen Datenmaterials nicht möglich, Korrelationen mathematisch zu bestimmen – man wäre also auch hier auf Expertenschätzungen angewiesen. Da Menschen schon Schwierigkeiten haben, Wahrscheinlichkeiten realistisch zu schätzen, ist dies für Korrelationen mehr oder weniger unmöglich. Da Korrelationen aus den genannten Gründen eher sehr klein sein dürften, liegt der unkorrelierte Fall sicherlich im Rahmen des möglichen Schätzfehlers. Man kann also auf eine weitere Komplikation des mathematischen Modells durch Korrelationen verzichten, ohne einen Fehler zu machen, der die Genauigkeit der Schätzungen signifikant herabsetzt. Aggregation
Bei der SAP sind auf jeder der vier Berichtsebenen aggregierte Aussagen für die folgenden Zusammenstellungen von Risiken von Interesse: • Risiken einer bestimmten Aktivität (Beispiel Entwicklungsprogramm SAP NetWeaver), • Risiken eines bestimmten Aktivitätstyps (Beispiel Länderrisikobericht), • Risiken eines Bereiches (Beispiel Landesgesellschaft) und • Risiken eines bestimmten Common Risks (Beispiel legale Risiken). Die im vorliegenden Modell mathematisch bestimmten Aggregate sind die Summe der Total-Loss-Werte der Einzelrisiken, die Summe der Expected-Loss-Werte der Einzelrisiken und die Bestimmung eines Gesamtrisikoniveaus. Die Summe aller Total-Loss-Werte ist der Verlust, der realisiert wird, wenn alle Einzelrisiken gleichzeitig eintreten. Die Wahrscheinlichkeit hierfür sinkt exponentiell mit der Anzahl der Risiken, ist sie doch das Produkt aus den Einzelwahrscheinlichkeiten der als unabhängig angenommenen Risiken. Aggregierte Total-Loss-Werte sind in der Regel vergleichsweise groß, steigen proportional zur Anzahl der Risiken und übersteigen den Wert (z. B. Umsatz einer Geschäftseinheit, Volumen eines Projekts) ihrer Bezugsgröße oft um ein Vielfaches. Die triviale Information, die in dieser Zahl steckt, lässt sich einfach zusammenfassen: Wenn das sehr unwahrscheinliche Szenario Wirklichkeit würde, dass sämtliche Einzelrisiken gleichzeitig eintreten, wäre die Going-Concern-Prämisse nicht mehr haltbar. Dennoch ist die Betrachtung von Total-Loss-Werten aufschlussreich. Für Einzelrisiken oder eine kleinere Zusammenstellung von Risiken ist es
Die Aggregation von Risiken bei der SAP AG
69
durchaus sinnvoll, die summierten Werte zu betrachten. Bleiben diese auch bei einer großen Zahl von Risiken in etwa konstant, können Veränderungen des Wertes über die Zeit als Erhöhung oder Verringerung des inhärenten Risikos interpretiert werden und entsprechend Aktionen auslösen. Zusätzlich kann der Total-Loss von Teilbereichen zum Total-Loss-Wert des Gesamtbereiches in Relation gesetzt werden. Es lässt sich so ermitteln, welche Teilbereiche ein relativ höheres Risiko zu tragen haben, um anschließend zu ermitteln, ob dies unternehmerisch so gewollt oder wirtschaftlich sinnvoll ist. Ähnlich verhält es sich mit den Expected-Loss-Werten. Erwartungswerte sind additiv, es ist also mathematisch korrekt die Werte zu addieren. Die Summe der Expected-Loss-Werte ist der Verlust, der bei einer zufälligen Situation (einige Risiken treten ein, andere nicht) am wahrscheinlichsten eintreten wird. Da die Anzahl der möglichen Situationen bei einer hohen Zahl von betrachteten Risiken quasi unendlich ist (bei nur 20 binären Risiken ist die Anzahl der möglichen Situationen bereits 210=1.048.576), ist die Wahrscheinlichkeit hierfür natürlich extrem klein. Der absolute Wert des Expected-Loss liegt noch in der Größenordnung des Total-Loss, bei einer symmetrischen Verteilung der Total-Loss-Werte der Einzelrisiken um ihren Mittelwert, etwa bei der Hälfte. Beim Expected-Loss lassen sich dennoch, wie oben beschrieben, über die Betrachtung von kleineren Aggregaten, Zeitreihen oder relativen Werten sinnvolle Aussagen gewinnen. Eine weitere Schwierigkeit bei der Verwendung der mathematischen Aggregation bestand darin, dass nicht alle Risiken quantitativ bewertet wurden, sodass zunächst nur wenige Total-Loss- oder Expected-LossWerte zur Verfügung standen. Es bot sich dennoch eine Möglichkeit, auf globaler Ebene zu Aussagen zu kommen. Wie oben beschrieben, trägt jedes Risiko einen qualitativen globalen Impact-Wert, zu dessen Bestimmung die globale Impact-Matrix (Tabelle 3) herangezogen wird. Umgekehrt lassen sich aus den Impact-Werten also Schätzwerte für den TotalLoss ermitteln, die für Aggregationszwecke weiter verarbeitet werden können. Beispielsweise wird einem Risiko mit globalem Impact „3“ ein Total-Loss von 2,5 Mio. € (Mittelwert zwischen den Stufengrenzen) zugeordnet. Bei der SAP werden Total-Loss- und Expected-Loss-Werte als relative Werte für Bereiche, Risikoklassen (als Beispiel in Tabelle 6) und Aktivitätsklassen berichtet. Dabei werden die Einzelwerte zur Summe aller Werte in Relation gesetzt. Statt von Total-Loss und Expected-Loss, wird in diesem Zusammenhang von gewichtetem (aus dem Expected-Loss ermittelt) und nicht gewichtetem Risiko Exposure (aus dem Total-Loss ermittelt) gesprochen. Auch die prozentuale Differenz zum Berichtswert des letzten Quartals wird ausgewiesen.
70
Dirk Metzger
Tabelle 6. Beispielhaftes Risikoprotokoll
Risiko nach Operationellen Kernrisiken Operationelles Kernrisiko
Gesamtwirtschaftlich Markt Personalwirtschaftlich Strategische Planung Organisation, Compliance und Governance Kommunikation und Information Finanz Produkt Projekt Sonstige
Total % Risiko 3,87 % 14,94 % 6,61 % 7,94 % 5,72 % 1,16 % 5,08 % 14,13 % 24,94 % 15,62 %
∆ zum letzten Quartal -0,23 % -0,1 % +1,64 % +1,92 % -2,29 % +0,54 % -1,44 % -2,13 % +0,45 % +1,6 %
Die Ermittlung einer absoluten Gesamtrisikoposition erscheint aus den beschriebenen Gründen nicht sinnvoll. Eine qualitative Aussage hierzu ist gemäß den Anforderungen des Deutschen Rechnungslegungsstandards jedoch erforderlich. Für einige spezifische Typen von Risiken werden als Ausnahme zusätzlich Berechnungen nach der Value-at-Risk (VaR) Methode angestellt. Der Value-at-Risk ist der höchste mögliche Verlust, der in einer gegebenen Zeitspanne mit der Wahrscheinlichkeit α nicht überschritten wird. Für Eskalationskosten und Kosten aus Rechtsstreitigkeiten ist es möglich, genauere Angaben über den maximalen zu erwartenden Verlust (Total-Loss) und die Eintrittswahrscheinlichkeit des Ereignisses zu machen. Außerdem liegen Daten über in der Vergangenheit eingetretene Schäden vor. Der VaR wird auf Basis einer Zeitreihenanalyse gebildet. Ausgangspunkt hierfür sind die jeweiligen historischen Datensätze von früheren erwarteten Aufwendungen, getätigten Auszahlungen, erbrachten Rückstellungen sowie die Anzahl existierender Risiken des betrachteten Quartals. Die SAP stellt den VaR95 (α=95 %) für Eskalationskosten und Kosten aus Rechtsstreitigkeiten als Teil des quartalsweisen Risikoberichtes an den Vorstand dar.37 Die Abteilung Corporate Treasury ermittelt zusätzlich regelmäßig VaR-Daten zu den Währungsrisiken.38 Eine weitere Möglichkeit der mathematischen Aggregation stellt die Ermittlung eines aggregierten Risikoniveaus dar. Hierzu wurden bis Sep37
Bei allen VaR Berechnungen können wegen der statistischen Natur der Daten Korrelationen berücksichtigt werden. 38 Vgl. weiterführend z. B. Jorion 2007 und Leitermann 2005
Die Aggregation von Risiken bei der SAP AG
71
tember 2006 die Risikoniveaus der das Aggregat konstituierenden Risiken betrachtet, z. B. alle Risiken eines Bereiches. Die Bestimmung geschah nach den folgenden Regeln: • Das Risikoniveau des Aggregates wurde durch das höchste Risikoniveau aller enthaltenen Einzelrisiken bestimmt, d. h. wenn die betrachteten Risikoniveaus hoch sind, ist das Risikoniveau des Paketes ebenfalls „hoch“. • Ausnahmen von obiger Regel: Wenn die Anzahl der hohen Risiken im Aggregat weniger als 5 % ausmacht, ist das Risikoniveau nur „mittel“. Wenn 90 % der Risiken im Aggregat „mittleren“ Niveaus sind, wird das Aggregat mit „hoch“ bewertet. Wenn keine „hohen“ Risiken vorhanden sind und die Anzahl der mittleren Risiken kleiner als 40 % beträgt, ist das Risikoniveau „niedrig“. Diese Regeln waren in der Analysefunktion der SAP-eigenen Risikomanagement-Applikation implementiert und standen damit den Risikomanagern zur Verfügung. Wegen der relativ groben, dreistufigen Unterscheidung der Risikoniveaus ließen sich Vergleiche allerdings nur bedingt anstellen. Man konnte z. B. zwei Risikokategorien, die insgesamt beide mit „hoch“ bewertet wurden, keinen weiteren Unterschied ansehen, der zu Vergleichszwecken geeignet gewesen wäre. Die relative Gegenüberstellung von Total- und Expected-Loss-Werten wurde daher bevorzugt. Die Aggregation von Risikoniveaus hatte daher in der betrieblichen Praxis bei SAP keine Bedeutung. Entwicklung seit September 2006
Die unter dem Ausgangsmodell beschriebene Zusammenstellung von Risiken und die zugehörigen mathematischen Aggregate werden genauso seit September 2006 betrachtet. Hierbei gibt es allerdings zwei wichtige Unterschiede: 1. Die Total-Loss-Werte und Expected-Loss-Werte werden getrennt für ungeplante, zusätzliche Kosten und Umsatzeinbußen dargestellt. Dadurch lässt sich klar trennen, welcher Teil des Aggregates auf eher weiche Faktoren wie den Wert der Marke oder die Kundenzufriedenheit zielt und welcher Teil unmittelbar höhere Kosten zur Folge hat. Die Interpretation der aufsummierten Werte bleibt aber schwierig. 2. Die durchgängige Quantifizierung der Risiken ermöglicht eine sinnvolle Auswertung aller dargestellten Aggregate aus Sicht aller organisatorischen Ebenen, nicht nur der Konzernebene. Im alten Modell konnten für quantitative Analysen unterhalb der Konzernebene nur
72
Dirk Metzger
die auch quantitativ bewerteten Risiken in Betracht genommen werden, die den kleineren Bruchteil der gesamten Risiken darstellten. Eine interessante zusätzliche Möglichkeit, die auf der Quantifizierung beruht, ist die Ermittlung eines Risikoniveaus für jede beliebige Zusammenstellung von Risiken, bewertet aus Sicht einer bestimmten Organisationseinheit. Voraussetzung ist, dass für diesen Bereich eine Impact-Matrix existiert. Wie im Abschnitt Bewertung erläutert, lässt sich jedem Risiko ein so genannter PxI-Wert zuordnen, der das Produkt der Eintrittswahrscheinlichkeit und des Impact-Wertes auf der 5-stufigen Skala darstellt: 0 < PxI < 5. Der Impact ist abhängig von der Sichtweise und bestimmt durch die erwähnte organisationsabhängige Impact-Matrix. Betrachtet man ein Aggregat von Risiken, z. B. alle Produktrisiken einer Landesgesellschaft, lässt sich das Gesamtrisikoniveau wie folgt ermitteln: Für jedes i-te Risiko bestimmt man zunächst den Impact Wert Ii abhängig von der Impact-Level-Matrix (Tabelle 7), die für die Landesgesellschaft gepflegt ist. Tabelle 7. Impact Niveau Matrix Quantitativer Impact (Total Loss) 1 = € 0–€ 199,999 2 = € 200,00–€ 499,999 3 = € 500,000–€ 999,999 4 = € 1,000,000–€ 4,999,999 5 = > € 5,000,000
Qualitativer Impact 1 = Unbedeutend 2 = Klein 3 = Mittel 4 = Groß 5 = Katastrophal
Einem maximalen Verlust von 750 T€ würde im vorliegenden Beispiel ein Impact-Wert von 3 (mittel) zugeordnet werden. Beträgt die Eintrittswahrscheinlichkeit des Risikos Pi=50 % errechnet sich PxIi = 1,5. Jeder risikotragenden Aktivität (Beispiel Beratungsprojekt) ist ein Schwellenwert (AVi) zugewiesen, der die Grenze für katastrophale Auswirkungen eines Einzelrisikos auf diese Aktivität markiert. Im Allgemeinen wird die Größe dieses Schwellenwertes eng mit der Bedeutung der Aktivität zusammenhängen. Bei der Berechnung des aggregierten PxIgesamt Wertes für eine Sammlung von Risiken werden diese daher gemittelt, gewichtet mit den zugehörigen Schwellenwerten AVi:
∑ PxI ⋅ AV = ∑ AV i
PxI gesamt
i
i
i
i
.
Die Aggregation von Risiken bei der SAP AG
73
Will man dem Schwellenwert eine noch stärkere Bedeutung zumessen, kann dieser auch quadratisch in die Berechnung eingehen:
∑ PxI ⋅ AV = ∑ ( AV ) i
PxI gesamt
2
i
i
2
.
i
i
Zum Zeitpunkt des Erscheinens dieses Beitrags liegen noch nicht genug praktische Erfahrungen vor, um abschließend feststellen zu können, welche Methode aussagekräftiger ist. Erste Ergebnisse weisen aber darauf hin, dass der Unterschied in der praktischen Anwendung bei der SAP relativ gering sein dürfte. Der PxI Wert ist als ein kontinuierliches Risikoniveau zu interpretieren. Eine Verbindung zu dem immer noch gebräuchlichen, diskret dreistufigen Risiko Level lässt sich wie in Tabelle 8 gezeigt leicht herstellen. Tabelle 8. Zuordnung von PxI Werten zu Risikoniveaus Untergrenze PxI 0,0 1,1 3,0
Risikoniveau Niedrig Mittel Hoch
Mit Hilfe diese Konzeptes lassen sich also einfache Vergleiche der Risikoträchtigkeit von Bereichen, bestimmten Projekttypen oder Risikokategorien herstellen, ohne einen direkten Rückgriff auf die monetären Bewertungen vornehmen zu müssen, was unter Umständen Probleme und Diskussionsbedarf bei der Interpretation der Zahlen aufwerfen könnte.
5
Würdigung der Risikoaggregation bei der SAP
Betriebliche Anforderungen haben bei der SAP dazu geführt, dass Risikomanagement schon vor der Einführung eines unternehmensweit einheitlichen Risikomanagementsystems ein Thema war. Risikomanagement war schon seit 1998 in einigen Landesgesellschaften ein Muss für SAPgeführte Software-Implementierungsprojekte. Im Jahre 2001 wurde durch den CEO erstmalig eine verbindliche Risikomanagement-Richtlinie für die Beratungsorganisation erlassen. Auch für Produktentwicklungsprojekte und kundenspezifische Entwicklungen gab es eine uneinheitliche, aber existierende Risikomanagement-Praxis. Als im Jahre 2003, in Reaktion auf
74
Dirk Metzger
steigende regulatorische Anforderungen, mit der Implementierung eines einheitlichen Risikomanagementsystems begonnen wurde, war es ein erklärtes Ziel auf dem aufzubauen, was bisher geleistet wurde, um den Anforderungen aus dem KonTraG zu genügen. Damit rückte aber auch die Frage nach der Aggregation von Risiken in den Vordergrund. Während Risikomanagement in der Anfangsphase in der Hauptsache eine Angelegenheit von Projektleitern war, stellt sich im Verbund eines Risikomanagementsystems die Frage, wie die gewonnenen Aussagen aus der zentralen Risikomanagementapplikation Entscheidungsträgern zugänglich gemacht werden können. Eine weitere Herausforderung ist die Verbindung der Bottom-up aus der Projektwelt gewonnenen Information mit der Top-down erarbeiteten Risikoinformation aus Sicht der Konzernführung. Bedenkt man die sehr große Anzahl von mehreren tausend Risiken, die bei der SAP betrachtet werden, wird die Komplexität dieser Aufgabe deutlich. Als erste Antwort wurden mit den bestehenden Mitteln bis September 2006 aggregierte Risikoberichte auf vier kaskadierenden Hierarchieebenen erzeugt. Ein Problem dabei war sicherlich, dass das Design des Risikomanagementmodells nicht in ausreichendem Maße auf die Risikoaggregation ausgerichtet war. Die industrielle Praxis für operationelles Risikomanagement war (und ist immer noch) in der Entwicklung begriffen. Am weitesten fortgeschritten sind in dieser Hinsicht sicherlich Banken und Versicherungen. Allerdings lassen sich Ergebnisse aus der Finanzindustrie nur bedingt auf ein Softwareunternehmen übertragen, da sich die Geschäftsprozesse zum großen Teil nicht einfach in Zahlen beschreiben lassen, die für die Zwecke des Risikomanagements unmittelbar verwendbar wären. Ein weiterer Schritt in Richtung einer Quantifizierung der Risiken stellt das im September 2006 eingeführte erweiterte Modell dar. Trotz bestehender Schwierigkeiten werden aggregierte Risikoinformationen, vor allem auch semantisch aggregierte Informationen, von Entscheidungsträgern aller Ebenen als entscheidungsrelevant empfunden, da sie die Aufmerksamkeit auf Sachverhalte lenken können, die aus anderen Regelberichten nicht hervorgehen. Ein Fehlen an mathematischer Rigorosität – verbesserte statistische Darstellung der Zahlenwerte durch Ermittlung von z. B. Standardabweichungen oder dem Abschätzen von Verteilungsfunktionen – hat sich dabei bis dato nicht als nachteilig erwiesen. Maßnahmen, die auf Basis dieser Information ergriffen werden, sind regelmäßig die Folge der Berichte. Neben der Konzernspitze erhält auch der Aufsichtsratsvorsitzende der SAP AG quartalsweise aggregierte Risikoinformationen, was eine unabhängige Bewertung der Risiken gewährleistet. Die interne Risikoberichterstattung ist auch Grundlage des Risikoberichts im Lagebericht als Teil des Geschäftsberichtes. Somit sind auch die Aus-
Die Aggregation von Risiken bei der SAP AG
75
führungen im ersten Abschnitt als Produkt aggregierter Risikoinformation zu sehen. Zusammenfassend lässt sich feststellen, dass die Aggregation von Risiken eine der wichtigsten Aufgaben der zentralen Risikomanagementfunktion der SAP ist, die mit den zur Verfügung stehenden Mitteln erfolgreich gemeistert wird und weiterentwickelt werden soll.
6
Ausblick
Um die mathematische Aggregation von Risiken weiter verbessern zu können, bedarf es eines größeren Augenmerks auf die statistische Natur der Risikodaten. Diskutiert wird die Verwendung von n-Punkt-Schätzungen für die Perzentile der Verlustverteilung. Das allerdings setzt eine gewisse Professionalität im Umgang mit statistischen Methoden voraus, was von Mitarbeitern, deren Hauptaufgabe zum Beispiel als Projektleiter nicht Risikomanagement ist, vernünftigerweise nicht erwartet werden kann. Überhaupt muss der Aufwand für Risikomanagement in einem guten Verhältnis zu den erzielten Resultaten stehen, um auch in der Zukunft relevant zu bleiben. Eine Frage ist zum Beispiel, ob man hierfür die Anzahl der formal im Modell betrachteten Risiken und der damit verbundenen Aktivitäten reduziert. Ein sehr großer Nachteil dessen wäre sicherlich, dass die Risikomanagementorganisation hierdurch an Verbreitungstiefe verlieren würde. Aber gerade diese ist gewiss eine der größten Errungenschaften des existierenden Systems, auch im Vergleich zu anderen Firmen, deren Durchdringung von Risikomanagement in die Geschäftstätigkeit üblicherweise wesentlich geringer ist. Zu beachten ist, dass ein Mehr an Aggregation nicht zu einem Verlust von bestehender Risikomanagementkultur führen darf. Die SAP hat den flächendeckenden Einsatz von Monte-Carlo-Methoden zur Aggregation verworfen. Auch wenn dies mit Hilfe einschlägiger Softwarepakete technisch einfach möglich wäre, ist auch hier hohes wahrscheinlichkeitstheoretisches Wissen erforderlich. Die Resultate für Risikoaggregate sind nicht transparent, da sie gewissermaßen aus einer BlackBox kommen, die mögliche Fehler der Eingabewerte einfach weiterverarbeitet. Es gibt bei der SAP auch Überlegungen zur Verbesserung der semantischen Aggregation. Risiken wirken grundsätzlich, egal auf welcher hierarchischen Ebene, auf Geschäftsziele. Ordnet man nun jedes Risiko einem relevanten Geschäftsziel zu, lassen sich richtungweisende, aggregierte Aussagen über die Gefährdung dieses Zieles treffen. Da die Geschäftsziele
76
Dirk Metzger
in einem jährlichen Prozess aus der Unternehmensstrategie ab geleitet werden, eröffnet sich entlang der Zielhierarchie ein interessanter weiterer Aggregationspfad für Risikoinformationen. Das Verfahren wird gerade pilotiert, unterstützt durch die zentrale Risikomanagementapplikation. Fragestellungen, die um die Aggregation von Risiken kreisen, waren hierbei ein wichtiger Motor und Ideengeber für die Weiterentwicklung des Risikomanagementsystems der SAP AG. Sie werden es wohl auch in näherer Zukunft bleiben.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
Dietmar Krull, Sandra Simonides BLG LOGISTICS GROUP AG & Co. KG
1
Die BLG LOGISTICS GROUP
Die BLG LOGISTICS GROUP, ein mittelständisches deutsches Unternehmen der Logistikbranche, führt derzeit ein neues Risikomanagementsystem (RMS) ein. Dieses verfolgt einen pragmatischen und den mittelständischen Strukturen des Unternehmens angemessenen Ansatz der Risikoaggregation. Ein klar definierter Prozess der Risikoberichterstattung wird dabei das Wissen über Unternehmensrisiken sowie deren Kommunikation weiter verbessern. Die erhöhte Risikotransparenz dient damit letztlich dem Ziel, den proaktiven bzw. zeitnahen Umgang mit Risiken weiter zu fördern und trägt dazu bei, mögliche Gefährdungen für den nachhaltigen Erfolg des Unternehmens frühzeitig zu erkennen und zu minimieren. Das RMS befindet sich derzeit in der Einführungsphase und soll stufenweise in wenigen Jahren so ausgebaut werden, dass auch komplexere Risikostrukturen abgebildet und mathematisch berechnet werden können. Der vorliegende Beitrag spiegelt den derzeitigen Projektstand wider. 1.1 Geschäftsbereiche
Die BLG LOGISTICS GROUP ist auf die logistischen Kernkompetenzen AUTOMOBILE, CONTRACT und CONTAINER spezialisiert. Services und Informationstechnologie ergänzen das Leistungsspektrum. Das Unternehmen hat sich in den letzten Jahren sehr dynamisch entwickelt. In 2006 wurden mit ca. 6.900 Beschäftigten Umsatzerlöse von mehr
78
Dietmar Krull, Sandra Simonides
als 750 Mio. EUR und ein EBT von 55,0 Mio. € erzielt. Die Bilanzsumme betrug rund 740 Mio. €. Auf die BLG und ihre Beteiligungen entfällt heute ein Anteil von ca. 75 % am Gesamtumschlag der Bremischen Häfen. Vor allem die zunehmende Internationalisierung der Märkte wird dem Konzern zukünftig neue Chancen erschließen, aber auch komplexere Handlungsfelder mit sich bringen. Die Kernkompetenz des Geschäftsbereichs AUTOMOBILE liegt in der Bereitstellung der vollständigen Logistikkette für Fertigfahrzeuge von den Werken der Hersteller bis zu den Händlern im Bestimmungsland. Schwerpunkte bilden dabei das Exportgeschäft von Kraftfahrzeugen deutscher Hersteller sowie das Importgeschäft japanischer und koreanischer Hersteller einschließlich der Importe deutscher Hersteller aus den USA. Fast 1.500 Car Carrier (Roll on – Roll off Schiffe) steuern jährlich das BLGTerminal in Bremerhaven an. Wesentliche Dienstleistungen der Fahrzeuglogistik sind Umschlag, Lagerung und technische Aufbereitung sowie Speditions- und Transportlogistik per Schiene, Straße, Binnen- und Küstenschifffahrt. Mit jährlich rund 4,5 Millionen Fahrzeugen im gesamten Terminal- und Transportnetzwerk ist der Geschäftsbereich AUTOMOBILE in diesem Logistiksegment Marktführer in Europa. Der Geschäftsbereich CONTRACT bietet die Entwicklung und den Betrieb geschlossener Logistiksysteme für den individuellen Bedarf des Kunden. Er umfasst die Geschäftsfelder Autoteilelogistik, Industrie- und Handelslogistik sowie Seehafenlogistik. Über eigene Logistik-Zentren werden große Warenmengen nicht nur gelagert und kontrolliert, sondern vielfach auch bearbeitet, mit weiteren Komponenten verschiedener Zulieferer versehen, kommissioniert und verteilt. Der Geschäftsbereich CONTRACT zählt in diesem Bereich zu den führenden Akteuren in Deutschland. Der Geschäftsbereich CONTAINER ist vor allem im Containerumschlagsgeschäft tätig und betreibt eines der weltweit größten Terminalnetzwerke. Der Containerumschlag ist nach wie vor ein Wachstumsmarkt. Mit insgesamt 12,5 Millionen TEU39 hält der Geschäftsbereich CONTAINER die marktführende Stellung in Europa. Mit allen drei Geschäftsfeldern agiert die BLG damit in attraktiven und wachstumsstarken Märkten. Unter seinem Leitbild „BLG LOGISTICS: Let’s move better“ wird sich der Konzern auch zukünftig auf seine Kernkompetenzen in der Logistikbranche konzentrieren, um seine starke Marktposition zu festigen und auszubauen. Zugleich werden verstärkte Anstrengungen in Prozessoptimierung und Effizienzsteigerung zu Kosten-
39 Twenty Foot Equivalent Unit: Maßeinheit für die Container-Transportkapazität von Schiffen und Hafeneinrichtungen
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
79
einsparungen sowie zu einer zukunftsfähigen Ausrichtung des Konzerns beitragen. 1.2 Organisation
Die Organisation des Konzerns folgt mit den drei Geschäftsbereichen AUTOMOBILE, CONTRACT und CONTAINER einer klaren Struktur: Aufsichtsrat
Vorstand
Management-Holding
Geschäftsbereich AUTOMOBILE
Gesellschaft
Gesellschaft
Gesellschaft
Geschäftsbereich CONTRACT
Gesellschaft
Gesellschaft Gesellschaft
Geschäftsbereich Container
Gesellschaft
Gesellschaft
Gesellschaft
SERVICES
Bereiche
Abb. 16. Aufbauorganisation der BLG LOGISTICS GROUP
Die BLG LOGISTICS GROUP AG & Co. KG konzentriert sich als Management-Holding auf strategische Aufgabenstellungen. Hierzu zählen auch das Risikomanagement und das Zentralcontrolling. Weiterhin gehören übergreifende Beratungs- und Dienstleistungsfunktionen für die Konzerngesellschaften zu ihren Aufgaben. Den Geschäftsbereichen sind jeweils rechtliche Einheiten (Gesellschaften) zugeordnet. Die operative Führung der Geschäftsbereiche einschließlich der Verantwortung für die Umsetzung der Strategie und das Ergebnis obliegt den jeweiligen Geschäftsbereichsleitungen. Diese verantworten auch den Auftritt des Geschäftsbereiches nach innen und außen. Neben Vorstand und Geschäftsbereichsleitung bilden verschiedene Führungsgremien wichtige Elemente der Führungsorganisation. Sämtliche Organe und Gremien stellen mit ihren festen Tagungsfrequenzen auch ein wichtiges Element der Risikokommunikation dar.
80
2
Dietmar Krull, Sandra Simonides
Risiko und Risikokategorien
2.1 Definition
Unter einem Risiko verstehen wir die Möglichkeit einer für die Erreichung der Unternehmens- bzw. Konzernziele ungünstigen, gefährlichen oder gar existenzbedrohenden Entwicklung. Im Risikomanagement der BLG LOGISTICS GROUP wird inhaltlich zwischen operativen und strategischen Risiken unterschieden. Die operativen Einzelrisiken werden verschiedenen Kategorien und Subkategorien40 zugeordnet: Operative Risiken
• • • •
Finanzwirtschaftliche Risiken Marktrisiken Politische, rechtliche und soziale Risiken Leistungs- und Infrastrukturrisiken
Die Unterteilung in verschiedene Risikokategorien und -subkategorien erfolgte mit Blick auf die spezifischen Risiken der BLG LOGISTICS GROUP. Es handelt sich dabei insbesondere um die starke Abhängigkeit von Infrastruktur (Flächen, Anlagen, IT) und Personal. Ein besonderer Fokus liegt deshalb neben den strategischen auf den Leistungs- und Infrastrukturrisiken. Ausgehend von unserer ganzheitlichen Betrachtungsweise soll das Zusammenwirken von Risiken an Abb. 17 verdeutlicht werden. Die Risikokategorien, welche besonders im Fokus stehen, sind farblich hervorgehoben. Es ist jedoch davon auszugehen, dass Risiken immer in mehreren Dimensionen wirken. Die Überschneidungen der Kreise verdeutlichen hier unsere ganzheitliche Betrachtungsweise.
40 Die Subkategorien werden hier nicht weiter ausgeführt. Dazu zählen beispielsweise Zins- und Preisänderungsrisiken und Gewährleistungsrisiken.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
Strategische Risiken
81
Marktrisiken
Finanzwirtschaftliche Risiken
Leistungsund Infrastruktur risiken Politische, rechtliche, soziale Risiken
Abb. 17. Zusammenwirken der Risiken
2.2 Spezifische Risiken
Die Geschäftstätigkeit der BLG LOGISTICS GROUP erfordert eine sehr aufwendige Infra- und Suprastruktur41 einschließlich einer komplexen Informationstechnik. Die Logistikleistungen sind darüber hinaus besonders personalintensiv. Ein wichtiger Faktor für die Entwicklung des Unternehmens insgesamt ist die Globalisierung, die hinsichtlich Beschaffung, Produktion und Absatz von Waren und Gütern eine zunehmende internationale Arbeitsteilung und intensivierten Wettbewerb bewirkt. Kennzeichnend für unsere Geschäftsaktivitäten sind weiterhin tendenziell kurze Vertragslaufzeiten und Alle auf der Infrastruktur eines Hafens errichteten Anlagen, Einrichtungen und Gebäude, die für Umschlag, Lagerung und Verteilung von Gütern benutzt werden, bilden die Suprastruktur eines Hafens. Dazu gehören neben Umschlaganlagen und Lagerhallen auch private Verkehrsanlagen (Gleise, Betriebsstraßen, Krangleise). Errichtung und Betrieb der Suprastruktur obliegen dem Hafenbetreiber. 41
82
Dietmar Krull, Sandra Simonides
Geschäftsbeziehungen zu wenigen Großkunden. Von diesen Risikofaktoren sind alle Geschäftsbereiche betroffen. Insbesondere der Geschäftsbereich CONTRACT ist zusätzlich mit Risiken konfrontiert, die sich aus einer wachsenden Komplexität und Veränderungsgeschwindigkeit im Anforderungsprofil der Kunden ergeben. So muss sich beispielsweise das Geschäftsfeld Autoteilelogistik im Rahmen der Kontraktlogistik einem wachsenden Wettbewerbsdruck, aber auch steigenden Qualitätsanforderungen und kürzeren Innovationszyklen seitens der Automobilhersteller stellen. Der Geschäftsbereich CONTAINER ist dem scharfen Wettbewerb zwischen den Seehäfen und einem damit einhergehenden Preisdruck ausgesetzt. Die anhaltende Konkurrenzsituation zwischen den nordeuropäischen Hafenstandorten wäre durchaus geeignet, die Ertragslage zu beeinträchtigen. Ein weitergehendes Engagement asiatischer Hafengesellschaften in Europa würde den Wettbewerbsdruck auf Bremerhaven, Hamburg und zukünftig auch Wilhelmshaven noch weiter erhöhen.
3
Risikomanagementorganisation und -prozess
Die Zuständigkeit für das Risikomanagement der BLG LOGISTICS GROUP liegt innerhalb der Management-Holding im Bereich Steuern und Bilanzen. Hier werden auch die Lageberichte erstellt. Der Risikobericht als Teil des Lageberichtes hat in den letzten Jahren – nicht zuletzt durch den Gesetzgeber bedingt – eine erhebliche Aufwertung erfahren. Das externe Rechnungswesen und das Controlling wachsen jedoch immer mehr zusammen. Ein gemeinsames Berichtswesen mit einheitlichen Standards und Formaten soll zu einer Verbesserung in Bezug auf Inhalt, Qualität und Timing sowie insgesamt zu einer aussagefähigeren und effizienteren Berichterstattung führen. Das Risikomanagementsystem folgt einem integrierten Ansatz. Zur Steigerung der Effizienz wird es mit den bestehenden Leitungs- und Berichtswegen sowie Regelkreisen vernetzt. Dennoch ist das Risikomanagement von den einzelnen dezentralen Verantwortlichen frei und individuell durchzuführen. Die dezentrale Identifikation von Risiken erfolgt systematisch in Bezug auf Inhalt, Prozess sowie Zeitpunkt bzw. Zeitraum. Da einzelne Risiken und die gesamte Risikolage ständigen Veränderungen unterliegen, werden neue Risiken bei bekannt werden erfasst bzw. vorhandene Risiken aktualisiert und berichtet. Die Risikoidentifikation erstreckt sich auf sämtliche Funktionsbereiche sowie betriebliche Prozesse über alle Hierarchiestufen der Gruppe.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
83
Es wurden Berichtseinheiten definiert, in denen Risikoinventuren durchzuführen sind. Entspricht die Berichtseinheit einer rechtlichen Einheit, trägt der jeweilige kaufmännische Geschäftsführer die vollständige Verantwortung für das Risikomanagement (als Teil des Berichtswesens) seiner Berichtseinheit. Es bleibt ihm überlassen, einen weiteren Risikoverantwortlichen zu benennen, der für die Erfassung, Bewertung und Überwachung der Risiken zuständig ist. Von jeder Berichtseinheit werden mit dem Anspruch auf Vollständigkeit individuell Risiken identifiziert. Vor allem aber wird Augenmerk auf diejenigen Risiken gelegt, die zu einer Gefährdung des Unternehmensbestandes führen können. Dies erfolgt ungeachtet bereits bestehender Maßnahmen der Risikoeindämmung, welche an separater Stelle präzise erläutert werden und anschließend im Rahmen des Maßnahmencontrollings der Überwachung unterliegen. Ein explizites Nettorisiko wird allerdings nicht ermittelt. Aufsichtsrat
Vorstand
Risikomanagement
ZentralControlling
Geschäftsbereichsleitung AUTOMOBILE
Geschäftsbereichsleitung CONTRACT
Gruppengeschäftsführung Container
SERVICES
Geschäftsführung
Geschäftsführung
Geschäftsführung
Geschäftsführung
Geschäftsführung
Geschäftsführung
Geschäftsführung
Bereichsleitungen
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
Risikoverantwortliche
„Hierarchische Ordnung“ des RMS Kommunikationswege Auswertungen
Abb. 18. Struktur der Risikokommunikation
Die Organisation des Risikomanagementprozesses wurde in einer Risikorichtlinie festgehalten. Diese beinhaltet sowohl eine genaue Aufgabenverteilung als auch die Informationswege im Rahmen der Risikokommu-
84
Dietmar Krull, Sandra Simonides
nikation. Ein besonderer Fokus liegt dabei auf der Vermeidung konkurrierender Berichterstattung. Die nachfolgende Abb. 19. veranschaulicht die grundsätzliche Vorgehensweise des Risikomanagementprozesses. Es handelt sich um einen Prozess, der von Aktionen und Beteiligten auf unterschiedlichen Ebenen abhängt. Informationen und Aktionen sind sowohl buttom up als auch top down gerichtet. - Ad-hoc-Meldungen
- Ziele und Strategien
- Kommunikation von Risiken
- Richtlinienkompetenz
- Identifikation und Bewertung
- Überwachung und Kontrolle
- Risikobewusstes Verhalten
BOTTOM UP
TOP DOWN
Abb. 19. Grundsätzliche Vorgehensweise im Risikomanagementprozess
4
Bewertung und Aggregation von Risiken
4.1 Instrumente
Das Risikomanagementsystem der BLG LOGISTICS GROUP wird durch die datenbankgestützte Softwareapplikation MIS Risk Management technologisch unterstützt. Dieses System erfüllt durch eine klare Strukturierung der Risiken sowie eine klare Zuordnung der Risiken zu Verantwortlichen auf verschiedenen Ebenen die zentralen Anforderungen an den Risikomanagementprozess. Die Entscheidung zugunsten dieser technischen Lösung erfolgte insbesondere aufgrund der hohen Synergieeffekte. Innerhalb des zentralen Controllings ist bereits ein MIS Planungstool zur Bilanz- und Ergebnisplanung im Einsatz. Die hier gesammelten Daten werden nun konsistent auch im Risikomanagement verwendet, dort erweitert und ergänzt sowie schließlich wieder dem Controlling zugeführt. Die Risikomanagementapplikation bietet die Möglichkeit, vernetzte Informationen zeitnah zur Verfügung zu stellen und ist damit eine Kommu-
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
85
nikationsplattform, die den gezielten Austausch von Informationen zwischen Controlling und Risikomanagement ermöglicht. 4.2 Risikobewertungen
Die BLG LOGISTICS GROUP ist ein heterogener Konzern, da unterschiedlich große Berichtseinheiten und auch unterschiedliche Risikofelder vorliegen. Jeder Berichtseinheit stehen individuelle Relevanzklassen zur Risikobewertung zur Verfügung. Die Relevanzklassen dienen als einheitlicher Maßstab auf allen Berichtsebenen. Sie orientieren sich wertmäßig an den im jeweiligen Forecast bzw. der Planung ermittelten EBT-Zahlen. Die Risikoverantwortlichen bewerten durch Expertenschätzungen die Auswirkungen von Risiken quantitativ und qualitativ. Im Fokus steht grundsätzlich die Quantifizierung von Risiken. Qualitative Angaben sollen gleichwohl erfolgen, damit alle Beteiligten sich ein umfassendes Bild von jedem Risiko machen können. Auf eine quantitative Einschätzung von Risiken wird in Einzelfällen verzichtet, wenn diese nur schwer möglich ist. Die Höhe des Risikoeinflusses wird nach unterschiedlichen Gesichtspunkten betrachtet. Zuerst erfolgt die Zuordnung des Risikos in eine der Relevanzklassen. Anschließend wird der Einfluss des Risikos im laufenden Jahr bewertet (vgl. Abb. 20). Dieser Wert wird in einen in GuV oder Forecast bereits berücksichtigten bzw. nicht berücksichtigten Wert unterteilt. Über eine direkte Verknüpfung mit der Planungsdatenbank steht der aktuelle EBT-Forecast ständig zur Verfügung. In einem zweiten Schritt erfolgt die Bewertung des Risikos für den gesamten Zeitraum (Gesamtschadenhöhe). Dieser Einfluss bezieht sich immer auf den im jeweiligen Forecast ermittelten EBT.
86
Dietmar Krull, Sandra Simonides
Abb. 20. Softwaregestützte Expertenschätzung
Die Werte aus der Einschätzung der Höhe des Risikoeinflusses und dessen Eintrittswahrscheinlichkeit werden in einer multidimensionalen Datenbank abgelegt und stehen somit für Auswertungen zur Verfügung. Dabei wird die Expertenschätzung (Risikoeinfluss und Eintrittswahrscheinlichkeit) bewusst nicht zu einem Erwartungswert multipliziert, sondern als Zusatzinformationen zum EBT bzgl. Forecast und Planung verwendet. Die Expertenschätzung basiert auf den Erfahrungen und dem Fachwissen der jeweiligen Risikoverantwortlichen bzw. der hinzugezogenen Personen. Annahmen, Grundlagen einer Schätzung oder Berechnungsschemata sind zu dokumentieren. Dieser Ansatz der Expertenschätzung wurde gewählt, um die Risikobewertung für die Fachanwender im Rahmen der Einführung des Risikomanagementsystems zu erleichtern. Zurzeit stehen keine Schadensdatenbanken, Erfahrungswerte oder dergleichen zur Verfügung. Insbesondere wurde diese Methode jedoch gewählt, damit zunächst der zu beurteilende Sachverhalt im Vordergrund steht, bevor die abstrakte Statistik höhere Bedeutung gewinnt. Ziel ist es, zukünftig geeignete Sensitivitätsanalysen, szenariobasierte Verfahren und/ oder Simulationsverfahren mit Augenmaß einzuführen und zu nutzen.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
87
4.3 Sicherung der Bewertungsqualität
Der Sicherung und Erhöhung der Bewertungsqualität dienen vor allem regelmäßige Schulungen der Risikoverantwortlichen und Kontrollen durch Geschäftsführung, Zentralcontrolling und zentrale Risikomanager. Ein geeignetes Berechtigungskonzept verhindert nicht nur unberechtigten Zugriff, sondern stellt auch sicher, dass ausschließlich autorisierte Personen Risikodaten ändern können. Mit Hilfe dieser Methode wird eine vollständige Erfassung und Dokumentation relevanter Risiken, die Identifikation neuer Kontexte oder kumulativer Effekte sowie Transparenz und Information gefördert. Auch umfassende Schulungen und Präsentationen stellen wichtige Elemente der Qualitätssicherung dar. Besonders hervorzuheben ist darüber hinaus ein Nachschlagewerk (Glossar) mit Beispielen, Erklärungen und möglichen Frühindikatoren. Es dient als Orientierungshilfe für die Identifikation und Kategorisierung der operativen und strategischen Einzelrisiken und zur Sicherstellung des einheitlichen Verständnisses der Risikosituation. Es erfüllt den Zweck einer Checkliste bei der Risikoidentifikation, vor allem dient es jedoch der Standardisierung. Dieses Nachschlagewerk soll – wie auch die Risikoichtlinie – ein einheitliches Grundverständnis erzeugen und damit gewährleisten, dass vergleichbare Informationen generiert und dokumentiert werden. 4.4 Ziele der Risikoaggregation
Ziel und Zweck des Risikomanagements ist neben der Erfüllung der zahlreichen externen Anforderungen in erster Linie das frühzeitige Erkennen und Abwenden von Risiken, die die unternehmensweite Zielerreichung (Einhaltung der Mittelfristplanung) gefährden könnten. Im Sinne eines kontinuierlichen Verbesserungsprozesses für alle betrieblichen Funktionen soll das Risikomanagement aber auch der Identifikation systemischer Verbesserungspotenziale dienen (z. B. im Schnittstellenmanagement, der Kommunikation oder der Prozessgestaltung und -steuerung). Das Risikomanagement unterstützt damit eine erfolgreiche Unternehmenssteuerung. Es schafft Transparenz über die eigene Risikosituation, unterstützt Entscheidungsprozesse durch fundierte Informationen und ermöglicht eine gezielte Verbesserung risikoträchtiger Verfahren und Prozesse. Um dies zu erreichen, müssen Risiken durch ein transparentes, leicht verständliches und den Strukturen des Unternehmens angemessenes Verfahren systematisch dargestellt und aggregiert werden. Dabei bedeutet Risikoaggregation für uns eine strukturierte Zusammenfassung, Zuordnung
88
Dietmar Krull, Sandra Simonides
und Aufbereitung wesentlicher Risiken nach verschiedenen Gesichtspunkten, wie z. B. nach Geschäftsbereichen und/oder Risikofeldern, ggf. nach Ursachen oder Auswirkungen, und anschließend getrennter Bewertung. Korrelationen bzw. Wechselwirkungen können dann in einem nächsten Schritt berücksichtigt werden.42 Ein Beispiel für eine einfache Gruppierung von Risiken ist der folgenden Abbildung zu entnehmen. In einer Matrix wird dargestellt, wie viele Risiken der Konzern mit welcher Relevanz in welchem Risikofeld bzw. in welcher Risikokategorie hat. Relevanz 5
4
3
2
1
1
2
3
4
5
Risikofeld
Abb. 21. Beispiel für gruppierte Risikodarstellung
Damit stellt die Risikoaggregation für uns eine Informationsverdichtung und Konsolidierung mit dem Ziel dar, aus einer Menge von Einzelrisiken einen möglichst ausgewogenen und für den Adressaten aussagekräftigen 42
Uns stehen derzeit noch keine analytischen/statistischen Verfahren zur Risikoaggregation zur Verfügung, eine Kennzahl wird nicht ermittelt. Für eine MonteCarlo-Simulation fehlt derzeit noch die entsprechende Datenbasis.
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
89
Überblick über die Risikolage der Berichtseinheit bzw. des Konzerns zu gewinnen. 4.5 Aggregationsebenen
Unterhalb der Konzernebene stehen vier Konsolidierungs- bzw. Aggregationseinheiten nebeneinander: die drei Geschäftsbereiche AUTOMOBILE, CONTRACT und CONTAINER sowie der Bereich SERVICES. Unterhalb der Geschäftsbereichsebene wird auf Geschäftsfeld- bzw. Unternehmensebene aggregiert. Dies sind die einzelnen Tochtergesellschaften mit ihren Beteiligungen, in Einzelfällen auch Teilkonzerne. Es wird hier ganz bewusst darauf verzichtet, einen hochaggregierten Gesamtrisikowert zu bilden. Auf unterster Ebene werden in erster Linie Aufstellungen der relevantesten Risiken mit Zusatzinformationen (z. B. zur Wirkung und Erfüllungsgrad einer Maßnahme) erstellt. Auf Geschäftsbereichs- und Konzernebene stehen im Rahmen des Berichtswesens weitere Möglichkeiten der strukturierten Darstellung zur Verfügung. Hierzu zählt beispielsweise die Risikomatrix der Schadenhöhe und Eintrittswahrscheinlichkeit.
5
Integration in den Planungsprozess des zentralen Controllings
Zur Steigerung der Akzeptanz und Wirksamkeit des Risikomanagementsystems der BLG LOGISTICS GROUP wurde dieses in bestehende Prozesse und damit in den Arbeitsalltag der Mitarbeiter integriert. Das Risikomanagementsystem nutzt bis auf wenige Ausnahmen die bereits vorhandenen Organisations- und Berichtsstrukturen. Dies hat zusätzlich den Vorteil, dass üblicherweise anfallende Administrationskosten reduziert werden können. Bereits im Jahr 2004 erfolgte im zentralen Controlling die Implementierung eines Planungsmoduls als Baustein einer Management-Informationssoftware. Das standardisierte System wurde mit dem Ziel eingeführt, die monatliche Berichterstattung von Ist- und Planzahlen zu vervollständigen, zu vereinheitlichen sowie Analyse- und Steuerungsprozesse zentral und optimal zu gestalten (z. B. laufendes Monitoring der Maßnahmenumsetzung in den einzelnen Gesellschaften und Geschäftsbereichen). Das System basiert auf der GuV, der Bilanz und der Cashflow-Rechnung und ermittelt Kennzahlen für jede Berichtseinheit. Die wichtigste Kennzahl in diesem Zusammenhang ist das EBT. Plan- und Ist-Daten werden bisher zum Konzernergebnis zusammengeführt und bilden die Basis für die ex-
90
Dietmar Krull, Sandra Simonides
terne Berichterstattung. Die Steuerung des Konzerns erfolgte also bisher auf Basis der jeweiligen operativen Jahresplanung als Kernbestandteil der Mittelfristplanung mit einem Planungszeitraum von fünf Jahren. Die Integration des Risikomanagements in den Forecast-Prozess des Controllings erfolgt zunächst auf Basis des EBT (pro Berichtseinheit). Zwischen Risikomanagement und Controlling findet über eine Schnittstelle ein ständiger Datentransfer statt. EBT und Risikodaten werden dabei wechselseitig zur Verfügung gestellt. Aus dem Controllingsystem wird zunächst das über das gesamte Forecast-Jahr kumulierte EBT je Berichtseinheit in die Risikomanagementapplikation übernommen. Der zentrale Risikomanager bestimmt, wann im zweiten Schritt die Risikoeinflüsse übertragen werden sollen. Dabei werden die noch nicht und die bereits (in GuV oder Planung) berücksichtigten Risikoeinflüsse sowie die Gesamtschadenhöhen übergeben. Die Risikoeffekte für die jeweilige Berichtseinheit werden jedoch nicht als einzelne Risiken übertragen. Die berücksichtigten Einflüsse der Risiken auf das jeweilige EBT werden in Summe über alle Risiken für die jeweilige Berichtseinheit in das Controllingsystem zurückgespielt. Während die Jahresplanungen grundsätzlich finalen Charakter haben, können Forecasts infolge der neuen Informationen aus dem Risikomanagement unterjährig geändert werden. Die risikoadjustierten EBT bringen Transparenz über die Berücksichtigung der Risikosituation in den Plan-, Ist- und Forecastzahlen. Die Gegenüberstellung von Planung und adjustiertem Forecast bzw. aktueller Risikosituation ermöglicht eine Abweichungsanalyse (Plan-Ist/-Soll). Die Vernetzung von Planung/Controlling und Risikomanagement auf der Grundlage konsistenter Daten stellt eine übergreifende Kommunikationsplattform dar. Dadurch können schnell und effizient unterschiedliche Sichtweisen berücksichtigt werden. Dies hat sich als stabilisierend für die Unternehmenssteuerung erwiesen.
6
Berichtswesen und Ausblick
Das Berichtswesen orientiert sich an den jeweiligen Nutzergruppen Vorstand, Risikomanager, Geschäftsbereichsleitung, Geschäftsführer der Gesellschaften und Zentral-Controller. Eine individuell gestaltete Berichtsoberfläche bietet neben den operativen Berichten ein auf das Wesentliche konzentriertes Risikoreporting. Über die festgelegten Schwellenwerte je Berichtseinheit/ Berichtsebene kann aus einer generellen Konzernübersicht bis in die Detailinformationen
Bedeutung der Risikoaggregation bei der BLG LOGISTICS GROUP
91
je Risiko verzweigt werden. Der wichtigste Aspekt ist hierbei die transparente Darstellung der Risikoeinflüsse auf die GuV, konkret das EBT, sowie die Auswahl der Aggregationsebene. Es werden, neben Risikoadjustierungen der Planung und des Forecast, die Risiken dargestellt, welche nicht zu einer Risikoadjustierung geführt haben. Teil des Berichtswesens sind auch grafische Darstellungen, wie z. B. das Risikoportfolio bzw. die Risikomatrix, die zusätzliche Analysemöglichkeiten bieten. Die Zukunft des Risikomanagements der BLG LOGISTICS GROUP liegt einerseits in seiner technisch weiterzuentwickelnden und vollständigen Integration in die Steuerungs- und Berichtssysteme des Konzerns einerseits und andererseits in der zielorientierten Nutzung der Informationen aus dem Risikomanagement im Sinne einer Risikominimierung. Die Ausweitung auf komplexere Analyse- und Simulationsmethoden gehört ebenso zu den Zielsetzungen im Prozess der Weiterentwicklung des Risikomanagementsystems wie verschiedene zusätzliche Darstellungs- und Berichtsvarianten sowie die Berücksichtigung der Risiken in Bezug auf weitere GuV-, Bilanz- und Cashflow-Positionen.
Integriertes Chancen- und Risikomanagement bei der BMW Group
Holger Sommerfeld, Elmar Steurer BMW Group
1
Ausgangslage und Zielsetzung
Die BMW Group gehört zu den zehn größten Automobilherstellern weltweit und verfügt mit ihren Marken BMW, MINI und Rolls-Royce über drei der stärksten Premiummarken in der Automobilbranche. Zudem hat das Unternehmen eine starke Marktposition im Motorradgeschäft und ist auch im Geschäft mit Finanzdienstleistungen erfolgreich.43 Die Modelloffensive und das daraus resultierende Wachstum innerhalb der vergangenen Jahre ist die strategische Antwort auf wettbewerbliche Veränderungen in der Automobilindustrie. In Folge dessen ist die BMW Group in den vergangenen Jahren stark gewachsen. Vor diesem Hintergrund ist die BMW Group einer Vielzahl von Chancen und Risiken ausgesetzt. Neben Schwankungen von Währungen, Zinsen und Rohstoffpreisen können auch steigende Komplexitäten und kürzere Innovationszyklen im Fahrzeugbau sowie ein zunehmender Wettbewerbsdruck auf den internationalen Absatzmärkten zu einer wachsenden Volatilität von Ergebnissen führen. Die BMW Group betreibt ein konzernweites Risikomanagement, um auf veränderliche Wettbewerbs- und Umweltbedingungen vorbereitet zu sein sowie eine nachhaltige Wertschöpfung im Unternehmen sicherzustellen. Die Forderung an das Risikomanagement ist daher, Risiken im Unternehmen vergleichbar zu machen und durch die Aggregation über alle Risi43
Vgl. BMW Group 2006, S 2
94
Holger Sommerfeld, Elmar Steurer
koarten und Geschäftsfelder hinweg Ergebnispotenziale optimal auszuschöpfen. Im betriebwirtschaftlichen Kontext ist es zweckmäßig, das Risiko einer Handlungsmöglichkeit durch die Wahrscheinlichkeitsverteilung ihrer potenziellen Ergebnisse zu beschreiben.44 Die Wahrscheinlichkeitsverteilung enthält alle für eine Entscheidung möglichen Tatbestände. Die Entscheidungstheorie hat eine ganze Reihe von operationalen Maßgrößen, wie z. B. Erwartungswert und Standardabweichung, zur Beschreibung des Risikos entwickelt. Den Risiken werden häufig Chancen als positive Ergebnisschwankungen gegenübergestellt. Dabei unterscheiden sich beide Ausprägungen einer Wahrscheinlichkeitsverteilung von Ergebnisschwankungen nur in der Festlegung des Nullpunktes für Gewinne und Verluste: Die Chance ist die Kehrseite der Risikomedaille.45 Das integrierte Risikomanagement bei BMW quantifiziert Chancen und Risiken anhand ihrer Cashflow-Effekte und berücksichtigt bei der Aggregation über alle Unternehmensbereiche hinweg die zwischen den Chancen- und Risikotreibern bestehenden Wirkungszusammenhänge in Form von Korrelationsmatrizen. Diese Methodik ermöglicht ein Abwägen und Steuern auf den verschiedenen Entscheidungsebenen unterhalb des Vorstands, insbesondere: • die Erfassung der gesamten Chancen-/Risikosituation des Unternehmens, • eine Vermeidung von Chancen-/Risikodopplung sowie Identifikation von „Natural Hedges“, • die Unterstützung bei der Risikokapitalallokation und bei Investitionsentscheidungen. Darüber hinaus stärkt ein integriertes Chancen- und Risikomanagement im Unternehmen das Bewusstsein zur Begrenzung von negativen Ergebnisschwankungen und zur Wahrnehmung von Chancen.
2
Integration von Risiken im Unternehmen
Die BMW Group verfolgt einen integrativen Risikomanagementansatz, der sämtliche relevante Chancen und Risiken über alle Geschäftsfelder hinweg einbezieht und auf allen organisatorischen Ebenen verankert ist. Der Risikobegriff wird innerhalb des bei der BMW Group gewählten Ansatzes 44 45
Vgl. Karten 1972, S 152 Vgl. Karten 1972, S 163
Integriertes Chancen- und Risikomanagement bei der BMW Group
95
finanzwirtschaftlich-statistisch aufgefasst, d. h. Risiko wird als Abweichung von einem Planwert interpretiert. In eine Risikoquantifizierung gehen entsprechend sowohl positive als auch negative Abweichungen ein. Als Folgerung hieraus ist das Chancen- und Risikomanagement deutlich mehr als nur eine Rechenmethodik. Vielmehr besteht es aus unterschiedlichen organisatorischen, prozessualen und methodischen Komponenten, die in einen Gesamtansatz zusammengefasst sind und in die Planungs- und Steuerungswelt der BMW Group integriert werden. Die systematische Erfassung und Bewertung von Chancen und Risiken aggregiert und reflektiert das Wissen, die Einschätzungen und die Erwartungen der Mitarbeiter sowie externer Quellen. Hierdurch soll das frühzeitige Erkennen von Chancen und Risiken sowie die Entscheidung über deren Eingehen weiter gefördert werden. Auf Einzelprojektebene liefert das Chancen- und Risikomanagement einen Mehrwert im Hinblick auf die Entscheidungsunterstützung durch Quantifizierung der möglichen betriebswirtschaftlichen Ergebnisse sowie die laufende Steuerung des Projektes. Auf Gesamtunternehmensebene stehen die Sicherstellung der Unternehmensexistenz sowie die optimale Risikokapitalallokation im Fokus. Zur Identifikation, Bewertung und Dokumentation von Risiken verwendet die BMW Group ein detailliertes Risikomanagementsystem, das durch die folgenden Schritte gekennzeichnet ist: • Entscheidungen werden auf Basis von Projektvorlagen getroffen, in denen Chancen und Risiken qualitativ dargestellt sind. Im Rahmen der langfristigen Unternehmensplanung, der jährlichen sowie der unterjährigen Planung werden Chancen und Risiken von Geschäftsaktivitäten beurteilt und Zielerreichungs- und Risikobegrenzungsmaßnahmen abgeleitet. • Über das konzernweite Berichtssystem werden Entscheidungsträger rasch und umfassend über den Grad der Zielerreichung informiert. • Ein konzernweites Netzwerk von Risikobeauftragten führt regelmäßige Risikoerhebungen durch, in denen alle wesentlichen Risiken identifiziert und bewertet werden.
96
Holger Sommerfeld, Elmar Steurer
In vielen Risikomanagementsystemen dominiert nach wie vor der Blick auf das Verlustpotenzial von Risiken. Folglich rückt die Risikovermeidung in den Vordergrund. Anders ist jedoch der Blickwinkel der Entscheidungsträger. Der unternehmerische Blick konzentriert sich auf die Chancennutzung bei aktiver Kontrolle von akzeptierten Risiken. Mindestanspruch an ein integriertes Chancen- und Risikomanagement ist daher, dass Risikoaspekte und Wertschöpfungspotenziale gegeneinander abgewogen werden. Die verschiedenen Risikoarten sind je nach ihrer organisatorischen Verankerung zu integrieren. Es geht darum, zentral koordinierte Risiken aus einer Top-Down Perspektive mit dezentral gesteuerten Risiken im Sinne eines Bottom-Up Ansatzes einheitlich zusammen zu führen und zu bewerten (vgl. Abb. 22). Die Koordination von zentral und dezentral gesteuerten Risiken erfolgt dabei in unterschiedlicher Ausprägung der drei Risikoarten. Die strategischen Risiken werden maßgeblich durch die Preis- und Volumeneffekte auf den weltweiten Absatzmärkten geprägt. Beispielsweise kann die Eintrittsstrategie für einen neuen Absatzmarkt mit ihren Auswirkungen auf andere Risiko- und Chancentreiber ergänzend zum Controlling und zur Unternehmensstrategie durch die Risikomanagementfunktion erfasst und bewertet werden. Für die operativen Risiken lässt sich festhalten, dass diese sowohl zentral als auch dezentral gesteuert, grundsätzlich aber selten bezüglich ihrer monetären Auswirkungen stringent bewertet werden. In der BMW Group werden alle wichtigen operativen Risiken, wie z. B. mögliche Probleme bei der Auswahl von Lieferanten oder Bewertung der Konsequenzen von Betriebsunterbrechungen, entweder vom Risikomanagement oder von der zuständigen Fachfunktion mit Unterstützung des Risikomanagements bewertet. Kennzeichnend für diese Art von Risiken ist, dass sie oft versicherbar sind. Der wesentliche Beitrag eines zentralen Chancen- und Risikomanagements ist daher für die Unternehmenssteuerung, die Höhe des Selbstbehalts auf Basis einer aggregierten Gesamtbetrachtung aller Risiken festzulegen. Die Finanzrisiken werden von Industriekonzernen üblicherweise auf zentraler Ebene abgedeckt. Dies erstreckt sich über einheitliche Richtlinien für Finanzgeschäfte, die Nutzung von „Natural Hedge“-Möglichkeiten, wie dem weltweiten Einkauf von Material und Anlagen bei exportorientierten Unternehmen, bis hin zum Einsatz derivativer Finanzinstrumente.
Integriertes Chancen- und Risikomanagement bei der BMW Group
97
Vorgehensweise
Risikoarten
Top-Down Operative Risiken
Finanzrisiken ABS Financing at BM W
Strategische Risiken
Bottom-Up
Abb. 22. Integriertes Risikomanagement
Der systematische und professionelle Umgang mit allen Risikoarten ist für die Wettbewerbsfähigkeit eines Unternehmens von entscheidender Bedeutung. Dabei geht es nicht allein um die systematische Abarbeitung von Regelungskatalogen, sondern um die Optimierung des übergreifenden Chancen-/Risikoprofils. Dadurch kann das integrierte Risikomanagement auch einen positiven Beitrag zur Steigerung des Unternehmenswerts liefern.46 Aus diesem Anspruch heraus lassen sich unterschiedliche Perspektiven für die Zielsetzung eines integrierten Risikomanagements ableiten, die sich aber grundsätzlich auf die drei Dimensionen „Einheitliches Verständnis“, „Risikoarten“ und „Methoden“ beziehen (vgl. Abb. 23).
46
Vgl. Pfennig 2000, S 1296
98
Holger Sommerfeld, Elmar Steurer
Dimension 1
Einheitliches Verständnis Chancen und Risiken werden in standardisierter Form durchgängig in allen Planungs-, Entscheidungs- und Steuerungsprozessen geführt.
Dimension 2
Risikoarten Integration von Finanzrisiken, operativen und strategischen Risiken.
Dimension 3
M ethoden Verknüpfung mit Zielsystem und Entscheidungsunterstützung.
Abb. 23. Dimensionen des integrierten Risikomanagements
Das Ziel eines integrierten Chancen- und Risikomanagements ist somit, eine verlässliche Risikoaggregation über mehrere Risikoarten, die Unternehmensressorts und die verschiedenen Geschäftsfelder hinweg durchzuführen.
3
Organisation des Chancen- und Risikomanagements
Die BMW Group ist von einem hohen Maß an dezentraler Verantwortung geprägt. Dieses Prinzip spiegelt sich auch in der Umsetzung des Chancenund Risikomanagements wider. Die organisatorische Gestaltung bei der Umsetzung und Implementierung erfolgte unter Bewertung der folgenden Kriterien: • Erfassung aller relevanter Chancen und Risiken sowie dem Know-How für die Bewertung derselben, • effiziente Umsetzung unter Vermeidung nicht unbedingt notwendiger zusätzlicher Schnittstellen, • Integration in den bestehenden betriebswirtschaftlichen Managementansatz, da das Chancen- und Risikomanagement ein elementarer Bestandteil der finanziellen Steuerung ist, • „Check and Balance“ sowohl hinsichtlich der Bewertung als auch der Einhaltung der Risikonahmestrategie und – im operativen Doing – Einhaltung der allokierten Risikokapitalbudgets.
Integriertes Chancen- und Risikomanagement bei der BMW Group
99
Ein wesentliches Element der Umsetzung ist das Risikonetzwerk. Die Netzwerkpartner haben je nach Position im Netzwerk unterschiedliche Aufgaben. Die Zusammenarbeit basiert auf gegenseitigem Vertrauen, enthält jedoch auch Elemente, die einen möglichen Interessenkonflikt bei der Chancen- und Risikobewertung zu kompensieren suchen. Das Netzwerk umfasst weiterhin Fachstellen, die sich mit einzelnen Risikoarten spezialisiert beschäftigen, wie z. B. Unternehmensversicherungsgeschäft, Informationsschutz, Ressort-IT-Stellen und operative Abteilungen mit Risikomanagementaufgaben (wie Financial Services), Projektverantwortliche bei der Fahrzeugentwicklung, im Treasury sowie bei Planungs- und Monitoringstellen. Bei der Definition und dem Management des Netzwerks wurde auf die Erfahrungen und Strukturen zurückgegriffen, die im Rahmen der Umsetzung des KonTraG gesammelt bzw. aufgebaut wurden. Das Netzwerk hat im Wesentlichen die Aufgabe der Identifikation von Chancen und Risiken und deren Bewertung. An das Controlling wurden zusätzlich zum bisherigen Tätigkeitsfeld der betriebswirtschaftlichen Steuerung die Aufgaben und Kompetenzen übertragen, gemeinsam mit den jeweiligen relevanten und betroffenen Fachstellen die Chancen- und Risikobewertungen durchzuführen. Die Erstellung einer betriebswirtschaftlichen Ergebnisplanung geht mit der Chancenund Risikobewertung einher, da i.d.R. die gleichen Fachstellen bei der Business Case-Erstellung und der Chancen- und Risikobewertung involviert sind. Während ein Planstand den aus aktueller Sicht wahrscheinlichsten Fall zu beschreiben versucht, quantifiziert die Chancen- und Risikobewertung die möglichen Bandbreiten der einzelnen Faktoren und in der Aggregation auch die Bandbreite des Gesamtergebnisses. Alle genannten Stellen sind weitestgehend in den dezentralen Risikomanagementkreislauf involviert, der die Identifikation, Bewertung und Aggregation auf Business Case-Ebene sowie die Umsetzung von Risikomanagementmaßnahmen auf Projektebene umfasst. Die zentrale Stelle Chancen- und Risikomanagement betreibt und koordiniert insbesondere den zentralen Risikomanagementkreislauf und hat eine ordnungspolitische Funktion inne. In dieser Abteilung wird die Gesamtunternehmenssicht verantwortet und weiterentwickelt. Hierzu gehören die Bestimmung der Risikotragfähigkeit und die Entscheidungsvorbereitung über das maximal einzugehende Risiko, die Risikonahmestrategie und die Risikokapitalallokation. Die Chancen- und Risikomanagement-Stelle hat die Aufgabe, innerhalb des vom Vorstand gesetzten Rahmens die Risikolimite zu überwachen, risikoreduzierende Maßnahmen einzufordern und Ansätze der Risikoreduktion vorzuschlagen. Sie besitzt die Methodenhoheit und bestimmt die Bewertungs- und Aggregationsmethodik sowie die zu berücksichtigenden Chancen-Risikocluster. Dies ist Voraussetzung
100
Holger Sommerfeld, Elmar Steurer
dafür, die Aggregation über unterschiedliche Investitionsvorhaben und Risikoarten zu ermöglichen. Über die Ergebnisse sämtlicher Chancen- und Risikobewertungen wird die Stelle informiert, um auf dieser Basis die Aggregation der in den einzelnen Bereichen ermittelten Chancen und Risiken vorzunehmen. Darüber hinaus werden durch den Quervergleich und die Kumulation des Wissens eine hohe Qualität und Vergleichbarkeit der Chancen- und Risikobewertungen sichergestellt. Es wird hierdurch eine Art Vier-Augen-Prinzip umgesetzt. Inhaltlich zusammenhängend mit der Methodenhoheit ist die Coachingfunktion, welche als zentraler Ansprechpartner für die Durchführung und Weiterentwicklung der Chancen- und Risikobewertungen wahrgenommen wird. Dadurch, dass strategische Chancen und Risiken im Vorstand und in Bereichsleitergremien diskutiert werden, sind auch diese Ebenen mit Aufgaben des Chancen- und Risikomanagements betraut. Dies zeigt, dass das Chancen- und Risikomanagement ein unternehmensweiter Ansatz ist, nicht nur eine Aufgabe, auf die eine Stabsabteilung allein fokussiert ist. Die Entscheidung über die Risikonahmestrategie und die Höhe des Risikokapitals im Verhältnis zur Risikotragfähigkeit kann und muss vom Vorstand getroffen werden.
4
Umsetzung des Risikomanagements in Unternehmensbereichen
Im Folgenden wird aufgezeigt, wie die im Finanzbereich angewandte Methodik zum Management von finanziellen Risiken auch beim Management von Fahrzeugprojekten einen Wertbeitrag leistet. 4.1 Integriertes Management von finanziellen Risiken
Preisschwankungen an den weltweiten Devisen-, Geld- und Kapital- sowie Rohstoffmärkten haben nicht nur Auswirkungen auf das Ergebnis im Fahrzeuggeschäft, sondern auch der Financial Service Aktivitäten der BMW Group. Da rund 50 % der Konzernumsätze außerhalb des Euro-Währungsraumes anfallen und die Beschaffung des Produktionsmaterials und der Finanzmittel ebenfalls weltweit erfolgt, hat das Währungsrisiko eine erhebliche Bedeutung für das Unternehmensergebnis. Veränderungen des Zinssatzes bestimmen den Erfolg des Asset Managements im Pensionsgeschäft und wirken sich direkt auf das Zinsergebnis aus. Bonitätsrisiken von Kunden und Lieferanten sowie Restwertrisiken aus dem Leasinggeschäft des Financial Services ergänzen das Portfolio der finanziellen Risiken des
Integriertes Chancen- und Risikomanagement bei der BMW Group
101
Unternehmens. Entsprechend dem definierten Verständnis von Risiko als einer Zufallsvariable werden die Auswirkungen dieser finanziellen Risiken auf die unternehmerischen Cashflows als Wahrscheinlichkeitsverteilungen dargestellt. Die Fülle der vorhandenen statistischen Daten zu den Veränderungen von Finanzmarktparametern bzw. die großen Kundenportfolien im Bankgeschäft des Unternehmens ermöglichen objektive Abschätzungen der jeweiligen Wahrscheinlichkeitsverteilungen. Der integrierte Risikomanagementansatz macht sich die unterschiedlich ausgeprägten Wechselwirkungen zwischen einzelnen finanziellen Risiken zu Nutze, indem die Wahrscheinlichkeitsverteilungen der Cashflows nicht einfach addiert, sondern aggregiert werden.47 Die Aggregation von Zufallsvariablen führt bei Korrelationsbeziehungen kleiner 1 zu einer Dämpfung des Risikos der gesamten Wahrscheinlichkeitsverteilung, d. h. die Standardabweichung der neuen Verteilung ist kleiner als die Summe der einzelnen Standardabweichungen. Bei den finanziellen Risiken der BMW Group hat sich gezeigt, dass der aggregierte Cashflow-at-Risk bis zu einem Drittel niedriger ist als der aufsummierte Cashflow-at-Risk. Das führt entweder zu einer entsprechenden Reduzierung des erforderlichen Risikokapitals oder bei gleich bleibendem Risikokapital können zusätzliche Ergebnischancen wahrgenommen werden. Hier wird der Wertbeitrag eines integrierten Steuerungsansatzes für das Unternehmen besonders deutlich. Maßnahmen zur Risikominderung oder zum Risikotransfer führen daher auch zu geringeren Kosten für das Unternehmen im Vergleich zu einer Politik, die auf das Management einzelner Risiken abstellt. 4.2 Integriertes Risikomanagement in Fahrzeugprojekten
Die für die Aktivitäten im Finanzbereich erfolgreich eingesetzten Methoden des Risikomanagements eignen sich grundsätzlich auch für alle anderen Risikoarten im Unternehmen, sofern Wahrscheinlichkeitsverteilungen von Cashflows ermittelt werden können. Zur Steigerung des Unternehmenswertes müssen alle Fahrzeugprojekte einen positiven Wertbeitrag leisten. Dieser wird anhand einer dynamischen Cashflow-Rechnung über den gesamten Lebenszyklus des Projektes als Barwert ermittelt. Das integrierte Risikomanagement in der BMW Group dient dabei der Entscheidungsunterstützung auf selektiver Basis, um einen möglichen Handlungsbedarf rechtzeitig zu identifizieren. Ein neues Fahrzeugmodell wird hinsichtlich der relevanten Chancen- und Risikofaktoren 47
So genannter Portfolioeffekt, vgl. auch Markowitz 1952
102
Holger Sommerfeld, Elmar Steurer
auf den Prüfstand gestellt, indem die entsprechenden Wahrscheinlichkeitsverteilungen der Cashflows den Zusammenhang zwischen Rendite und Chancen bzw. Risiken transparent machen. Denn Fahrzeugprojekte sind, obwohl sie die gleiche Rendite erwarten lassen, durchaus unterschiedlichen Ergebnisvolatilitäten ausgesetzt. Als Standard hat sich bei BMW eine Bewertung auf Basis der drei Chancen-Risikofelder Fahrzeugeigenschaften, Prozesse und Marktumfeld entwickelt, um potenzielle Chancen- und Risikofaktoren zu identifizieren und zu priorisieren (vgl. Abb. 24). Risikomanagementsysteme nutzen dabei möglichst die vorhandenen Organisations- und Berichtsstrukturen des Unternehmens. Daher spiegelt sich in dieser Aufteilung im Wesentlichen auch die organisatorische Zuständigkeit der jeweiligen Fachbereiche für die Risiken wider. Die Verantwortung des Vertriebs liegt vor allem in der Beurteilung der für das Marktumfeld relevanten Risiken. Die bei Prozessen auftretenden Risiken sind größtenteils im Bereich der Fertigung zu finden. Aus Marktanforderungen und Fertigungstechnologien lassen sich die Anforderungen für die Fahrzeugeigenschaften ableiten. Risiken in diesem Umfeld sind dann überwiegend im Bereich der Entwicklung angesiedelt. Fahrleistungen Fahreigenschaften Komfort Cost of Ownership Qualit ät Zuverl ässigkeit CO2 Lieferantenstruktur
Fahrzeug eigen schaften ABS Financing at BMW
Mega - Events Globale Chancen/Risiken
Prozesse
Fremdvergabe Out - Sourcing Innovationen Fertigungstechnik Standorte
Chance/ Risiko
Marktumfeld
Wettbewerber Design/Image Substitution Antrieb Interieur
Abb. 24. Chancen- und Risikofelder bei Fahrzeugprojekten
Die Notwendigkeit zur Erstellung eines Chancen-/Risikoprofils von Fahrzeugentwicklungen ist zu Beginn des Produktentstehungsprozesses am höchsten, um Fehleinschätzungen zu verringern. Die Aussagekraft ist jedoch umso geringer, je länger die zeitliche Vorlaufzeit bis zum Produktionsstart ist. Der Mehrwert des Konzepts ist dadurch gegeben, dass eine Entscheidungshilfe zur strukturierten und rechtzeitigen Abwägung von
Integriertes Chancen- und Risikomanagement bei der BMW Group
103
Chancen und Risiken geboten wird. Damit wird gewährleistet, dass Produktentwicklungen in einer Gesamtschau von Unternehmensstrategie und kostengünstiger Herstellung erfolgen. Die Erstellung eines Chancen-/Risikoprofils für ein Fahrzeugprojekt erfolgt in den vier Stufen Identifikation, Bewertung, Quantifizierung und Aggregation (vgl. Abb. 25). Für die relevanten Chancen-/Risikofaktoren (Stufe 1) werden Szenarien für positive und negative Abweichungen beschrieben, die mit Eintrittswahrscheinlichkeiten bewertet werden (Stufe 2). Anschließend werden diese Szenarien hinsichtlich ihrer monetären Auswirkung als Abweichung vom Planwert quantifiziert (Stufe 3). Die Aggregation aller Risikofaktoren mittels Simulationstechnik unter Berücksichtigung einer Korrelationsmatrix ergibt eine Wahrscheinlichkeitsverteilung der Cashflows (Stufe 4). Als Risikomaße erhält man dann den Erwartungswert dieser Verteilung sowie den aggregierten Cashflow-at-Risk (CFaR) bzw. den aggregierten Cashflow-at-Chance (CFaC). Sie verdeutlichen die möglichen Schwankungen der Cashflows aus dem Fahrzeugprojekt um den Planwert. Der Abgleich zwischen dem Erwartungswert und dem Planwert gibt einen Hinweis auf vorhandene Puffer in der Projektplanung. Die Qualität des Chancen-/Risikoprofils ist durch eine möglichst objektive Datengrundlage zu gewährleisten. Hierzu dienen Markterfahrungen in Form von Statistiken, Auswertungen von Industrie- und Verbraucherverbänden sowie quantitative Markterwartungen auf Basis von ökonometrischen Modellen oder Prognosen. Die Aussagefähigkeit wird erhöht, wenn im Unternehmen historische Daten, wie z. B. eingetretene Schäden, in Schadensdatenbanken zur Verfügung stehen. Kennzeichnend für den Datenerhebungsprozess in der Praxis ist jedoch, dass oft keine Historie verfügbar ist. Der Input besteht daher aus einem Mix zwischen historischen (objektiven) sowie subjektiven Einschätzungen. Zur Plausibilisierung dieser individuellen Schätzungen dient eine Durchschnittsbildung der Abschätzungen von Experten aus verschiedenen Fachbereichen. Dazu zählen neben den Experten des jeweiligen Fachbereichs auch Vertreter des Controllings, des Risikomanagements und der konzernstrategischen Abteilungen. Faktisch haben diese Treffen die Funktion, die notwendigen Kompromisse zwischen Risikoeinschätzungen und geschäftspolitischen Gesichtspunkten herbeizuführen. Durch die Chancenund Risikobewertung lässt sich der geplante Verlauf der Aufwendungen, insbesondere der Investitionen und Entwicklungskosten, sowie der Erträge über den Verkauf der Fahrzeugvolumina mit einer Bandbreite unterlegen. Diese verdeutlicht die maximalen Schwankungen der geplanten Cashflows im Sinne von zulässigen negativen und positiven Abweichungen von den Planwerten.
104
Holger Sommerfeld, Elmar Steurer
Aggregation
Quantifizierung
Bewertung
Identifikation
Risiko Wahrscheinlichkeit
Chance
Plan
Ermitteln und Priorisieren von Chance - und Risikofaktoren
Ermitteln von Eintrittswahrscheinlichkeiten f ü r worst case , Plan und best case
Negative Abweichungen
Positive Abweichungen
Quantifizierung der Auswirkung CFaR Planwert Erwartungswert
Wirkungszusammenhänge und Aggregation
CFaC
Auswirkung [Cashflow]
Darstellung • für einzelne Chancen/Risiko-Faktoren • für Gesamtobjekt in standardisierter Form
Abb. 25. Ermittlung des Chancen-/Risikoprofils bei Fahrzeugprojekten
Ein zusätzlicher Mehrwert wird durch die Erstellung eines Chancen-/ Risikoprofils geschaffen, indem die Bewertung im Zeitablauf der Entwicklung zu ausgewählten Zeitpunkten vorgenommen werden kann. Dies trägt zur Entscheidungsunterstützung für die Ressourcenallokation, insbesondere bei Prozessthemen im Bereich der Fahrzeugentwicklung, bei. Ökonomischen Nutzen entfaltet solch ein Chancen-/Risikoprofil, wenn die zusätzlich vorhandenen Informationen über die Chancen und Risiken des Fahrzeugprojekts auch zur Optimierung der Kosten des Risikomanagements genutzt werden. Die Entwicklung eines Fahrzeugs ist zwangsläufig mit dem Eingehen von Risiken verbunden. Daher geht es keinesfalls nur um die Verbannung sämtlicher Risiken aus dem Projekt. Vielmehr soll das Chancen-/Risikoprofil optimiert werden. In diesem Sinne lassen sich die Ergebnisse der Chancen- und Risikobewertung für ein Fahrzeugprojekt in Aussagen zu den Nutzenpotenzialen überführen: • frühzeitiges Erkennen wichtiger Risiko- und Werttreiber, • ausgewogenes Abwägen von Chancen und Risiken bei Investitionsentscheidungen, • Begrenzung teurer Eskalationsprozesse, • frühzeitiges Ergreifen gezielter Maßnahmen zur Risikobegrenzung, • erhöhte Effizienz beim Ressourceneinsatz. Bei einem Einsatz über das gesamte Fahrzeugportfolio hinweg kann das Risiko gezielt über den Risiko- und Renditebeitrag zum Unternehmenser-
Integriertes Chancen- und Risikomanagement bei der BMW Group
105
gebnis einzelner Fahrzeugprojekte, unter Berücksichtigung von Substitution und Markenbeitragskomponenten, optimiert werden – analog zur Vorgehensweise eines Portfoliomanagers bei der Allokation der ihm zur Verfügung stehenden Investmenttitel.
5
Aggregation von Chancen- und Risiken als Basis zur Steuerung des Risikokapitals
Die Quantifizierung aller Finanzrisiken, operativen Risiken und strategischen Risiken als Zufallsvariable und ihre segmentspezifische Aggregation ist idealtypisch natürlich über das gesamte Unternehmen vorstellbar. Die Aggregation der Risiken unter Berücksichtigung ihrer Wechselwirkungen definiert dann die Gesamtrisikoposition des Unternehmens. Daran gemessen wird auch die relative Bedeutung bestimmter Einzelrisiken deutlich. Die damit verbundenen methodischen Herausforderungen, insbesondere die komplexen Berechnungsverfahren und die Grenzen bei der Bestimmung notwendiger Parameter, sowie die Voraussetzung einer Aussage zur gerade noch zulässigen Risikotragfähigkeit unterstreichen die Bedeutung eines kompetenten Chancen- und Risikomanagements im Unternehmen. Aus der so ermittelten Gesamtverteilung kann der Cash-Flow-at-Risk für das Unternehmen als ein „realistic worst-case“ Ereignis bestimmt werden, das mit einer definierten Wahrscheinlichkeit innerhalb eines bestimmten Planungszeitraumes nicht überschritten wird. Mit dem aggregierten Chancen-/Risikopofil auf unternehmensübergreifender Sicht liegt eine wesentliche Basis für die Unterstützung der betriebswirtschaftlichen Unternehmenssteuerung vor. Auf der zentralen Ebene werden über den Chancen- und Risikomanagementansatz die Risikonahmestrategie der BMW Group, wesentliche relevante Faktoren für die Bestimmung der Höhe des Risiko- und das Eigenkapital (und somit die Kapitalstruktur) determiniert. Des Weiteren ist aus zentraler Sicht die Allokation des Risikokapitals zu steuern und die Einhaltung der Risikolimite zu monitoren und ggf. einzufordern. Die Risikotragfähigkeit wird wesentlich vom ökonomischen Eigenkapital eines Unternehmens (als primäre Verlustdeckungsmasse, vereinfacht als bilanzielles Eigenkapital zzgl. Reserven ermittelbar) determiniert. Die Festlegung der Risikonahmestrategie und damit des Anteils der Risikotragfähigkeit, der als Risikokapital zur Abdeckung unternehmerischer Risiken verwendet werden soll, ist von der Unternehmensführung festzulegen (vgl. Abb. 26). Dabei spielen nicht nur die persönliche Risikobereitschaft der Entscheidungsträger, sondern auch z. B. die bestehende Bonität, die Bran-
106
Holger Sommerfeld, Elmar Steurer
che und die Wettbewerbsintensität eine Rolle. Aus der Festlegung der Höhe der Risikotoleranz mittels Konfidenzniveau lässt sich ableiten, inwieweit das Unternehmen willens und fähig ist, Unterschreitungen des Cashflows bis zu der durch das Konfidenzniveau gegebenen Wahrscheinlichkeit aufzufangen. Es sollen neben dem bestandsgefährdenden Ausfall der Bedienung des Schuldendienstes auch weitere wesentliche Vorhaben des Unternehmens wie geplante Investitionen, Dividenden, Pensionsverpflichtungen und Tantiemen abgesichert werden. Auf Basis eines industrieüblichen Konfidenzniveaus von beispielsweise 95 % lassen sich für die Steuerung der einzelnen Risikoarten Risikolimite in Form von Cashflow-at-Risk Begrenzungen definieren. Das dann noch „offene“ Risiko von 5 % wird durch das Risikokapital nicht abgedeckt. Je nach der Verfügbarkeit von Risikokapital bzw. der erlaubten Risikotoleranz für das einzelne Risiko werden Maßnahmen zum Risikotransfer, wie z. B. Termingeschäfte oder Optionen, eingeleitet bzw. die Risikoposition ausgeweitet, um zusätzliche Chancenpotenziale zur Wertgenerierung wahrzunehmen. Wahrscheinlichkeit Geplante Investitionen werden gekürzt
Mindest Cashflow
Kürzung der Tantiemen
Kürzung der Dividende Mögliches Übernahmeziel Bedienung des Schuldendienstes wird eingestellt Risikotoleranz
Mindest Cashflow = Schuldendienst + Investitionen + Dividenden + Pensionsverpflichtungen
Risikoquantifizierung in zwei Schritten: 1. Festlegung der maximal akzeptablen Unterschreitungswahrscheinlichkeit (=Risikotoleranz) 2. Ermittlung des erforderlichen Risikokapitals um Unterschreitungen des Cashflow bis zur in 1.) genannten Wahrscheinlichkeit auffangen zu können
€ Cashflow Planwert Cashflow Risikokapital
Abb. 26. Festlegung des Risikokapitals und der Risikotoleranz
Die Risikokapitalallokation ist eine der zentralen Aufgaben für die betriebswirtschaftliche Steuerung eines Unternehmens. Über sie wird festgelegt, wie das von den Shareholdern zur Verfügung gestellte Eigenkapital in unterschiedlichen Aktivitäten der BMW Group verwendet wird. Die Steuerung über die Risikokapitalallokation hat auch zur Folge, dass Renditeansprüche an Investitionsvorhaben nicht am WACC (durchschnittliche Gesamtkapitalkosten) gemessen werden, sondern über den notwendi-
Integriertes Chancen- und Risikomanagement bei der BMW Group
107
gen Risikokapitalbedarf projektindividuell und damit mittels ihres Beitrags zum Risikoprofil des Gesamtunternehmens formuliert werden. Dies erfordert die Festlegung risikoadjustierter Renditeansprüche. Grundsätzlich besteht der Anspruch auf das Eigenkapital eine entsprechende Rendite zu erwirtschaften. Je nach Verhältnis von Eigenkapital zu allokiertem Risikokapital weicht die Eigenkapitalrenditeforderung vom Verzinsungsanspruch auf das Risikokapital (über Kennzahlen wie dem RORAC ausgedrückt) ab. Risikonahmestrategie, Risikokapitalallokation und Renditeanspruch sind grundsätzliche geschäftspolitische Entscheidungen und damit auf Vorstandsebene zu treffen. Die Analyse möglicher Abhängigkeiten von einzelnen Chancen-/Risikofaktoren über das Gesamtunternehmen ermöglicht auch die Identifikation von Klumpenrisiken. Eine Veränderung des zugrunde liegenden Faktors hätte eine starke Auswirkung auf die Vermögensposition. Für derartige Risiken wäre im Rahmen der Kapitalallokation entsprechend überproportional viel Risikokapital vorzuhalten. Ob dies beabsichtigt ist, ist eine strategische und geschäftspolitische Fragestellung. Ein derartiges Chancen-/ Risikoprofil ist Voraussetzung für dessen Optimierung. Diese führt zu einer Verbesserung des Verhältnisses von erwarteter Rendite zu eingegangenem Risiko. Durch die Identifikation von Klumpenrisiken wird aufgezeigt, in welchen Bereichen die größten Risiken des Konzerns liegen, um durch geeignete Maßnahmen gegensteuern zu können. Eine Reihe von Risikotransfermaßnahmen zur Steuerung des Chancen-/ Risikoprofils hat einen projektübergreifenden Charakter (wie z. B. der Abschluss von Versicherungen, Währungssicherungsgeschäfte, Vertragsgestaltung mit Lieferanten). Die Frage über den Risikobehalt oder Risikotransfer ist damit ein weiterer Steuerungsimpuls auf Gesamtunternehmensebene. Die Steuerungsimpulse aus dem dezentralen Risikomanagementkreislauf resultieren sowohl aus der Berechnung von Bandbreiten auf Einzelprojektebene als auch aus den Prozessen der Identifikation und Bewertung von Risiken. Auf Einzelprojektebene führt die Chancen- und Risikobewertung zu einer Identifikation der wesentlichen Chancen- und Risikotreiber in bewerteter Form. Sie dient zur Entscheidungsunterstützung der jeweiligen Entscheiderebene, da Chancen und Risiken, d. h. mögliche Ergebnisse und Zielanspannungen, in aggregierter und verständlicher Art dargestellt werden. So ist aus einem Abgleich von der Bandbreite des betriebswirtschaftlichen Ergebnisses und dem Zielwert der Zielanspannungsgrad im Rahmen der gegebenen Strukturen und Projektinhalte ablesbar. Auf dieser Basis können von den dezentralen Riskownern Maßnahmen definiert werden, um Risiken abzumildern und/oder Chancen zu heben. Die Ressourcenallokation auf Einzelprojektebene kann aus einem Ab-
108
Holger Sommerfeld, Elmar Steurer
gleich des ermittelten mit dem gewünschten Chancen-/Risikoprofil abgeleitet werden. Folglich ist die Chancen- und Risikobewertung keine einmalige Analyse, sondern vielmehr ein Monitoring- und Reportinginstrument, das durch eine regelmäßige Aktualisierung zur Unterstützung der Zielerreichung dient. Die Durchführung bzw. Aktualisierung der Chancen- und Risikobewertung fördert die bereichsübergreifende Sicht und hat dadurch eine Qualitätsverbesserung der Planung zur Folge. In diesem Zusammenhang ist darauf hinzuweisen, dass über die Chancen- und Risikobewertung auch die geforderte Flexibilität in vor- und nachgelagerten Wertschöpfungsstufen quantifiziert wird. Wenn z. B. die möglichen Volumenschwankungen im Fahrzeugabsatz in bewerteter Form vorliegen, so ist dies ein wertvoller Parameter für die Planung der Flexibilitätsanforderung der Produktionswerke, da grundsätzlich davon ausgegangen werden kann, dass eine höhere Flexibilität mit höheren Fixkosten einhergeht. Die Ergebnisse der regelmäßigen Aktualisierungen werden auch an die zentrale Risikostelle weitergeleitet, sodass jederzeit eine Bestimmung des Gesamtunternehmensrisikos möglich ist. Die Notwendigkeit der Planung von risikoreduzierenden Maßnahmen erfolgt aus dem Abgleich des ermittelten Risikos mit dem für ein Projekt vorgesehenem Risikolimit (allokiertes Risikokapital). Dies ist die inhaltlich-logische Verbindung zwischen dezentralem und zentralem Risikomanagementkreislauf. Solange die Risikolimite eingehalten werden, liegt die Entscheidungskompetenz über die Durchführung von Maßnahmen mit dem Ziel der Optimierung von eingegangenem Risiko und erwartetem Ertrag in den dezentralen Einheiten. Im anderen Fall werden Maßnahmen zur Risikoreduktion eingefordert bzw. gegebenenfalls eine Reallokation des Risikokapitals diskutiert, wenn dies zu einer Verbesserung des Rendite-/Risikoverhältnisses auf Gesamtunternehmensebene führt. Das bewusste Eingehen von Risiken und Chancen ist eine unternehmerische Entscheidung und die Basis unternehmerischen Handelns. Die Verantwortung verbleibt innerhalb der BMW Group bei den dezentralen Einheiten. Dies bedeutet, dass im Rahmen der gesetzten und regelmäßig überprüften Risikolimite die Verantwortung für die Risikonahme und die Zielerreichung in der BMW Group bei den dezentralen Einheiten liegt. Die Genehmigung von Risikolimiten und die Formulierung der entsprechenden Ertragsansprüche können dagegen nur auf projektübergreifender Ebene erfolgen. Ergänzend werden auf unterschiedlichen organisatorischen und funktionalen Ebenen weitere Steuerungsinstrumente genutzt, die an den jeweiligen Anwendungsbereich sowie den notwendigen operativen Detailgrad hin angepasst sind.
Integriertes Chancen- und Risikomanagement bei der BMW Group
6
109
Ausblick
Eigenkapitalgeber setzen ihr Kapital dort ein, wo sie den größten Wertzuwachs erwarten können. Der Wert eines finanziellen Engagements hängt sowohl von den zukünftigen Erträgen als auch von den damit verbundenen Ertragsschwankungen ab. Der Risikomanagementansatz von BMW trägt diesem Aspekt Rechnung, indem Transparenz über die aggregierte Risikosituation hergestellt wird. Somit ergibt sich auch die Möglichkeit, bei unternehmerischen Entscheidungen die erwarteten Erträge mit den eingegangenen Risiken abzuwägen. Das Aufzeigen eines Chancen-/Risikoprofils in einzelnen Unternehmensbereichen, wie etwa dem Management von Finanzrisiken und von einzelnen Fahrzeugprojekten ist notwendig, aber nur ein erster Schritt. Die Erkenntnisse aus der Analyse, Quantifizierung und dem Einsatz von Risikomitigationsmethoden bei spezifischen Risikosituationen sind in einer weiteren Entwicklungsstufe auf das gesamte Unternehmen zu übertragen. Die Methodik ist durchgängig bei allen wichtigen Entscheidungen einzusetzen. Die Gesamtrisikoschau auf alle unternehmerischen Aktivitäten ist dann die Basis für eine konsistente Top-Down Steuerung der Risiko- und Chancenpotentiale und gewährleistet damit den effektiven und effizienten Einsatz der knappen Ressource Eigenkapital. Die Erfahrung bei der BMW Group hat gezeigt, dass die Akzeptanz des Denkens in Bandbreiten die wesentliche Voraussetzung für eine erfolgreiche Implementierung eines Chancen- und Risikomanagements ist. Das Planen, Bewerten und Steuern in Wahrscheinlichkeitsverteilungen und damit letztendlich das Akzeptieren von Unsicherheiten in Planungs- und Steuerungsprozessen erfordert einen längerfristigen Entwicklungsprozess, der mit der parallelen Existenz unterschiedlicher betriebswirtschaftlicher Steuerungswelten nebeneinander umgehen kann und zu dem Zielvereinbarungs- und Anreizsysteme kompatibel sind. Nach den bisherigen Erfahrungen lässt sich zusammenfassen, dass sich die Investitionen in einen solchen Ansatz lohnen, da insbesondere auch die damit einhergehenden Diskussionen über die Zusammenhänge zwischen Erfolgs- und Risikofaktoren und die Erkenntnisse über Bereichsgrenzen hinweg einen hohen wertstiftenden Charakter haben.
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
Tibor Papp, Beata Szoboszlai MOL Plc.
Übersetzt aus dem Englischen von Martina Reinecke, SAP AG
1
Die Öl- und Gasgesellschaft MOL Plc.
Das vor 15 Jahren gegründete ungarische Unternehmen MOL (Hungarian Oil & Gas Plc.) gehört zu den führenden Öl- und Gasgesellschaften Mitteleuropas und ist sowohl im Upstream- als auch im DownstreamGeschäft48 tätig. MOL war das erste staatliche Öl- und Gasunternehmen in Mittel- und Osteuropa, das privatisiert wurde. Die Aktie des Unternehmens ist an den Börsen von Budapest, Warschau und Luxemburg notiert und wird im Internationalen Orderbook (IOB) der Londoner Börse gehandelt. Die MOL Group verfügt über ein umfassendes, klar ausgerichtetes, effizientes und wachsendes Portfolio im Bereich Exploration und Produktion. Die Förderanlagen für das Upstream-Geschäft befinden sich in Ungarn und Russland, wobei die derzeitige Fördermenge bei etwa 95.000 boe49 pro Tag liegt. Darüber hinaus ist MOL an weiteren Erschließungs- und Entwicklungsprojekten im Jemen, in Pakistan, Kasachstan und im Oman beteiligt.
48
Upstream steht für Förderung und Exploration, Downstream für Raffinierung und Weiterverarbeitung. 49 Maßeinheit: Barrels of oil equivalent
112
Tibor Papp, Beata Szoboszlai
Das Downstream-Geschäft der MOL Group besteht aus zwei hochmodernen Raffinerien mit einer Gesamtkapazität von etwa 270 kbbl50 pro Tag. Die in diesen Raffinerien produzierten Benzin- und Diesel-Kraftstoffe entsprechen bereits heute der ab 2009 geltenden EU-Qualitätsrichtlinie. Die Raffinerieprodukte werden über Großhändler in ganz Mitteleuropa vertrieben. MOL ist in Bezug auf das Absatzvolumen an Tankstellen in Ungarn und der Slowakei marktführend. Die MOL Group setzt sich zusammen aus der Muttergesellschaft MOL, TVK (größtes petrochemisches Unternehmen in Ungarn) und Slovnaft (staatliche Ölgesellschaft der Slowakei). Die MOL Group ist außerdem mit 25 % und einer Aktie an der kroatischen Ölund Gasgesellschaft INA beteiligt.
2
Zentrale Organisation des Risikomanagements
Im Jahr 2005 beschloss die MOL Group, ihre Aktivitäten im Bereich Risikomanagement erheblich auszuweiten und so das Risikobewusststein bzw. die Risikokultur unternehmensweit zu stärken. Zu diesem Zweck wurde die zentrale, eigenständige Organisation Gruppen-Risikomanagement (GRM) eingerichtet, die direkt an den Gruppen-CFO berichtet. Ende 2005 wurde mit der Einführung eines Konzepts für das Enterprise Risk Management (ERM) begonnen. Bis zu diesem Zeitpunkt war eine zentrale Funktion innerhalb des Bereichs Treasury für das Risikomanagement zuständig. Zu den Aufgabenbereichen zählten das Management von Finanzrisiken (Wechselkurse, Zinssätze und Rohstoffpreise) und der Abschluss von Versicherungen zur Abdeckung der wichtigsten operationellen Risiken.
50
Maßeinheit: Kilo (tausend) Barrel
Einführung einer Methodik zur Risikoaggregation bei der MOL Group Die neue Organisationseinheit Group Risk Management (GRM) wurde im Januar 2006 geschaffen
Chairman
GCEO
Die Funktion Risikomanagement wurde vom Bereich Treasury in die neue Einheit „Group Risk Management” verlagert
Die Funktion Risikocontroller wurde neu geschaffen, wobei jeder Controller für mehrere Geschäftsbereiche zuständig ist
Risikoberichte werden monatlich, quartalsweise und jährlich für das obere Management und den Bilanzprüfungsausschuss erstellt
Kennzahlen für die Risikoquantifizierung als Grundlage für zentrale Entscheidungsprozesse (z. B. strategische Überprüfung, Kapitalverteilung)
Maßnahmen zur Risikominderung und Know-how zu Best Practices müssen geschäftsbereichsübergreifend optimiert werden
Geschäftsbereichsleiter
GCFO
E&P GT
Treasury
R&M
Ret
L
PC
Group Risk Management
P&C
Kreditmanagement Liquiditätsmgnt. Kapitalmärkte Finanzverwalter Landesgesellschaft
Analysen
113
Versicherungen
UpstreamRisikocontroller
DownstreamRisikocontroller
Marktrisiko GRM-Modellierung
Abb. 27. Überblick konzernweites Risikomanagement
Die relativ kleine Organisationseinheit Gruppen-Risikomanagement besteht aus einem Team von etwa zehn Mitarbeitern, dem Experten aus dem Öl- und Gasgeschäft und Risikomanagement-Experten angehören. Die Risikoaggregation erfolgt bei der MOL Group auf der Grundlage der Methodik für das ERM. Das Konzept zielt im Wesentlichen darauf ab, unterschiedliche Risikoklassen (finanzielle, operationelle und strategische Risiken) anhand einer einheitlichen Methodik konzernweit zu analysieren und zu verwalten sowie Risikoberichte zu erstellen. Die Hauptaufgaben des Gruppen-Risikomanagements sind im Einzelnen: Finanzrisikomanagement
• Ausarbeiten der Strategien und Richtlinien für das Finanzrisikomanagement - Erfassen und Überprüfen von Daten - Prüfen von Finanzrisiken, Sensitivitätsanalyse - Definition von Grenzen und Strategien • Absicherungsvorschläge, Analysieren von Verträgen - Einleiten von Sicherungsgeschäften auf der Grundlage des Risikomanagementmodells (Ausführung durch Treasury) - Einleiten von Sicherungsgeschäften auf der Grundlage der Koordination mit den Geschäftsbereichen (Ausführung durch Treasury) - Analyse der Sicherungsgeschäfte - Erstellen von Geschäftsvorschlägen
114
Tibor Papp, Beata Szoboszlai
Versicherungen
• Analyse der Selbstbeteiligung • Festlegen der Strategie für das Verlängern von Versicherungen • Verlängerung der Policen für alle Versicherungsprodukte (Sachschäden, Betriebsunterbrechung, Haftpflichtversicherung) • Kontrolle des Versicherungsmaklers • Verwalten der konzerneigenen Versicherungsgesellschaft (MOL Re) • Unterstützung der Geschäftsbereiche bei der Fallbearbeitung Risikobewertung und Berichterstellung (Konzernweit)
• Messen, Modellieren und Analysieren von Risiken - Erfassen und Prüfen von Markt- und Plandaten für Finanzrisiken (Preis, Volumen, Vorhersage, Marktwert) - Ausarbeiten von Marktanalysen und Vorschlägen (Marktüberwachung, Vorhersage, Auswahl der Zinsperiode) - Erfassen von Daten zur Wahrscheinlichkeit und Tragweite von strategischen und operationellen Risiken mit Hilfe der Risikoverantwortlichen - Modellieren (Einbinden der Daten in das Modell, Durchführen von Cashflow-at-Risk-Simulationen) - Aktualisieren der Risikopyramide • Berichterstellung - Bereitstellen von Informationen zu abgeschlossenen Transaktionen (Genehmigungsverantwortlicher, Kunde) - Erstellen des Monatsberichts zu Finanzrisiken (für Management und Prüfungsausschuss) - Erstellen der Quartalsberichte zu allen Risiken für Geschäftsbereichsleiter, Vorstand und Prüfungsausschuss - Vorschläge für Vorstand/Geschäftsbereichsleiter Zusätzlich zu den drei Hauptaufgaben soll die Funktion GRM auch die Entscheidungsprozesse des Konzerns und der Geschäftsbereiche unterstützen.
3
Modell des Enterprise Risk Management
Das ERM basiert auf einem Bottom-up-Modell, das sämtliche Geschäftsbereiche der MOL Group gemeinsam betrachtet. Das Modell ist in erster Linie für strategische Entscheidungsprozesse konzipiert und somit auf den Zeitraum der nächsten zehn Jahre ausgerichtet, wobei für jedes Jahr aus-
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
115
führliche Berechnungen angestellt werden. Mit der Quantifizierung von Risiken wird der bisherige Ansatz, Projekte ausschließlich anhand ihrer Rendite oder ihres Barwerts zu vergleichen, um eine zusätzliche Dimension ergänzt. In der Realität ist es möglich, dass der erwartete Barwert für zwei Projekte (nahezu) gleich ist, jedoch eines dieser Projekte stärkere Schwankungen bzw. eine breitere Verteilungskurve der möglichen Barwertergebnisse aufweist. Dieses Projekt wäre bei einem Vergleich dann als riskanter einzustufen. Die Berücksichtigung derartiger Risiko-RenditeAspekte bietet den Unternehmen theoretisch großen Nutzen. In der Praxis gestaltet sich das Ganze jedoch schwierig, da die Bewertung von Projekten im Rahmen eines Portfolios erfolgen sollte. Das bedeutet, dass die Projekte anhand ihres Beitrags zu den Risiko-Rendite-Eigenschaften des gesamten Portfolios verglichen werden sollten. Dies kann aber ein völlig anderes Ergebnis zur Folge haben. Für die ERM-Modellierung werden zunächst die Risiken und zugrunde liegenden Risikotreiber definiert, die möglicherweise Auswirkungen auf die Umsätze oder Kosten haben. Zur Identifizierung der relevanten Risiken (Abbildung des so genannten Risikobaums), Erfassung der erforderlichen Werte und Bewertung der Auswirkungen einzelner Risiken führt das GRM-Team ausführliche Gespräche mit den Leitern und Experten der jeweiligen Bereiche. Es nutzt darüber hinaus verschiedene interne und externe Datenbanken, wie z. B. Benchmarking, Branchenanalysen und Untersuchungen. Dabei kommt ein Bottom-up-Modell zum Einsatz. Es basiert auf separaten und umfassenden Volumen- und Preisdaten für die einzelnen Produktionsbereiche, die vom Bereich Planung & Controlling bereitgestellt werden oder als Marktkurse verfügbar sind. Diese Volumenund Preisvariablen werden im Rahmen der Monte-Carlo-Simulation variiert. Humankapital Ruf des Unternehmens
Marktrisiko (Wechselkurse, Rohstoffpreise)
Finanzrisiken
Rückgang der Nachfrage im Volumengeschäft Verlust von Marktanteilen
Kreditrisiko
Störfälle in Produktionsanlagen
Auswirkung auf Shareholder Value
Ausfall von IT-Systemen
Preisverfall Steigende Kosten Erfolg von Firmenübernahmen Längerfristige Unterbrechungen der Erdölförderung
Logistische Störfälle Ökologische Störfälle
Strategische Risiken
Operationelle Risiken
Neue gesetzliche Anforderungen
Kriminelle Aktivitäten
Abb. 28. ERM befasst sich mit drei zentralen Risikogruppen
116
Tibor Papp, Beata Szoboszlai
Es werden in erster Linie Finanzrisiken, strategische und operationelle Risiken analysiert. • Finanzrisiken umfassen Marktrisiken (z. B. Risiken durch schwankende Rohstoffpreise, Kursrisiken) und Kreditrisiken (z. B. Kontrahentenausfallrisiken). • Zu den strategischen Risiken zählen ein Rückgang der Nachfrage im Volumengeschäft, der Verlust von Marktanteilen, Preisverfall (mangelnde Preisgestaltungsmöglichkeiten), steigende Kosten, der Erfolg von Firmenübernahmen, längerfristige Unterbrechungen der Erdölförderung und neue gesetzliche Anforderungen. • Unter die operationellen Risiken fallen Störfälle in Produktionsanlagen, der Ausfall von IT-Systemen, logistische Störfälle, ökologische Störfälle und kriminelle Aktivitäten. Bei der Abbildung auf die einzelnen Geschäftsbereiche und Identifizierung der zugrunde liegenden Risikotreiber lassen sich viele dieser Risiken weiter aufgliedern. Risikotreiber werden insbesondere im Fall operationeller Risiken häufig in Risikotreiber mit erheblichen Auswirkungen und Risikotreiber mit geringen Auswirkungen unterteilt. Die Klassifizierung von Risiken erfolgt dabei auf der Grundlage von Erfahrungen, da die Analyse sowohl interner als auch externer Verlustdaten zwei unterschiedliche Risikogruppen ergab. Risiken mit geringen Auswirkungen können zwar häufiger vorkommen, haben jedoch keine signifikanten Auswirkungen auf die Geschäftstätigkeit – der Verlust liegt unter der definierten Obergrenze –, während Risiken mit erheblichen Auswirkungen selten oder möglicherweise noch nie eingetreten sind. Diese Untergliederung von operationellen Risiken ist auch für die Entwicklung und Analyse der Versicherungsstrategie des Unternehmens von großem Nutzen. Darüber hinaus lassen sich auch die Auswirkungen von Risiken in die Gruppen materielle Schäden und Störung der Geschäftstätigkeit unterteilen. 3.1 Übernahme von Daten in das ERM-Modell
Nach der Identifizierung von Risiken (Ereignissen) und der wichtigsten Risikotreiber, die sich auf das Ergebnis in den einzelnen Geschäftsbereichen und auch das Ergebnis des gesamten Konzerns, z. B. bei Übernahmen, auswirken können, müssen für die einzelnen Risikotreiber die Eintrittswahrscheinlichkeit und die Tragweite quantifiziert werden. Nur so kann das Ausmaß der Auswirkungen auf die zukünftigen Finanzergebnisse des Konzerns berechnet werden. Das Wahrscheinlichkeitsattribut eines Risikotreibers beschreibt die Eintrittswahrscheinlichkeit eines Risikos und
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
117
lässt sich in vielen Fällen als Häufigkeit, mit der ein Ereignis eintritt, interpretieren. Die Auswirkungen werden meist durch eine Wahrscheinlichkeitsverteilung beschrieben. Wahrscheinlichkeitsverteilungen bestehen im Idealfall aus einer möglichst gleichmäßigen Kurve mit aussagekräftigen Daten, d. h. mehreren Datenpunkten oder Schlüsselparametern (z. B. Normalverteilung: Mittelwert und Schwankungsbreite). In vielen Fällen und insbesondere bei strategischen Risiken ist die Berechnung der Verteilung jedoch schwierig und selbst für Experten problematisch, wenn keine Erfahrungswerte aus der Vergangenheit vorliegen. So reicht das Spektrum von relativ präzisen Verteilungen bis hin zu eher groben Schätzungen. Im optimalen Fall werden der Erwartungswert des Ereignisses und die Schwankungsbreite ermittelt, oder anstelle der Schwankungsbreite werden Werte für die Tragweite an bestimmten Quantilen der experimentell ermittelten Verteilungen definiert, z. B. bei einer Wahrscheinlichkeit von 5 % und 95 %. Oft lassen sich für die Tragweite lediglich Durchschnitts-, Mindest- und Höchstwerte schätzen. In diesen Fällen wird aus den verfügbaren Datenpunkten eine ungefähre Verteilungskurve erstellt, wobei abhängig vom jeweiligen Risikotreiber unterschiedliche Hochrechnungsmethoden oder eine diskrete Verteilungsform zum Einsatz kommen. Die Tragweite kann anteilig definiert werden, beispielsweise als Anzahl der betroffenen Tage, Prozentsatz des Produktionsverlustes oder einfach als Wert. Wahrscheinlichkeit %
Wahrscheinlichkeitsverteilung
Wahrscheinlichstes Ergebnis
Parameter
„Eintrittsort” der Auswirkungen Hauptrisiko
Auswirkungen auf Cashflow
Umsatz
Betriebsergebnis
Selbstkosten
Steuern
Energie
Sonst. Kosten
Die Eingabe von Daten für diese Kurve und ihre zeitliche Entwicklung erfolgt durch Experten, die von den Geschäftsbereichsleitern unterstützt werden Kennzahl zur Messung der Auswirkungen auf den Cashflow
Operativer Cashflow
Freier Cashflow
Personal
Risikotreiber
Transportkosten Umlaufvermögen Investitionsaufwand
InvestitionsCashflow
€
Auswirkungen auf Cashflow
Die Eingabe von Daten für diese Kurve und ihre zeitliche Entwicklung erfolgt durch Experten, die von den Geschäftsbereichsleitern unterstützt werden Parameter
Korrelationen
Mit Unterstützung der Geschäftsbereichsleiter werden Korrelationen zwischen Risikotreibern und/oder Hauptrisiko ermittelt
Abb. 29. Grundsätzliches Vorgehen zur Quantifizierung der Gesamtrisiken
118
Tibor Papp, Beata Szoboszlai
Daten für Finanzrisiken lassen sich vergleichsweise einfach erfassen, da historische Preise sowie durch Marktdaten gestützte Schätzungen für die Zukunft, z. B. in Form von Terminpreisen, zur Verfügung stehen und es allgemein anerkannte Methoden zur Berechnung der Schwankungsbreiten dieser Werte gibt. • Für operationelle Risiken stehen verschiedene Datenbanken zur Verfügung. Für die Häufigkeit und Tragweite von Ereignissen können auch unternehmensinterne Statistiken herangezogen werden. In einigen seltenen Fällen lassen sich diese Werte nur anhand von Schätzungen der Experten ermitteln. In aller Regel werden diese Schätzungen jedoch bereits zur Ermittlung der Versicherungsrisiken und der entsprechenden Versicherungsprämien von unabhängigen Experten vorgenommen. • Strategische Risiken bilden die Risikogruppe, die am schwierigsten zu identifizieren und zu modellieren ist und für die sich auch nur schwer Daten finden lassen. Bei strategischen Risiken kommen daher weitestgehend Einschätzungen und Ansichten von Experten sowie Erkenntnisse aus Gesprächen und Arbeitsgruppen zum Tragen, die nach Möglichkeit durch externe Studien usw. gestützt werden. Erforderliche Informationen/Aktivitäten Schritt 1
Identifizieren aller wichtigen Risikotreiber
Auswahl des Schritt 2 Quantifizierungsverfahrens
• Branchenanalyse, Gespräche mit Management • Validierte Risikopyramide für die konzernweiten Hauptrisiken und Risikotreiber • Auswahl der Hauptrisiken mit Auswirkungen auf finanzielle Kennzahlen • Definition der Quantifizierungsverfahren für die Hauptrisiken (Identifizieren der Basisvariablen, die variiert werden) • Definition relevanter Korrelationen
Schritt 3
Schätzen der Wahrscheinlichkeit der Risikotreiber
Schritt 4 Bewerten der Auswirkungen der Risikotreiber
• Historische Daten als Diskussionsgrundlage und zur Stützung der Ergebnisse • Erörterung ausgewählter Parameter mit der Geschäftsführung -
Definieren der Wahrscheinlichkeiten
-
Definieren der Auswirkungen auf den Cashflow (oder andere Kennzahlen)
-
Definieren der Korrelationen
• Erstellen der Verteilungen für die Risikosituation mit Hilfe eines Risikomodellierungswerkzeugs
Simulation der Auswirkungen Schritt 5 auf den Cashflow
• Daten aus dem Bereich Planning & Controlling dienen als Grundlage für die Berechnungen • Die Aggregation aller Risiken und Geschäftsbereiche erfolgt durch die Definition von Korrelationen
Abb. 30. Prozessschritte der Risikoquantifizierung
Einführung einer Methodik zur Risikoaggregation bei der MOL Group 3.2
119
Integrierte Risikoquantifizierung
Die Quantifizierung von Risiken erfolgt mit Hilfe der Monte-CarloSimulation, die auf einer sehr großen Zahl von Simulationsdurchläufen basiert, d. h. die Ergebnisse werden aus zahlreichen möglichen Konstellationen der Eingaben berechnet. Dabei verhalten sich die Eingaben wie stochastische Variablen. Das Modell erzeugt nach den gemeinsam mit den Experten aus den Geschäftsbereichen festgelegten Verteilungskurven in jedem Simulationslauf Zufallswerte für die Eingabevariablen. Korrelationen werden ebenfalls berücksichtigt. Sie werden jedoch nicht direkt zwischen den Risikotreibern selbst definiert – was eine stärkere Subjektivität des Modells zur Folge hätte –, sondern zwischen den zugrunde liegenden Basisvariablen. Korrelationen ergeben sich auch auf natürliche Weise durch die Tatsache, dass bei der Quantifizierung weiterer Risikotreiber verschiedene solcher Basisvariablen („Bausteine“ - die Basis des Risikobaums) zum Einsatz kommen. So ist zwar keine Korrelation zwischen verschiedenen technologischen Entwicklungen in der Automobilindustrie definiert, z. B. Verbreitung von Hybridfahrzeugen und Entwicklung von Wasserstoffmotoren. Da aber beide Risikotreiber auf dem Kauf von Neuwagen basieren und in starkem Ausmaß vom Wachstum des BIP abhängen, wird eine Korrelation implizit vorausgesetzt. Da das BIPWachstum auch bei völlig anderen Risikotreibern eine Rolle spielt, z. B. geänderte Nachfrage nach petrochemischen Produkten, gibt es auch mit diesem Risikotreiber eine implizite, jedoch nicht quantifizierte Korrelation. Strategische Risikotreiber werden unabhängig voneinander betrachtet, analysiert und von messbaren, im Optimalfall marktbezogenen oder offiziellen Daten, abgeleitet. Aufgrund verschiedener gemeinsamer Variablen, die diesen Risikotreibern zugrunde liegen, lassen sich in manchen Fällen nachträglich implizite Korrelationen feststellen. Die aggregierten Ergebnisse werden nach einem der Value-at-RiskMethode ähnlichen Verfahren interpretiert (Operating- oder Free-Cashflow-at-Risk, EBIT oder EBITDA-at-Risk, NPV-at-Risk). Neben den Risiken werden hierbei auch die Chancen berücksichtigt. Die Analyse wird auf Jahresbasis, derzeit von 2007 bis 2015, für die einzelnen Geschäftsbereiche und für den Konzern als Ganzes durchgeführt. Die Anzahl der Durchläufe ist variabel und liegt in der Regel zwischen 3.000 und 5.000. Um aussagekräftigere Zahlen zu erhalten, werden in manchen Fällen auch mehr als 5.000 Durchläufe ausgeführt. Die Ergebnisse der einzelnen Durchläufe der Monte-Carlo-Simulation sind Rohdaten. Um ein Risikoprofil ausarbeiten zu können, d. h. die Simulationsergebnisse auf einer Kurve abbilden zu können, werden die großen Rohdatenbestände in Bandbreiten mit einer Standardgröße gegliedert. Sie
120
Tibor Papp, Beata Szoboszlai
bestehen aus kleinen Intervallen jeweils gleicher Größe – in der Regel 100 – und reichen vom kleinsten bis zum größten Ausgabewert. Anschließend wird die Anzahl der während der Monte-Carlo-Simulation erzeugten Datenpunkte berechnet, die in die einzelnen Bandbreiten fallen. Diese werden als Häufigkeiten bezeichnet. Die standardisierte Häufigkeit der einzelnen Bandbreiten-Größen wird dann auf die Bandbreiten abgebildet, um die Verteilungskurve zu erstellen.
Abb. 31. Quantifizierung von Störfällen in Produktionsanlagen
Beim ERM wird auch der Erwartungswert der Simulationsergebnisse berechnet. Zur besseren Veranschaulichung sind in den abgebildeten Verteilungskurven außerdem bestimmte Punkte dargestellt, beispielsweise die Werte des 5 % und des 95 % Quantils. Beim ersten Ausgabewert (z. B. EBITDA) beträgt die Wahrscheinlichkeit 5 %, dass der tatsächliche Wert darunter liegt. Beim zweiten Wert beträgt die Wahrscheinlichkeit, dass der tatsächliche Wert darüber liegt, ebenfalls 5 %. Entsprechendes gilt für andere Punkte, die auf der Kurve dargestellt sind. Es lässt sich außerdem die Wahrscheinlichkeit berechnen, dass die tatsächlichen Werte über (x %) oder unter den geplanten Zahlen (100-x %) liegen. Der Bericht zu den Simulationsergebnissen zeigt zum einem die Risiken für ein bestimmtes Jahr und liefert zum anderen ein dynamisches Bild der zeitlichen Entwicklung der Simulationsergebnisse. Die Kurve dieser Entwicklung ist erwartungsgemäß normalverteilt, da die Risiken in der Regel bei weiter in der Zukunft liegenden Schätzungen zunehmen.
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
121
Mittelwert
50 %
50 % Planwert
Wahrscheinlichkeit
X%
9% 8%
5. Perzentil
95. Perzentil
6% 5%
5%
5%
3% 2% Ausgabe (z. B. EBITDA)
0%
Abb. 32. Wahrscheinlichkeitsverteilung der Simulationsergebnisse
Ausgabe (z. B. EBITDA) Mean Plan 95% Percentile 5% Percentile
Zeit 2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
Abb. 33. Zeitliche Entwicklung der Simulationsergebnisse
3.3 Unternehmensspezifische Details, Merkmale und Herausforderungen
Die Anzahl der mit dem ERM-Modell ermittelten Risiken beträgt derzeit 75, wobei sich diese Risiken bei Bedarf weiter aufgliedern lassen. Den einzelnen Risiken können wie geschildert mehrere Risikotreiber zugrunde liegen.
122
Tibor Papp, Beata Szoboszlai
Abb. 34. Aufgliederung strategischer Risiken (Risikopyramide)
Einige methodische Beispiele sollen das Konzept für die Risikoaggregation veranschaulichen: • Bei der Modellierung von Wechselkursen werden die impliziten – von den Optionsprämien abgeleiteten – Volatilitäten für die unterschiedlichen Währungen erfasst. Mögliche zukünftige Währungsschwankungen werden mit Hilfe von logarithmischen Normalverteilungen für die von Makroanalysten berechneten zukünftigen Erwartungswerte modelliert bzw. für Schätzwerte beim Vergleich der Ergebnisse mit den Planzahlen. Korrelationen zwischen Währungen werden berücksichtigt. • Bei den Preisen für Rohstoffe, wie Erdöl, Erdgas, petrochemische Produkte, bilden ebenfalls die impliziten Volatilitäten und Korrelationen zwischen den verschiedenen Rohstoffen die Basis für die Simulation. Schwankungen der Produktpreise werden mit Hilfe von logarithmischen Normalverteilungen für die Terminkurse modelliert. Im Modell wachsen die Eingabeschwankungen jährlich um die Quadratwurzel der Zeit. Der Spread für Brent/Ural wird separat modelliert. • Der risikobereinigte Crack-Spread, der im Raffineriegeschäft von entscheidender Bedeutung ist, wird als Differenz zwischen den risikoberei-
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
•
•
•
•
123
nigten Produktpreisen und dem Rohstoffpreis modelliert. Es werden auch historische Volatilitäten für die unterschiedlichen Rohstoffe und Korrelationen zwischen Produkten berücksichtigt. Für den CrackSpread wird die Untergrenze bei Null festgelegt. Sämtliche Korrelationen zwischen den Marktrisiken werden in einer Korrelationsmatrix erfasst. Im Hinblick auf den Umgang mit den Volatilitäten der Wechselkurse und Rohstoffpreise sowie den Korrelationen steht die MOL Group in ständigem Dialog mit renommierten Theoretikern, führenden Unternehmen und Analysten. Wie bereits beschrieben, antizipieren die Volatilitäten Veränderungen in der Zukunft, da sie auf der Grundlage der Kursnotierungen am Optionsmarkt berechnet werden. Die Mean Reversion wird nicht direkt in die Preisbildungsprozesse eingebunden. Die Verwendung von geeigneten Kurven mit impliziter Volatilität stellt jedoch längerfristig gesehen eine gewisse Reversion sicher. Im Hinblick auf Korrelationen müssen historische Kursnotierungen verwendet werden. Da keine impliziten Kovarianzwerte zur Verfügung stehen, ist eine Berechnung von Korrelationen, die Veränderungen in der Zukunft antizipieren, nicht möglich. Im Fall von Rohstoffen sind Korrelationen aufgrund der technologischen Abhängigkeiten immer gegeben. Bei Wechselkursen kann die Stabilität auch aufgrund von Erfahrungen vorausgesetzt werden, weshalb eine vollständige Überprüfung nur einmal jährlich vorgenommen wird. Da die Korrelationsdaten lediglich zur Einschätzung des Risikoumfangs und nicht für den Handel verwendet werden, bietet die Methode ein ausreichendes Maß an Genauigkeit. Neben den oben dargestellten Beispielen für Marktrisiken soll noch ein Beispiel für strategische Risiken angeführt werden: In das Modell wird eine Korrelation zwischen dem Rückgang des Marktanteils auf einem bestimmten Markt und dem Sinken der Margen eingefügt, um zu veranschaulichen, dass der Verlust von Marktanteilen auch schwindende Margen zur Folge hat. Derartige direkte Korrelationen zwischen strategischen Risikotreibern – die im Modell sehr selten vorkommen, damit die Objektivität gewährleistet bleibt – beruhen auf Markterfahrungen und werden gemeinsam von Experten im Außendienst und dem Leiter der Finanzabteilung auf der Grundlage von Ergebnissen unterschiedlicher Studien definiert. Im Bereich der operationellen Risiken werden auch ökologische Störfälle als mögliche Folgeereignisse berücksichtigt, die beispielsweise durch den Ausfall von Anlagen oder Naturkatastrophen verursacht werden können. Ebenfalls berücksichtigt werden die Auswirkungen abgesicher-
124
Tibor Papp, Beata Szoboszlai
ter und versicherter Risiken, so dass das Modell nur noch die verbleibenden Risiken, z. B. Selbstbeteiligung bei Versicherungen, oder gar keine Risiken mehr enthält. Zwischen den Daten und Ereignissen des ERM-Modells bestehen Wechselbeziehungen, selbst wenn bestimmte Risiken unterschiedlichen Risikoklassen angehören. Wenn also beispielsweise die Wahrscheinlichkeit einer Erhöhung der Förderabgaben in einem Land (strategisches Risiko) im Falle eines hohen Preisniveaus für Erdöl (Marktrisiko) größer ist, entstammt dieser Ölpreis als Eingabewert für den strategischen Risikotreiber der Simulation der Marktrisiken im Modell. Somit gibt es theoretisch bei keiner der zahlreichen Konstellationen in den Durchläufen der MonteCarlo-Simulation Diskrepanzen zwischen Eingabedaten und möglichen Ereignissen. Diese Logik zeigt sich auch, wenn verschiedene Risikotreiber teilweise identische Variablen aufweisen, wie im Beispiel der unterschiedlichen technologischen Entwicklungen bei Automotoren. Bei der Analyse eines Ergebnisses der vielen Tausend Durchläufe der Monte-CarloSimulation wird der Entwicklung von Hybridfahrzeugen und Wasserstoffmotoren und sogar der geänderten Nachfrage nach petrochemischen Produkten dasselbe BIP-Wachstum zugrunde gelegt. Da das BIP-Wachstum variiert wird, kann es sich natürlich in den einzelnen Durchläufen unterscheiden, so dass auch für die oben genannten Risikotreiber unterschiedliche Szenarien entstehen. Aus technischer Sicht basiert das ERM-Modell auf separaten Arbeitsmappen, die mit Hilfe integrierter Verknüpfungen gleichzeitig ausgeführt werden. Die erfassten Eingaben aus den Geschäftsbereichen, Planung & Controlling, Treasury, Marktdaten, Schätzungen der Experten aus Workshops und Gesprächen sowie externen Informationen werden in Form von Kapitalflussrechnungen dargestellt. Bei jedem Durchlauf werden sowohl für die einzelnen Geschäftsbereiche als auch für den gesamten Konzern neue Zahlen für diese Kapitalflussrechnungen erzeugt. Neben den bereits erwähnten risikobereinigten Kapitalflussrechnungen werden zu Vergleichszwecken separate Blätter ohne Simulation verwendet, die feste Schätzwerte oder Terminkurse als Eingaben enthalten. Die Ergebnisse der letzten Bottom-up-Blätter sollten mit den Ergebnissen der normalen Berechnungen von Planung & Controlling im Top-down-Modell vergleichbar sein. Mit Hilfe des ERM lassen sich die Risiko-Rendite-Attribute von Geschäftsbereichen, Projekten und betrieblichen Entscheidungen identifizieren. Es kann außerdem berechnet werden, wie sich Risikotypen und einzelne Risiken auf die Renditeschwankung auswirken. Diese Berechnungen bieten einen besseren Einblick in die Ursachen und Merkmale unterschied-
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
125
licher Risikotypen und ermöglichen eine Kategorisierung in Risiken, die in Kauf genommen werden – nach einer von den Aktionären gebilligten Strategie, z. B. den generellen Rohstoffpreisen –, in Risiken, die auf natürliche Weise durch andere Geschäftsbereiche der MOL Group abgesichert sind, z. B. sind Risiken aus dem Bereich Exploration and Produktion auf natürliche Weise durch die Bereiche Vertrieb und Marketing abgesichert – und in Risken, die durch spezielle Hilfsmittel gemindert werden müssen , z. B. Versicherungen oder in Sonderfällen das Sichern der Rohöl- oder Kraftstoffpreise auf dem Markt durch Derivate. Wenn ein Risiko bereits gemindert ist, beispielsweise durch eine Versicherung, wird dies natürlich ebenfalls berücksichtigt. Priorisierung von Risikotreibern und Überwachung der Maßnahmen zur Risikominderung
Mit Hilfe einer Analyse der Risikotreiber können Risiken identifiziert werden, die bestimmte Grenzwerte überschreiten oder bei denen das geplante Ergebnis das Risikoausmaß nicht rechtfertigt Die Risikoverantwortlichen und das Group Risk Management können gemeinsam KostenNutzen-Analysen durchführen und so die optimalen Maßnahmen zur Risikominderung bestimmen Diese Maßnahmen können dann mit Hilfe der regelmäßigen Risikoberichte überwacht werden
Risikokategorie Risiko
Risikoverant- Erforderliche Risikotreiber wortl. Maßnahmen
Finanzrisiko Marktrisiko
Crude-Spread & Crack-Spread
Auf natürliche Weise durch den Bereich R&M abgesichert
Finanzrisiko Marktrisiko
Wechselkurse
Absicherung
Finanzrisiko Marktrisiko
Gaspreis
Regierungslobby
Strategisches Wirtschaftliches Risiko Risiko
Kontrahentenausfallrisiko
Überprüfung der Ratingrichtlinien der Partner
Strategisches Nachteilige Risiko Regierungsmaßnahmen
Widerrufsvereinbarungen
Regierungslobby, Vertragsvereinbarungen
Strategisches Geologische Risiko Risiken
Überschätzung der Reserven
Bessere Prozesse und Technologien
Strategisches Nachfrage im Risiko Volumengeschäft
Verbrauch
Suche nach Wachstumsmärkten
OperatioBetriebsunternelles Risiko brechung
Mangelnde Ausrüstung
Bessere Beschaffungsund Kontrollprozesse
OperatioBetriebsunternelles RIsiko brechung
Unzureichende Wartung
Bessere Kontrollprozesse
Fortschrittsbericht
Abb. 35. Priorisierung wichtiger Maßnahmen zur Risikominderung
Die Risikominderung empfiehlt sich nicht für alle Risiken – manche Risiken werden aufgrund der Unternehmensstrategie bewusst in Kauf genommen. Das Risikomanagement sollte auf Konzernebene erfolgen, wobei Portfolioauswirkungen zu berücksichtigen sind, da manche Risiken (z. B. Ölpreisrisiko) durch andere Geschäftsbereiche ausgeglichen werden. Die Ausarbeitung von Plänen für die Geschäftskontinuität, Instrumente für das Krisenmanagement und sonstige Programme zur Risikokontrolle (z. B. Sicherheitspläne) werden durch das ERM ebenfalls unterstützt. Die MOL Group verfolgt eine ehrgeizige Wachstumsstrategie und befindet sich folglich auf Wachstumskurs, der durch strategische Risiken nachhaltig beeinflusst werden kann. Im Zeitverlauf erhalten diese strategischen Risiken im Gesamtrisikoprofil immer größeres Gewicht. Strategische Risiken lassen sich aber am schwierigsten erfassen und quantifizie-
126
Tibor Papp, Beata Szoboszlai
ren, da in der Regel keine oder nur wenige historische Daten zur Verfügung stehen. Die Risikoeinschätzung muss daher auf der Grundlage von Annahmen des GRM-Teams und von Experten erfolgen, die trotz der Unabhängigkeit von den Geschäftsbereichen subjektiv sein können. Das GRM-Team versucht dabei, einen Mittelweg zwischen der Komplexität des Modells und dem damit verbundenen Aufwand zu finden. Es werden daher nach Möglichkeit keine unnötigen Details berücksichtigt, um nicht den Überblick über das Verhalten der wichtigsten Risikofaktoren zu verlieren. Die Definition einer Mindestgrenze für die Tragweite, d. h. nur Risiken über dieser Grenze werden im Modell berücksichtigt, stellt ein Element des verfolgten Ansatzes dar. Vor der Implementierung des Enterprise Risk Management wurde bereits ein Modell zur Berechnung von Finanzrisiken eingesetzt. Dieses Modell basierte ebenfalls auf dem Cashflow-at-Risk-Konzept und lieferte nach unseren Erfahrungen gute Ergebnisse. Beim Beschluss, das Risikomanagement um wichtige neue Risikotypen zu erweitern, lag es daher nahe, auch die bereits vorhandenen Werkzeuge und Kenntnisse zu nutzen. Im Hinblick auf verschiedene spezielle Problemstellungen, z. B. die Berücksichtigung schwer quantifizierbarer Szenarien bei einzelnen Risikotreibern, werden in erster Linie interne Wissensressourcen genutzt, um das Modell bestmöglich weiterzuentwickeln. Das Gruppen-Risikomanagement erstattet dem Vorstand, der Finanzabteilung, dem Bilanzprüfungsausschuss des Aufsichtsrats und dem oberen Management der jeweiligen Geschäftsbereiche über die Ergebnisse des ERM-Modells Bericht.
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
127
Anteil der Risikotreiber am Konzernrisiko (2006)3 EBITDA-at-Risk (2006, konzernweit)
% 4%
5. Perzentil
Mittelwert
95. Perzentil
2% 0%
Anteil am Konzernrisiko nach Geschäftsbereich3 GasTr 10 %
Schmieröle 15 %
Risiko
Risikotreiber
Finanzrisiko
Marktrisiko
Crude-Spread & Crack-Spread
25,00 %
Finanzrisiko
Marktrisiko
Wechselkurse
10,00 %
Finanzrisiko
Marktrisiko
Gaspreis
10,00 %
Strategisches Risiko
Wirtschaftliches Risiko
Kontrahentenausfallrisiko
6,00 %
Strategisches Risiko
Nachteilige Regierungsmaßnahmen
Widerrufsvereinbarungen
6,00 %
Strategisches Risiko
Geologische Risiken
Überschätzung der Reserven
6,00 %
Strategisches Risiko
Nachfrage im Volumengeschäft
Verbrauch
6,00 %
Operationelles Risiko
Betriebsunterbrechung
Mangelnde Ausrüstung
8,00 %
Operationelles Risiko
Betriebsunterbrechung
Unzureichende Wartung
8,00 %
Sonstige: 15 %
Grenzwert: 3 %
EBITDA 1
BNHUF
Petrochem. Produkte 15 %
Kategorie
Strategisches Risiko 30 %
R&M 30 %
Relativer Anteil
Finanzrisiko 50 %
Anteil am Konzernrisiko nach Risikotyp4 E&P 15 %
1 2 3
Handel 15 %
Alle Kennzahlen können berechnet werden (OCF, FCF, EBIT). Operationelles Risiko nach Versicherung berechnet Alle Anteilsberechnungen basieren auf dem Abstand zwischen dem 5. und 95. Perzentil der EBITDA-Verteilung.
Operationelles 2 Risiko 20 %
Abb. 36. Beispiel regelmäßiger Risikoberichte für die Geschäftsführung
Die Berichte werden quartalsweise für den Bereich Enterprise Risk Management und monatlich für den Bereich Financial Risk Management erstellt. Das obere Management erhält außerdem einen Bericht zur aggregierten Gesamtrisikoposition.
4
Zukünftige Anwendungsbereiche des ERM-Modells
Das GRM-Team ist derzeit mit dem Abschluss der ERM-Implementierung beschäftigt, wurde jedoch bereits gebeten, durch die Bereitstellung aggregierter Risikoinformationen an der Prüfung potenzieller Firmenübernahmen mitzuwirken. Bereits 2005 wurde die mittelfristige strategische Planung durch eine erste Bewertung der strategischen Risiken unterstützt. Auch in nächster Zeit wird das Enterprise Risk Management bei der Prüfung des gegenwärtigen und zukünftigen Portfolios der MOL Group sowie der einzelnen Portfolioelemente eine wichtige Rolle spielen. Regelmäßige und systematische Risikoberichte, Risiko-Rendite-Darstellungen und verschiedene weitere Anwendungsbereiche (z. B. Kapitalverteilung, Leistungsbewertung, Kennzahlen) können die Grundlage für Entscheidungsprozesse im Unternehmen bilden. Das Gruppen-Risikomanagement zielt darauf ab, die Ergebnisse der ERM-Modellierung systematisch in die Entscheidungsprozesse, beispiels-
128
Tibor Papp, Beata Szoboszlai
weise bei der Kapitalverteilung, beim Aufbau des Portfolios und beim Performance Management, einzubinden. In Verbindung mit einer klar definierten Risikobereitschaft des Unternehmens ist das ERM ein hervorragendes Hilfsmittel für den Aufbau eines Unternehmensportfolios, das durch die Berücksichtigung der Ergebnisse der Risikoquantifizierung bei der Budgetierung und CAPEX-Verteilung optimale Risiko-Rendite-Merkmale aufweist. Optimierung des Risiko-Rendite-Portfolios Rendite Efficient Frontier
1/t NPV + PV(CAPEX) PV (CAPEX)
-1
Verbindung zur Risikobereitschaft M K J
Zielportfolio A P
Gegenwärtiges Portfolio
D
Z
F
Risiko NPV-at-Risk/NPV
Abb. 37. Portfolioentwicklung auf Konzern- und Geschäftsbereichsebene
Hinsichtlich der oben erwähnten zukünftigen Anwendungsbereiche ist geplant, mit Portfoliotheorien der Finanzmärkte zu arbeiten, die jedoch zunächst an die Anforderungen des Unternehmens angepasst werden müssen. Dabei gilt es auch zu prüfen, welche Risiko-Rendite-Kennzahlen für die Zwecke am besten geeignet sind. Des Weiteren muss eine Methode für die richtige Behandlung von Synergien ausgearbeitet werden, die beim Abbilden einzelner Geschäftsbereiche oder Projekte auf der Matrix auftreten. Die Anwendungsbereiche des ERM-Modells werden also kontinuierlich weiterentwickelt, wobei jedoch bereits in den eineinhalb Jahren, in denen das Modell eingesetzt wird, viel versprechende Erfolge erzielt wurden.
Einführung einer Methodik zur Risikoaggregation bei der MOL Group
5
129
Nicht quantifizierbare Auswirkungen des ERM
Die Erfahrungen beim Einsatz von ERM in den Geschäftsbereichen haben gezeigt, dass das Modell aufgrund der interaktiven Vorgehensweise bei der Risikoquantifizierung und der Validierung von Eingaben und Methoden große Akzeptanz findet. Sobald das Konzept für die Risikoquantifizierung fest in die Prozesse integriert ist, kann es die Grundlage weiterer Anwendungen bilden, die auf eine Optimierung des Risiko-Rendite-Portfolios abzielen. Die MOL Group ist der Ansicht, dass das Enterprise Risk Management insbesondere durch diesen aktiven Beitrag zur Optimierung des RisikoRendite-Portfolios den Shareholder Value positiv beeinflussen wird. Mit Hilfe des ERM wird das Prozesswissen für den Bereich Risikomanagement im gesamten Unternehmen verfügbar gemacht und das Risikobewusstsein erfasst alle Geschäftsbereiche. Das obere Management, der Vorstand und die Leiter der Geschäftsbereiche können sich dadurch besser auf die wichtigsten Risiken und das Ergreifen entsprechender Maßnahmen zur Risikominderung konzentrieren. Allein durch die Schaffung eines zentralen Bereichs Gruppen-Risikomanagement, der alle Geschäftsbereiche systematisch überprüft und analysiert, wurden bereits erste Lösungsansätze für verschiedene Problemstellungen gefunden.
Teil 3 Fallstudien aus der Elektrizitätswirtschaft
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
Carsten Durchholz Vattenfall Europe AG
1
Einleitung
1.1 Branche/Struktur
Der Vattenfall Europe Konzern ist ein voll integriertes Energieversorgungsunternehmen, das die Wertschöpfungskette vom Braunkohletagebau über Grund- und Spitzenlastkraftwerke, Transport- und Verteilnetze bis zum Endkunden abbildet. Wesentlicher Bestandteil ist ebenfalls die Erzeugung, Verteilung und der Verkauf von Fernwärme. Als Teil der schwedischen Vattenfall Gruppe agiert Vattenfall Europe vor allem im Osten Deutschlands (Tagebaue/Erzeugung/Transportnetz) und in Berlin und Hamburg (Fernwärme/Stromendkunden). Der zentrale Zugang zum Energiehandelsmarkt (Großmarkt) wird durch Vattenfall Trading Services gewährleistet. Hier werden durch aktiven Energiehandel die energiewirtschaftlichen Portfolien täglich gesteuert und in ihrem Risikogehalt adjustiert. 1.2 Risikomanagement
Unter Risikomanagement wird ein ganzheitlicher Prozess der Identifikation, Bewertung und Steuerung von Risiken im gesamten Unternehmen vor dem Hintergrund des KonTraG und weiterer verwandter Normen verstanden. Ziel ist es, über die rechtlichen Mindestanforderungen hinaus durch ein strukturiertes Risikomanagementsystem keine regulatorische Bürokra-
134
Carsten Durchholz
tie, sondern ein betriebswirtschaftliches Instrument zur Managementunterstützung zu schaffen. Eine durchgängige Bewertungssystematik sorgt für Vergleichbarkeit der im Konzern sehr unterschiedlichen Risiken. Der ganzheitliche Ansatz schafft Transparenz über alle Ebenen der Wertschöpfungskette bis hin zu den administrativen Funktionen. Wesentlich ist hierbei, die notwendige Informationsbasis für die Entscheidungen zu liefern, die eine effiziente Steuerung ermöglichen. Ein einheitlicher Bewertungsmaßstab, auch auf aggregierten Ebenen, schafft vergleichbare Bedingungen und Anforderungen für die Geschäftsbereiche. Generell werden alle Risiken, also Marktpreis-, Kredit- und operative Risiken, erfasst und bewertet. Risiko ist grundsätzlich definiert als potenzielle Abweichung vom Plan bzw., dem Value-at-Risk Konzept51 folgend, als mögliche negative Wertentwicklung eines Portfolios für die Marktrisiken des Energiehandels. Die Marktpreis- und Kreditrisiken des Kernbereiches Energie werden zusätzlich gesondert betrachtet. Aufgrund der sich ständig verändernden Preissituation am Großhandelsmarkt bzw. der Börse findet eine tägliche Überwachung der Risikomandate für diese „schnellen“ Portfolien statt. Dem gegenüber werden die sich langsamer verändernden Risiken (z. B. technisch geprägte Risiken) regulär quartalsweise berichtet.
Abb. 38. Überblick Risikomanagement und Risikocontrolling 51
Zur Vertiefung sei z. B. empfohlen Jorion 2007
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
135
1.3 Organisation
Bei Vattenfall Europe kommt ein Ansatz mit zentralen und dezentralen Elementen zum Einsatz. Die Prozesssteuerung, Methodenentwicklung, Richtlinienkompetenz im Konzern und die tägliche unabhängige Überwachung des Energiehandels ist in einer zentralen Organisationseinheit in der Holding unterhalb des CFO angesiedelt. Diese Einheit stellt sicher, dass der Risikomanagementprozess im Gesamtunternehmen gelebt wird und berichtet die Gesamtrisikosituation an den Konzernvorstand. Zu den Aufgaben gehören auch die Sicherung der Bewertungsqualität, die zentrale Dokumentation und die im Folgenden näher beschriebene Aggregation der Risiken auf verschiedenen Ebenen. Dezentral werden von den Bereichen verantwortliche Risikoeigner benannt. Basierend auf den zentralen Vorgaben identifizieren, bewerten und berichten sie über die Risiken in ihrem Verantwortungsbereich. Dabei werden sie durch das zentrale Risikomanagement durch Schulung, Hilfestellungen und im fachlichen Dialog unterstützt. Die Risikoeigner haben im Rahmen ihres Tagesgeschäfts auch die risikorelevanten Parameter zu beachten (Risikosteuerung). Bei der Bewertung der Risiken spielt neben den in den Bereichen vorliegenden Schadenhistorien auch die Erfahrung und das Fachwissen der Risikoeigner selbst oder hinzugezogener Experten eine große Rolle. Dieses wird durch die strukturellen Vorgaben in einheitlicher Weise abgefragt und dokumentiert. 1.4 Softwareunterstützung
Vattenfall Europe hat 2003 eine Softwareapplikation zur IT-technischen Unterstützung des konzernweiten Risikomanagementprozesses implementiert und seither permanent weiterentwickelt. Ziel der Softwareeinführung war es dabei, die sich in den täglichen Arbeitsabläufen des Risikomanagements ergebenden Herausforderungen zu bewältigen. So ist es für die Risikomanager zentral, jederzeit den aktuellen Informationsstand aller Risiken im Blick zu behalten. Da es sich bei einem Risiko definitorisch um die mögliche (negative) Abweichung von einem Planwert handelt, müssen im Rahmen der Risikobewertung den Risikoeignern immer die entsprechenden Planzahlen (z. B. Instandhaltungsaufwand, Absatzerlöse), deren Über- oder Unterschreitung das jeweilige Risiko darstellt, für die jeweiligen Bewertungsperioden sowie die entsprechenden Planannahmen vorliegen. Die Zusammenführung der dezentral erhobenen Risikoinformationen sowie deren Verdichtung zu einem Risikobericht ist so effizient wie mög-
136
Carsten Durchholz
lich automatisiert zu gestalten. In den Perioden zwischen der quartalsweisen Standardberichterstattung ist jederzeit die Risikoüberwachung sicherzustellen und bei gravierenden Risikoveränderungen auch ein ad-hoc Reporting zu ermöglichen. Eine wirtschaftsprüferkonforme Archivierung der Risikoinformationen ist unabdingbar. Zusätzlich ist es wünschenswert, dass die Software auch für die Risikoaggregation auf den entsprechenden Bereichs-, Unternehmens- und Konzernebenen die technische Plattform zur Verfügung stellt.
2
Aggregation
2.1 Verständnis
Unter Risikoaggregation verstehen wir die Ermittlung einer Kennzahl für die gemeinsame Wirkung mehrerer Risiken. Merkmal für die Zusammenfassung können hier Geschäftsbereiche, Legaleinheiten, Portfolien, aber auch sachliche Attribute (z. B. alle ITRisiken, die Risiken eines Projektes oder eines Vertragswerkes) sein. Da nur im Ausnahmefall unter strengen Voraussetzungen analytische Verfahren zur Berechnung zur Verfügung stehen, wird zur Ermittlung dieser Kennzahl die Monte-Carlo-Simulation52 eingesetzt. In der Vergangenheit noch gelegentlich wegen des Rechenaufwands gescheut, stehen heutzutage meist genügend Rechenleistung und einfach zu bedienende Programme (z. B. in Form von Excel-add-ins) zur Verfügung. Diese Funktionalität wird auch innerhalb der bei uns zur Erfassung und Verwaltung eingesetzten Riskmanagement-Applikation angeboten. Wesentlich beim Einsatz der Monte-Carlo-Simulation ist, dass je nach Zusammensetzung des Risikoportfolios die aggregierte Kennzahl mehr oder weniger deutlich unterhalb der Summe der Einzelrisiken53 liegt. Damit wird also eine je nach konkretem Sachverhalt teilweise sehr deutliche Überschätzung des tatsächlichen Gesamtrisikos eines Geschäftes bzw. Unternehmens durch einfache Summation verhindert. Von Seiten mancher Kritiker wird oft eingewendet, das Verfahren stelle sehr hohe Anforderungen an die Qualität des Inputs. Da diese Qualität meist in der Praxis nicht gegeben sei, hätte eine aggregierte Zahl keine Aussagekraft und werde daher besser nicht ermittelt. Dem Sachvortrag dieser Kritiker schließen wir uns durchaus an, die Schlussfolgerung teilen 52
Als Einführung wird empfohlen Frey u. Nießen 2004 Zur Bewertung der Einzelrisiken und den sich aus dem Ziel einer Monte-CarloSimulation ergebenden Notwendigkeiten vgl. Voraussetzungen und Durchführung 53
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
137
wir allerdings nicht. Wir sehen im Gegenteil eine Menge Gründe, eine Aggregation durchzuführen, die weiter unten im Einzelnen erläutert werden. Richtig ist sicherlich, dass es einer adäquaten kommunikativen Begleitung bedarf. Durch Schulung und klare Darstellung der Aussagekraft und der Grenzen einer aggregierten Kennzahl ist für eine richtige Interpretation bei den Berichtsempfängern zu sorgen. Ebenfalls dient die Aggregation als permanenter Ansporn für das Risikomanagement, die Bewertungsqualität hoch zu halten und zu verbessern. 2.2 Motivation 2.2.1
Gesetzliche Vorgabe
Als Forderung aus dem KonTraG ist ein Überwachungssystem (d. h. ein Risikomanagementsystem) einzurichten, das bestandsgefährdende Entwicklungen frühzeitig erkennt. In einem als wirtschaftlich gesund vorausgesetzten Unternehmen wird es keine oder nur sehr wenige Risiken geben, die alleine schon bestandsgefährdend sind. Eine Bestandsgefährdung kann also in der überwiegenden Mehrzahl der Fälle nur aus einem Zusammenwirken bzw. einer Vielzahl von Risiken entstehen. Es ist unseres Erachtens deshalb nicht mit einer schlichten Aufnahme aller Einzelrisiken getan. Auch im IDW PS340 wird im Zusammenhang mit der Bestandsgefährdung explizit vom Zusammenwirken von Risiken bzw. deren Wechselwirkung (=Gesamtsicht) gesprochen, ohne auf die Methodik der Messung dieser Wirkung explizit einzugehen. Die Risikoaggregation bietet unseres Erachtens eine geeignete Möglichkeit, diese Gesamtsicht zu erstellen und der Risikotragfähigkeit gegenüber zu stellen. Gerade weil die Risikotragfähigkeit klassisch im Eigenkapital des Unternehmens, also einer hochaggregierten Kennzahl, gemessen wird, ist es notwendig, dem eine ebenfalls hochaggregierte Risikokennzahl gleicher Dimension gegenüber zu stellen. 2.2.2
Qualität
Eine ausreichende Qualität in den Einzelbewertungen ist, wie im Abschnitt Qualitätssicherung noch dargelegt wird, eine notwendige Voraussetzung zur Ermittlung aggregierter Risikokennzahlen. Umgekehrt kann aber auch der Wunsch nach Qualität in der Einzelbewertung Motivation für die Aggregation sein. Die Durchführung einer Aggregation liefert den nötigen Anreiz, die Bewertungen der Einzelrisiken gemäß den Anforderungen durchzuführen. Gleichzeitig ist für den Risikoeigner ersichtlich, warum er zu einer Quantifizierung und deren detaillierter Beschreibung/Begründung angehalten wird. Dabei sollte ihm zurückgespiegelt werden, welchen Ein-
138
Carsten Durchholz
fluss seine Risikobewertung auf aggregierte Kennzahlen der verschiedenen Ebenen nimmt, um die Motivation zu erhöhen. So kann sich im Sinne einer positiven Verstärkung eine Verbesserung der Aussagekraft von Risikogrößen sowohl auf Einzel- als auch auf aggregierter Ebene entwickeln. 2.2.3
Voraussetzungen
Um eine Risikoaggregation mittels Monte-Carlo-Simulation durchführen zu können, bedarf es der quantitativen Bewertung aller Risiken durch vollständige Verteilungsfunktionen. Hier kommen im Bereich der Marktpreisrisiken Normalverteilungsmodelle in Frage, im technischen Bereich (Fehler/Ausfälle) sind oft auch Exponentialverteilungen adäquat. Um dem Wunsch der Risikoeigner nach einer maßgeschneiderten Verteilung nachzukommen, haben wir eine so genannte n-Punkt-Verteilung entwickelt. Hier werden bestimmte Quantile als Stützstellen der Verteilung vordefiniert, aus denen dann die gesamte Verteilung geschätzt wird. Der Risikoeigner unterlegt diese Stützstellen mit entsprechenden typisierten inhaltlichen Szenarien und Schadenhöhen und erläutert diese. Für alle Risiken wird in Anlehnung an das Value-at-Risk Konzept das 95 %-Quantil ermittelt und als repräsentativer „Risikowert“54 für das Einzelrisiko berichtet.
Abb. 39. Risiko = Abweichung vom bzw. Streuung um den Planwert
54 Wenn in diesem Kapitel von der Summe von Einzelrisiken die Rede ist, so bezieht sich das stets auf die so ermittelten Risikowerte.
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
2.2.4
139
Durchführung
Die Bewertung aller Risiken im Vattenfall Europe Konzern erfolgt auf Basis der zentralen Planungs- und Steuerungsgröße EBIT. Risiken als potenzielle Planabweichungen werden also als Wahrscheinlichkeitsverteilung der möglichen negativen Abweichungen vom EBIT (als Schäden) bewertet. Diese sowohl der Dimension als auch dem Inhalt nach gleichnamige Bewertung ermöglicht es, die gemeinsame Wirkung einer beliebigen Anzahl von Risiken auf den EBIT durch einfache stochastische Aggregation mittels Monte-Carlo-Simulation ohne weitere große Modelle durchzuführen. Dabei werden die benötigten Verteilungen des EBIT für die entsprechende Aggregation aus der zentralen Riskmanagement-Applikation in Excel importiert, gemäß den Zusammenfassungskriterien innerhalb der Excel-Tabelle summiert und die Monte-Carlo-Simulation mittels Crystal Ball® angestoßen.
Abb. 40. Ergebnis einer Monte-Carlo-Simulation mittels Crystal Ball®
Vorteil dieser manuellen Vorgehensweise ist die hohe Flexibilität, die auf Wunsch sehr kurzfristig die Zusammenfassung nach beliebigen Merkmalen wie z. B. Geschäftsfelder oder Legaleinheiten, aber auch Themen wie IT-Risiken oder Personalrisiken erlaubt. Die Durchführung erfordert allerdings mehr Aufwand als in einem vorgefertigten Modell, wie es die verwendete Risikosoftware anbietet, da hierbei jeweils für eine neue Aufgabenstellung ein neues Modell zu entwickeln ist bzw. vor Benutzung ein vorhandenes Modell zu überprüfen und gegebenenfalls zu aktualisieren ist. Dieses manuelle Vorgehen birgt auch die Gefahr, dass sich Fehler einschleichen. Alternativ kann ein Unternehmensmodell in der Risikosoftware hinterlegt werden, welches einmal programmiert (abhängig von der Detaillierung) fast jede Auswertung auf Knopfdruck ermöglicht. Allerdings ist da-
140
Carsten Durchholz
bei der Aufwand, zunächst ein konsistentes Unternehmensmodell zu entwickeln, das dann flexibel auch nach Teilaspekten ausgewertet werden kann, auch deutlich höher. Ferner ist der Pflegeaufwand bei Umstrukturierungen zu bedenken. 2.2.5
Korrelation
Als Anwender der Monte-Carlo-Simulation zur Risikoaggregation wird man gelegentlich gefragt, ob man auch Korrelationen verwende, schließlich sei deren Ermittlung recht schwierig. Technisch ist eine Festlegung von Korrelationen zwischen den als Zufallsgrößen modellierten einzelnen Risikopositionen bei der Monte-Carlo-Simulation immer erforderlich. Leider suggerieren manche Tools, so auch Crystal Ball®, dem unerfahrenen Anwender, es ginge auch ohne Korrelationen. Wird keine Korrelationsmatrix aktiv vom Anwender bestimmt, so geht Crystal Ball® grundsätzlich von einer Nullkorrelation aus und weist den Anwender nicht explizit darauf hin. So wünschenswert eine einfache Bedienung von Programmen ist, so deutlich ist davor zu warnen, ob der Einfachheit „mal schnell“ eine Monte-Carlo-Simulation ohne die nötige inhaltliche Vorbereitung zu machen. Es stellt sich die Frage, wie man zu verwendbaren Korrelationsmatrizen kommt. Hier plädieren wir generell für einen Mittelweg zwischen ausschließlicher Ableitung aus beweisbaren Fakten bzw. gesicherten Daten und plausiblen Überlegungen mit Augenmaß und „gesundem Menschenverstand“. So sind wir in unserer Praxis zu dem Schluss gekommen, dass eine Nullkorrelation für im großen Konzern ja oft völlig unterschiedliche Risiken aus verschiedenen Bereichen eine brauchbare Basisannahme darstellt. Der denkbare Ansatz, zunächst eine vollständig positive Korrelation zu unterstellen und damit im Zweifel das höchstmögliche Risiko auszuweisen, scheint zwar vorsichtig, übertreibt aber die Risiken auf aggregierter Ebene und verzerrt damit Steuerungsinformationen. Gerade wo Risikobewertungen auf Expertenwissen beruhen bzw. Risiken inhaltlich und organisatorisch keine Zusammenhänge aufweisen, kann der Beweis einer bestimmten Korrelation auch kaum gelingen. Dort wo die entsprechenden Daten oder plausible Sachgründe vorliegen, werden die Korrelationen entsprechend eingestellt. Negative Korrelationen erhalten dabei, da sie bei der vorgestellten Berechnungsmethode stets risikomindernd wirken, besonderes Augenmerk. Es ist sicherzustellen, dass sie langfristig/strukturell gültig sind und nicht nur temporär/zufällig. Hierzu eignet es sich, möglichst lange Datenreihen durch Experten inhaltlich auf Plausibilität bzw. einen Erklärungsansatz verifizieren zu lassen und auch zu prü-
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
141
Sep. 06
Jul. 06
Mai 06
Mrz. 06
Jan. 06
Nov. 05
Sep. 05
Jul. 05
Mrz. 05
1 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 0
Mai 05
fen, ob Strukturbrüche in der Zukunft absehbar sind. Ein Unterschätzen des aggregierten Risikos aufgrund einer nicht nachhaltigen negativen Korrelation sollte vermieden werden.
Abb. 41. Im Zeitverlauf schwankende Korrelation am Beispiel Strom versus CO2
3
Qualitätssicherung
Die Qualität einer durch Monte-Carlo-Simulation ermittelten aggregierten Risikokennzahl hängt – von denkbaren Fehlern in der technischen Durchführung abgesehen – ausschließlich von der Qualität der Risikobewertungen ab. Um hier eine akzeptable Qualität zu erreichen und dauerhaft sicherzustellen, greift ein mehrstufiges System. Zunächst werden die Risikoeigner direkt von den Bereichen für ihre künftige Aufgabe ausgewählt. Den Auftakt bildet dann eine umfassende Schulung durch das zentrale Risikomanagement, in dem Risikomanagementsystem, statistische Grundlagen, Bewertungsmethoden und konkrete Beispiele vermittelt werden. Insbesondere dort, wo die Risikobewertung weniger statistisch aus Datenreihen abgeleitet ist, als auf Expertenwissen beruht, sind die Überlegungen, Berechnungen und Hintergründe zu dokumentieren. Bei der Ersterfassung erfolgt überwiegend eine gründliche Erörterung. Auch im Folgenden wird die Gelegenheit zum fachlichen Dialog genutzt, z. B. der Informationsaustausch zwischen Risikoeignern verwandter Inhalte aus verschiedenen Teilen des Unternehmens angeregt.
142
Carsten Durchholz
Neben diesem permanenten inhaltlichen Qualitätssicherungsprozess erfolgt grundsätzlich bei jeder Aggregation eine weitere Prüfung der Risikobewertungen nach formalen und statistischen Kriterien durch das zentrale Risikomanagement. Dabei wird zunächst die Vollständigkeit, also die Angabe aller relevanten Parameter zur Beschreibung der Verteilungsfunktion, geprüft. Darüber hinaus wird durch Vergleich mit typischen Verteilungsformen bzw. ähnlich gelagerten Risiken aus dem Konzern eine Plausibilisierung durchgeführt. Im Zweifel wird hier ein weiterer Dialog mit dem Risikoeigner angestoßen, um die Qualität zu verbessern. Ferner werden nach der Simulation die Einflüsse auf das Ergebnis analysiert (Sensitivitätsanalyse), damit die Risiken mit besonders hohem Einfluss auf das Gesamtergebnis einer priorisierten Betrachtung unterzogen werden können. Insgesamt meinen wir, damit eine ihrer Bedeutung adäquate Qualität der Bewertung bei den Risiken überwiegend erreicht zu haben. Die Sicherung dieses Qualitätsstandards bleibt aber permanente Aufgabe.
4
Kommunikation
Um das Ziel, Lieferung entscheidungsrelevanter Information zur Verbesserung der Geschäftsentscheidungen, zu erreichen, bedarf es nicht nur hochwertigen Inputs. Aufgrund der komplexen Aussage und für die nicht damit Befassten wenig durchsichtigen Ermittlung der aggregierten Risikokennzahlen, ist das Risikomanagement verpflichtet, die Ergebnisse empfängerorientiert aufzubereiten und verständlich zu präsentieren. Dazu ist es sicher nicht erforderlich, jedes Mitglied des Managements eines Kompaktkurses in Statistik zu unterziehen. Es gilt, unter Weglassung der „technischen" Details die Aussagen der Ergebnisse ehrlich und kritisch zu präsentieren. Die offene Auseinandersetzung mit der Qualitätsproblematik kann helfen, Misstrauen gegenüber einer Blackbox abzubauen. Die aus der MonteCarlo-Simulation mit beliebiger Nachkommastellenzahl ermittelte Risikokennzahl ist in der Darstellung der Dimension entsprechend anzupassen. Das bedeutet zum Beispiel, bei mehreren hundert Millionen Euro definitiv auf die Nennung von Nachkommastellen (= Hunderttausenden) zu verzichten. Auch muss im Vortrag deutlich werden, dass eine Ergebnisveränderung von nur wenigen Prozenten in einem großen Portfolio allein kein Zeichen einer Änderung der Risikolage ist, sondern eine normale Schwankung innerhalb eines als stabil zu bezeichnenden Korridors. Nicht zuletzt erscheint es uns unbedingt erforderlich, hochaggregierte Risikokennzahlen nur im Zusammenhang mit inhaltlichen Erläuterungen und Analysen der Ursachen und Schwerpunkte zu kommunizieren.
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
5
143
Weitere Anwendungsfälle
5.1 Richtige Bepreisung von Produkten
Grundsätzlich gehen wir davon aus, dass bei der Preisfestsetzung für ein Produkt noch nicht alle Kostenbestandteile mit gesicherten Preisen versehen werden können. Dies gilt insbesondere dann, wenn in hohem Maße Rohstoffe mit volatilen Preisen einfließen oder Parameter auf der Abnahmeseite, z. B. Mengen oder Abnahmezeitpunkte, nicht sicher sind. Damit das Produkt langfristig profitabel ist, müssen diese Schwankungen (Risiken) in der Preisfindung berücksichtigt werden, um nachhaltige Verluste zu vermeiden. Je größer diese Risiken im Verhältnis zur Marge sind, umso wichtiger ist es, ausreichend Risikopuffer einkalkuliert zu haben. Je stärker der Wettbewerb ist, d. h. wenn nur sehr kleine Preisdifferenzen über den Geschäftsabschluss entscheiden, desto größer ist auf der anderen Seite die Gefahr, sich durch großzügige Zuschläge aus dem Markt zu kalkulieren und damit die nötigen Deckungsbeiträge zur Fixkostendeckung zu verlieren. Der Druck von beiden Seiten führt dazu, dass nur eine richtige Einpreisung von Risiken langfristig erfolgreich sein kann. Unter einer richtigen Einpreisung wird hierbei ein Wert verstanden, bei dem die insgesamt eingenommenen Risikozuschläge die Schäden im langfristigen Mittel decken. Pauschale Zuschläge können deshalb bei engen und wettbewerbsintensiven Märkten zur Fehlsteuerung führen. Ebenso ist zu beachten, dass ein einfaches Aufaddieren der (singulär richtig berechneten) Zuschläge für verschiedene Risken fast zwangsläufig zu einer Überschätzung des Gesamtrisikozuschlags führt. Es bietet sich also auch hier an, auf Basis qualitativ hochwertiger Informationen über die Einzelrisiken mittels einer MonteCarlo-Simulation den für das einzelne Produkt richtigen aggregierten Risikozuschlag zu berechnen. 5.2 Bewertung von Projekten
Das klassische Controlling stellt bewährte Verfahren zur Bewertung von Projekten zur Verfügung. Üblicherweise wird hierbei auf Basis von Annahmen ein Modell zur Ermittlung eines internen Zinsfußes berechnet. Dieser Zinsfuß (oder ein äquivalent berechneter Kapitalwert) beschreibt die Vorteilhaftigkeit eines Projektes entweder gegenüber einer Mindestanforderung oder gegenüber alternativen Verwendungen eines Projektbudgets. Dieses Basisszenario kann noch um alternative Annahmen (WorstCase, Best-Case) und „was-wäre-wenn“ Berechnungen ergänzt werden
144
Carsten Durchholz
(auch als Sensitivitäten bezeichnet). Letztere Erweiterungen stellen zwar einen Schritt in die Richtung der spätestens seit Markowitz auf den Kapitalmärkten verwendeten Rendite-Risiko-Ansätze dar, führen ihn aber nicht konsequent zu Ende. Einzelne Szenarien haben keine Aussage über ihre Eintrittswahrscheinlichkeit, ebenso sind die Extreme nicht mit Wahrscheinlichkeiten unterlegt. Hier bietet die stochastische Projektbewertung eine Erweiterung. Mit dem Ziel, eine Monte-Carlo-Simulation durchzuführen, werden ausgewählte Annahmen im Planungsmodell mit Wahrscheinlichkeitsverteilungen hinterlegt. Dies geht technisch besonders einfach, wenn das Planungsmodell bereits in Excel abgebildet ist, da bequem die entsprechenden add-ins eingesetzt werden können. So können die Annahmen in der Planung, die Schwankungen unterworfen sind, als Risikofaktoren für eine Aggregation im komplexen Planungsmodell integriert werden. Allerdings ist dabei eine Beschränkung auf Größen mit wesentlichem Einfluss sinnvoll. Nach Durchführung der Monte-Carlo-Simulation ist das Ergebnis nicht nur ein Zinsfuß oder Kapitalwert, sondern eine Wahrscheinlichkeitsverteilung dieser Größen. Hier können nun beliebige Quantile untersucht werden und auf die Erfüllung von Vorgaben geprüft werden, z. B. dem Erreichen einer Mindestrendite mit 90 % Wahrscheinlichkeit. Auch kann untersucht werden, welcher Risikofaktor wie viel zur Gesamtunsicherheit des Projektergebnisses beigetragen hat. Dies könnte dazu führen, eine Einflussgröße vor der Projektentscheidung zu sichern, z. B. ein Wechselkursrisiko durch ein Devisengeschäft zu sichern, um die Gesamtschwankung des Projektergebnisses zu verringern. Die Analyse von mittlerer Rendite und deren Volatilität erlaubt einen Vergleich von Projekten im klassischen Portfolioansatz und somit eine Auswahlentscheidung auch auf Basis der eigenen Risikofreudigkeit. 5.3 Bewertung von Akquisitionen
Die konsequente Anwendung des Portfolioansatzes führt auch beim Thema Akquisitionen zu einer denkbaren Erweiterung klassischer Ansätze. Grundsätzlich wird bei einer Akquisition die Frage gestellt, ob das Übernahmeobjekt zum Unternehmen „passt“. Dieses „passen“ wird vielfach entweder als (Kosten-)Synergie verstanden oder in der Ergänzung von Geschäftsfeldern gesehen. Es geht also vereinfacht ausgedrückt entweder um Einsparung, z. B. durch Skaleneffekte, oder Umsatzausweitung, z. B. durch Cross-Selling. Ergänzend hierzu kann auch die Dimension „Risiko“ einer näheren Betrachtung unterzogen werden.
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
145
Angenommen, eine bedeutende Akquisition würde vollständig und für den Kapitalmarkt erkennbar durch die Aufnahme frischen Fremdkapitals finanziert, so ist davon auszugehen, dass sich die dafür zu entrichtende Zinsmarge über den risikolosen Zinssatz hinaus an der Risikohaftigkeit des Unternehmens nach erfolgter Akquisition bemisst.55 Dies bedeutet aber im Gegenzug, dass unter sonst völlig identischen Bedingungen aufgrund der geringsten Finanzierungskosten das Unternehmen das höchste Gebot abgeben kann, welches nach erfolgter Akquisition das geringste Risiko hat. Sollte im Extremfall die Akquisition bei einem Kaufinteressenten das Unternehmensrisiko steigern, während es für den anderen einen Hedge darstellt, so kann und sollte letzterer einen höheren Preis bieten. Exemplarisch und sehr stark vereinfacht bedeutet dies für die Energiebranche zum Beispiel, dass bei ausschließlicher Risikobetrachtung ein Betreiber von Gaskraftwerken eher einen Gaserzeuger als ein weiteres Kraftwerk übernehmen sollte. Prinzipiell ist für die konsequente Durchführung auch hier eine Risikoaggregation mittels Monte-Carlo-Simulation sinnvoll. Im Ergebnis kann dann die Veränderung der Gesamtrisikoposition vor und nach Übernahme analysiert werden. Auch wenn die Durchführung einer solchen Berechnung während der Due-Dilligence vielleicht nicht vollumfänglich möglich ist, so sollten diese Überlegungen zumindest Anregung sein, die Frage „Passt der Übernahmekandidat?“ auch explizit unter Risikogesichtspunkten zu beantworten und wenigstens mit vereinfachten Ansätzen auch numerisch zu unterlegen. Gleiches gilt im Übrigen auch für den Verkauf eines Geschäftsfeldes. Gerade im hochgradig vertikal integrierten Konzern könnte die Aufgabe eines Geschäftsfeldes eine sichtbare Ausweitung der Gesamtrisikoposition zur Folge haben. 5.4 Risikoadjustierte Performancemessung
Die Beurteilung von Geschäftsbereichen und deren Management anhand von Zielergebnissen bzw. Zielrenditen ist gängige Praxis. Soweit dies nicht mit stark differierenden Risiken verbunden ist, mag eine einheitliche Zielrendite zu einer erfolgreichen Steuerung führen. Ein Geschäftsfeld mit hohen Risiken, also starken Ergebnisschwankungen, benötigt (virtuell) einen höheren Anteil am gemeinhin teuren Eigenkapital in seiner Funktion als Risikopuffer. Somit ist bei der Ermittlung von Zielrenditen das Risiko schon im Nenner zu berücksichtigen. Ferner verlangt der Kapitalmarkt 55 Auch Ratingagenturen erklären die Risikoposition des Unternehmens als wesentlichen Einflussfaktor auf ihre Bewertung.
146
Carsten Durchholz
normalerweise einen höheren Rückfluss in Form einer Risikoprämie, die im Zähler zu berücksichtigen wäre. Konkret sind die Ansätze zur Berücksichtigung von Risiken innerhalb der verschiedenen in Wissenschaft und Praxis diskutierten Definitionen von Renditemessung vielfältig. Im Rahmen dieses Beitrages können weder die unterschiedlichen Verfahren zur Berücksichtigung von Risiken bei der Performancemessung erschöpfend diskutiert werden, noch ist es möglich, die bei Vattenfall Europe konkret eingesetzten Modelle detailliert zu beschreiben. Festzustellen bleibt aber, dass eine korrekte Betrachtung nur dann möglich ist, wenn einem Geschäftsfeld mit einer Vielzahl von Risiken die richtige Risikokennzahl zugeordnet wird. Eine einfache Summation genügt auch hier nicht. Sie würde ein Geschäftsfeld mit vielen diversifizierten Risiken einem Geschäftsfeld mit wenigen Hauptrisiken gegenüber tendenziell benachteiligen. Zu diskutieren wäre noch, ob das „stand-alone“ Risiko eines Geschäftsfeldes Basis für Kapitalbedarf und Verzinsung sein sollte, oder eher der marginale Beitrag zum Unternehmensrisiko. 5.5 Praktische Erwägungen
Folgt man Kritikern und verzichtet auf eine offizielle Berechnung aggregierter Risikokennzahlen, stößt man relativ schnell auf das Phänomen, dass inoffizielle, also nicht vom Risikomanagement erstellte oder sanktionierte Kennzahlen, von Dritten aus vorhandenen Informationen über Einzelrisiken ermittelt und verbreitet werden. Schnell findet sich jemand, der dem Manager den Wunsch nach einer Gesamtzahl für seinen Bereich erfüllt. Dies ist dann meist ohne die methodischen Möglichkeiten der MonteCarlo-Simulation eine einfache Summe. Diese kann nun bei einem größeren und gut durchmischten Risikoportfolio leicht ein Vielfaches der mittels Simulation ermittelten Größe betragen. Sie steht dann im krassen Missverhältnis zu den tatsächlichen Gegebenheiten und eventuell für andere Einheiten korrekt ermittelten Kennzahlen. Schon um diese Verwirrung zu verhindern, die aus einem „mal schnell“ Addieren entsteht, empfiehlt es sich, allen potenziell Interessierten seitens des Risikomanagements eine korrekt aggregierte Kennzahl anzubieten. Diese dürfte in der weit überwiegenden Mehrzahl der Fälle trotz gewisser Unschärfen insbesondere bei der Berücksichtigung von Korrelationen die betriebswirtschaftlich sinnvolleren Aussagen liefern. In der Praxis hat sich die Anzahl der bei uns durchgeführten Aggregationen in den letzten Jahren mehr als verdoppelt.
Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe
6
147
Fazit und Ausblick
So einfach die Durchführung von Aggregationen mittels Monte-CarloSimulation technisch geworden ist, verlangt sie doch inhaltlich ein hohes Maß an Vorbereitung und Qualität beim Input, sowie Nachbereitung und Kommunikation beim Output. Nur so können Informationen von betriebswirtschaftlicher Werthaltigkeit generiert werden, die den Zielen einer transparenten und einheitlichen Entscheidungsvorbereitung gerecht werden. Sowohl die formalen Gründe für den Einsatz einer Risikoaggregation mittels Monte-Carlo-Simulation, als auch einige Anwendungsgebiete haben wir dargelegt. Diese Auflistung ist nicht unbedingt erschöpfend. So mag es auch für ein Industrieunternehmen interessant sein, seine versicherbaren Risiken quasi in Spiegelung dessen, was der Versicherer tut, entsprechend zu untersuchen und Optimierungsmodelle zu betreiben. Auch wenn es sich hierbei nicht unbedingt um Risikoaggregation im Sinne des Beitrages handelt, geht es doch um den Einsatz der Monte-Carlo-Simulation. Wichtigste Aufgabe des Risikomanagements im Zusammenhang mit der Aggregation ist es, die Qualität auch in wechselnden Umfeldern zu erhalten und bei Risikoeignern und Berichtsempfängern vertieftes Verständnis zu erreichen und auszubauen (Risikokommunikation). Neben der korrekten Anwendung auf bewährten Einsatzgebieten ist zu überlegen, wo durch den Einsatz von aggregierten Kennzahlen weiterer Mehrwert zu schaffen ist. Einer aggregierten Risikokennzahl steht bei der Frage nach der Bedeutung des Risikos immer eine Risikotragfähigkeit gegenüber. Es erscheint uns notwendig, die Messung der Risikotragfähigkeit mit gleicher Sorgfalt weiterzuentwickeln und sich von pauschalen Ansätzen wie dem klassischen „halben Eigenkapital“ zu lösen. Auch die Fragestellung der Wirkung der Dimension Zeit auf die Risikobewertung erscheint uns ein interessantes Forschungsfeld.
Risikoaggregationsmethoden im Risikomanagement der EnBW
Thilo Enders, Thomas Vetter, Uwe Wagner EnBW AG
1
Das Unternehmen EnBW Energie Baden-Württemberg AG56
Die EnBW Energie Baden-Württemberg AG mit Hauptsitz in Karlsruhe ist mit rund fünf Millionen Kunden das drittgrößte deutsche Energieunternehmen. Mit derzeit rund 20.259 Mitarbeiterinnen und Mitarbeitern hat die EnBW 2006 einen Jahresumsatz von 13.219,4 Millionen Euro erzielt. Unsere Kernaktivitäten konzentrieren sich auf die Geschäftsfelder Strom, Gas sowie Energie- und Umweltdienstleistungen (s. Abb. 42). Über unser Engagement in Baden-Württemberg hinaus sind wir in ganz Deutschland sowie in weiteren Märkten Mittel- und Osteuropas aktiv.
56
www.enbw.com
150
Thilo Enders, Thomas Vetter, Uwe Wagner
Abb. 42. Die Energie Baden-Württemberg AG
Die EnBW Energie Baden-Württemberg AG übt als operative Holding die Leitungsfunktion im EnBW-Konzern aus. Die EnBW Kraftwerke AG betreibt den überwiegenden Teil des EnBW-Kraftwerksparks und verfügt mit eigenen und teileigenen Kraftwerken, Beteiligungen und langfristigen Kraftwerksbezugsverträgen über ein ausgewogenes Erzeugungsportfolio aus Kernenergie, Kohle, Gas, Wasser und sonstigen erneuerbaren Energieträgern. Die EnBW Trading GmbH ist für den Handel mit physischen und finanziellen Handelsprodukten sowie für Strom- und Lieferverträge mit Handelspartnern verantwortlich. Die EnBW Transportnetze AG betreibt das Übertragungsnetz und sorgt für einen transparenten und gleichberechtigten Netzzugang aller Strommarktteilnehmer zum Höchstspannungsnetz der EnBW (220 und 380 kV). Die EnBW Regional AG betreibt das Hoch-, Mittel- und Niederspannungsnetz der EnBW (110, 20 und 0,4 kV) und erbringt netznahe und kommunale Dienstleistungen in den Bereichen Strom, Gas, Wasser und Telekommunikation. Sie ist ebenfalls für die Beziehungen zu den Kommunen und Stadtwerken in Baden-Württemberg verantwortlich. Die Gasversorgung Süddeutschland GmbH ist eine der größten regionalen deutschen Ferngasgesellschaften. Sie transportiert Erdgas in ihrem Baden-Württembergischen Netz. Die EnBW Gas GmbH ist die zentrale Gasendverteilgesellschaft im EnBW-Konzern. Die EnBW Vertriebs- und Servicegesellschaft mbH vertreibt Energie (Strom, Gas und Fernwärme), Wasser sowie Energie- und Servicedienst-
Risikoaggregationsmethoden im Risikomanagement der EnBW
151
leistungen an Industrie-, Gewerbe- und Privatkunden, Stadtwerke und Kommunen. Die Yello Strom GmbH vertreibt deutschlandweit Energie an Privat und Gewerbekunden. Die EnBW Energy Solutions GmbH erbringt im Rahmen von Contractingmodellen energienahe Dienstleistungen. Sie bewirtschaftet Energieanlagen und Arealnetze der Kunden und beliefert ihre Kunden mit Eigenstrom, Wärme und Kälte.
2
Risiko und Risikomanagement
Der Begriff „Risiko“ ist nicht allgemeingültig definiert. Da die Beurteilung der Entwicklung und des Erfolgs eines Unternehmens unmittelbar von den Zielvorstellungen der Anteilseigner und des Managements abhängt, liegt es nahe, einen zielbezogenen Risikobegriff zu verwenden Im EnBW-Konzern wird Risiko als der potenzielle Ertrags- oder Vermögensverlust definiert, der sich aus möglichen Gefährdungen ergibt. Mögliche Gefährdungen sind entweder grundsätzlich planbare, aber dennoch der Zufälligkeit unterliegende oder nicht prognostizierbare Ereignisse. Das Risikomanagement im EnBW-Konzern ist ein Prozess, der in allen Konzerngesellschaften und Mehrheitsbeteiligungen installiert ist. Die Ordnungsfunktion nimmt das Konzernrisikomanagement in der EnBW-Holding wahr. Dazu gehören das Festlegen von Richtlinien, Methoden und Begriffsdefinitionen. Beim Aufbau des Risikomanagements orientiert sich der EnBWKonzern am COSO Framework57 für das Enterprise Risk Management. Dieses zielt auf eine breite Anwendergruppe und beschränkt sich nicht auf eine Industrie- oder Dienstleistungsart. Es enthält jedoch keine konkreten Handlungsanweisungen, sondern beschreibt die verschiedenen Elemente, die ein unternehmensweites Risikomanagement enthalten sollte. Die Identifikation von Risiken wird dezentral in Eigenverantwortung durch die Konzerngesellschaften/Beteiligungen durchgeführt, das heißt, Risiken werden dort identifiziert, wo sie auftreten. Anschließend werden für die identifizierten Risiken Risikoszenarien entwickelt und jedes Szenario nach Schadenspotenzial und Eintrittswahrscheinlichkeit bewertet. Das Schadenspotenzial, bewertet in Euro, ist die Differenz zwischen Planszenario und Risikoszenario. Die Eintrittswahrscheinlichkeiten klassifizieren wir in vier Klassen von „sehr gering“ bis „sehr hoch“. Der verbalen Be57 COSO (Committee of Sponsoring Organizations of the Treadway Commission), www.coso.org
152
Thilo Enders, Thomas Vetter, Uwe Wagner
schreibung entsprechen Bandbreiten von prozentualen Eintrittswahrscheinlichkeiten. Der Grund für die Klassifizierung ist die mangelnde Verfügbarkeit von geeigneten Statistiken, um Eintrittswahrscheinlichkeiten präzise ermitteln zu können. Ein Vorteil dieser Vorgehensweise ist auch die unseres Erachtens bessere Eignung der Klasseneinteilung zur Risikokommunikation. Zur Unterstützung des Risikomanagementprozesses verwenden wir eine eigenentwickelte Software. Diese Applikation ist über Intranet und Internet erreichbar, so dass alle Konzerngesellschaften unabhängig voneinander ihren Risikomanagementprozess durchführen können. Alle Risiken des Konzerns werden in einer zentralen Datenbank erfasst. Für das Berichtswesen setzen wir einen kommerziellen Reportgenerator ein, so dass alle Anwender das gleiche standardisierte Layout nutzen. Das Berichtswesen in der EnBW wird in Abhängigkeit von Schadenspotenzial und Eintrittswahrscheinlichkeit der Risiken durchgeführt. Entlang der Konzernstruktur werden die identifizierten Risiken berichtet, wenn sie jeweils über konzernweit einheitlichen Schwellenwerten liegen. Auf diese Art wird das Berichtswesen gestrafft und der Berichtsempfänger erhält die für ihn wesentliche Information über die Risikolage. Auf jeder Berichtsebene werden gegebenenfalls auch Einzelrisiken zusammengefasst. Die abschließende Aggregation wird vom Konzernrisikomanagement für die Risikoberichterstattung an den Vorstand und den Aufsichtsrat vorgenommen. Die Aggregation wird aus zwei Gründen durchgeführt: Ein Aspekt ist die Analyse des Risikoportfolios hinsichtlich kumulierender Risiken, der Andere die Übersichtlichkeit des Berichtswesens. Ein zu detaillierter Risikobericht schafft keine Transparenz. Transparenz ist jedoch das erklärte Ziel eines erfolgreichen Risikomanagements. Auf Konzernebene verdichten wir alle Risken zu ca. 20 – 30 so genannten Key Risks. Diese sind im Wesentlichen statistisch unabhängig voneinander. Eine Verdichtung auf eine einzige Risikokennzahl wird nicht durchgeführt, da diese die Transparenz über die Risikolage nicht weiter erhöht. Das Konzept der Key Risks fördert, im Gegensatz zu einer singulären Kennzahl, die Risikokommunikation durch Plastizität. Die in der EnBW angewandten Aggregationsmethoden werden im folgenden Abschnitt beschrieben.
Risikoaggregationsmethoden im Risikomanagement der EnBW
3
153
Aggregationsmethoden
3.1 Aggregation durch Value-at-Risk-Methoden
Die Vorgehensweise der Aggregation auf eine Risikokennzahl geht auf die Finanzbranche zurück. Vorreiter war JP Morgan.58 Ein Vorstandsmitglied forderte die Handelsabteilung auf, täglich eine Kennzahl zu ermitteln, die den möglichen Verlust an einem beliebigen Tag im nächsten Monat beschreibt. Das Ergebnis war die Value-at-Risk-Methode59, das Schätzen des 95 %-Quantils einer Gewinn- und Verlustverteilungsfunktion. Bei einem typischen Monat mit 20 Arbeitstagen entspricht das 5 %-Quantil der Verteilungsfunktion dem möglichen Verlust an einem Arbeitstag. Bei dieser Methode ist Risiko als der mögliche Verlust in Folge von Kursverlusten definiert. Dieses Schätzverfahren etablierte sich in den folgenden Jahren als Standard für die Bewertung von Handelsrisiken im Bankenbereich. Bewertet werden nicht nur Risiken einzelner Produkte, sondern Produktsegmente, Portfolios und das gesamte Unternehmen. Der Value-at-Risk-Ansatz stellt hohe Anforderungen an die Datengrundlage. Alle wesentlichen Risikotreiber müssen statistisch hinreichend genau beschrieben werden. Das bedeutet im Einzelnen, dass für alle Risikotreiber eine Verteilung ableitbar und eine Schätzung der gegenseitigen Abhängigkeiten (Korrelationen) robust möglich sein muss. Darüber hinaus muss gewährleistet sein, dass sich die der Schätzung zugrunde liegenden Annahmen über den zu prognostizierenden Zeitraum nicht verändern. Dies impliziert unter anderem, dass eine Risikoabschätzung mittels Value-atRisk nur für den „Normalbetrieb“ möglich ist. Im „Extremfall“ sind Korrelationen von Teilrisiken deutlich abweichend. An die Stelle der Diversifizierung des Risikos durch Einzelrisiken tritt dann die Verstärkung. Aus diesem Grund führen wir ergänzend Stresstests auf Basis von Szenarien durch.60 Dazu gehören beispielsweise Szenarien mit extremen Entwicklungen der Rohstoffpreise. Liegen zu einem Risiko oder einem Risikoportfolio Daten in hinreichend guter Qualität vor, sind die VaR-Methoden auch außerhalb der Finanzbranche adäquate Verfahren zum Abschätzen von Risiken im „Normalbetrieb“. Typische Beispiele sind Risiken in den Bereichen Finanzund Liquiditätsplanung. Wir setzen diese Methoden in diesen Bereichen sowie im Energiehandel ein. 58
Vgl. Mina u. Yi Xiao 2001 Siehe z. B. Contingency Analysis 2002 60 Vgl. Contingency Analysis 2005 59
154
Thilo Enders, Thomas Vetter, Uwe Wagner
Für den überwiegenden Teil der Risiken nach KonTraG61 (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) genügen die vorhandenen Daten nicht der erforderlichen Qualität. Entweder ist die Datenhistorie zu kurz, oder sie ist durch Sondereffekte nicht nutzbar. Bei internen Daten sind dies beispielsweise Restrukturierungen des Konzerns und Veränderungen der Geschäftsprozesse. Aber auch externe Daten unterliegen Strukturbrüchen, so dass auch in diesem Fall eine vermeintlich große Datenmenge in der Praxis klein sein kann. In diesen Fällen nutzen wir in der EnBW drei weitere Verfahren zur Risikoaggregation. Als Prinzip für alle drei Verfahren gilt, dass nur Risiken mit gleicher Ursache aggregiert werden. Alternativ dazu wäre es ebenfalls möglich, Risiken mit gleicher Auswirkung zu aggregieren. Beide Prinzipien sind grundsätzlich gleichwertig. Wir haben uns für den Ursachenbasierten Ansatz entschlossen, da operative Risikomitigationsmaßnahmen in der Regel bei den Ursachen und nicht bei den Auswirkungen ansetzen sollen. Würde weder das eine noch das andere Prinzip angewandt, ergäben sich aggregierte Risiken mit unterschiedlichen Ursachen und unterschiedlichen Auswirkungen. Ein effektives Managen ist dann auf Grund der höheren Komplexität deutlich erschwert. Für jede Risiko reduzierende Maßnahme wäre zu klären, welche Ursachen und welche Auswirkungen betroffen sind. Diese unnötige Komplexität ist durch Einhalten des oben beschriebenen Prinzips leicht zu umgehen. Ferner ist die Risikokommunikation ein Teil des Risikomanagementprozesses, und für die Kommunikation gilt, je komplexer der Sachverhalt, umso schwerer ist er zu vermitteln. 3.2 Aggregation bei perfekter Korrelation
Der einfachste Fall der Aggregation ist die Addition bzw. Subtraktion. Addieren beziehungsweise subtrahieren führt zu einer korrekten Lösung, wenn die Teilrisiken perfekt positiv bzw. negativ korreliert sind. Änderungen der Gesetzeslage oder regulatorische Rahmenbedingungen sind typische Beispiele. Sie treffen mehrere Konzerngesellschaften und der potenzielle Schaden ist die Summe der potenziellen Einzelschäden entlang der Wertschöpfungskette.
61
Vgl. Bundesministerium der Justiz 1998
Risikoaggregationsmethoden im Risikomanagement der EnBW
155
3.3 Aggregation durch Neubewertung mittels Szenariotechnik
Die am häufigsten eingesetzte Methode ist die Aggregation von Teilrisiken zu einem Key Risk mittels einer Neubewertung auf Basis von Szenarien. Die Szenarien werden von Experten entwickelt und enthalten alle relevanten Aspekte der Teilrisiken. Wir verwenden in der Regel drei Szenarien, die einen mittleren, einen günstigen und einen ungünstigen Risikoverlauf beschreiben. Ein Beispiel ist die Bewertung einer kleineren Konzerngesellschaft, wobei die Teilrisiken auf Konzernebene wegen ihrer geringen monetären Auswirkung nicht relevant sind. Eine Aggregation der Teilrisiken beantwortet die Frage nach dem kumulierten Gesamtrisiko der Gesellschaft.62 Wir leiten Szenarien aus den Planungsprämissen der Unternehmensplanung ab. Typischerweise entsprechen der günstige Risikoverlauf einer geringfügigen negativen Abweichung von den Planungsprämissen und der ungünstige Risikoverlauf einer deutlichen negativen Abweichung. Zum Erstellen eines Chancen- und Risikoprofils werden darüber hinaus Szenarien gebildet, die positive Abweichungen zu den Planungsprämissen beschreiben. Wir wenden dieses Verfahren auf kleinere Einheiten mit einem Geschäftsmodell von geringer Komplexität an. Prinzipiell ist dieses Vorgehen auch für größere Einheiten denkbar, allerdings sind dann singuläre Ereignisse mit einen bedeutenden Beitrag zum Gesamtrisiko gesondert zu berücksichtigen. 3.4 Aggregation durch Neubewertung mittels Modellierung
Für ein umfangreiches Portfolio von Teilrisiken ist es nicht immer möglich, Szenarien zu entwickeln, die alle Teilaspekte abdecken. In diesem Fall modellieren wir das Portfolio unter Vernachlässigung der Detailinformation aus den Teilrisiken. Das folgende Beispiel verdeutlicht diese Vorgehensweise. Zur Stromproduktion steht der EnBW ein heterogener Kraftwerkspark zur Verfügung. Die wesentlichen Typen sind thermische Kraftwerke (Kohle-, Gas- und Kernkraftwerke) sowie Wasserkraftwerke (Laufwasser-, Speicher- und Pumpspeicherkraftwerke). Der Einsatz jedes einzelnen 62
Dies ist ein Beispiel für eine Aggregation hinsichtlich der Auswirkungen. Das Vorgehen ist in diesem Fall gerechtfertigt, da die einzelnen Risiken auf Konzernebene wegen ihres geringen Schadenspotenzials keine Relevanz haben. Das Managen der Risiken findet in der Tochtergesellschaft statt. Dort liegen die Risiken in nicht aggregierter Form vor.
156
Thilo Enders, Thomas Vetter, Uwe Wagner
Kraftwerks ergibt sich aus einer täglichen Optimierung in Abhängigkeit von Brennstoffkosten und verkaufter Strommenge. Fällt ein Teil des Kraftwerksparks ungeplant aus, muss die EnBW Ersatzstrom beschaffen. Das Key Risk „Deckungsbeitragsverlust bei der Stromproduktion“ beschreibt den ungeplanten Ausfall eines Teils des Kraftwerksparks. Bewertet wird das Risiko mit den Kosten für die Ersatzstrombeschaffung abzüglich eingesparter variabler Kosten. Reparaturaufwendungen werden hier nicht berücksichtigt. Auf Grund der Komplexität jedes Kraftwerks gibt es zahlreiche Risiken, die einen ungeplanten Stillstand zur Folge haben können. Dazu gehören beispielsweise Leckagen von Rohrleitungen, Ausfälle von Kühlmitteloder Speisewasserpumpen sowie Defekte am Generator oder an den Turbinen. Stark vereinfacht lassen sich die Einzelrisiken je nach Kraftwerkstyp clustern (s. Tabelle 9). Tabelle 9. Risikoartenclusterung
Thermische Kraftwerke Wärmeproduktion Turbinen Generator Kühlung etc.
Wasserkraftwerke Wasserleitung Turbinen Generator Pumpen etc.
An jedem Kraftwerksstandort werden im Rahmen des EnBWRisikomanagementprozesses regelmäßige Risikoinventuren zur Identifikation spezifischer Einzelrisiken durchgeführt. Jedes identifizierte Risiko wird anschließend nach möglicher Schadenshöhe und Eintrittwahrscheinlichkeit bewertet. Würden wir diese zahlreichen Teilrisiken mit Szenarien aggregieren, müssten wir präzise Annahmen hinsichtlich der Häufigkeit jedes einzelnen Risikos und der Korrelation zwischen je zwei Risiken treffen. Gerade diese Informationen liegen in den seltensten Fällen vor. Stattdessen beschreiben wir ergänzend die Nichtbeanspruchbarkeit63 von Teilen des Kraftwerksparks mit einem numerischen Modell und schätzen mit diesem die möglichen Deckungsbeitragsverluste gesamthaft für den Kraftwerkspark ab. Dies wird im Folgenden näher dargestellt. Zur Modellierung unterscheiden wir den technischen Aspekt, d. h. die unplanmäßige Nichtbeanspruchbarkeit eines jeden Kraftwerks und den finanziellen Aspekt der entgangenen Deckungsbeiträge durch den Anlagen-
63 Nichtbeanspruchbarkeiten eines Kraftwerks sind Nichtverfügbarkeiten und unplanmäßige Einschränkungen aufgrund äußerer Einflüsse.
Risikoaggregationsmethoden im Risikomanagement der EnBW
157
ausfall. Marktpreisrisiken stehen bei dieser Betrachtung nicht im Vordergrund. Diese werden an anderer Stelle im Konzern erfasst und gemanagt. Im ersten Schritt erfolgt auf Basis historischer Daten und Expertenwissen die Abbildung der Kraftwerksausfallcharakteristik für die einzelnen Anlagen. Im darauf folgenden Schritt werden die Kraftwerksausfälle simuliert und die entgangenen Deckungsbeiträge ermittelt. a) Abbildung der Kraftwerksausfallcharakteristik:
Zum Abschätzen der Verteilung der unplanmäßigen Nichtbeanspruchbarkeit von Kraftwerken leiten wir zuerst eine typische Verteilungsfunktion ab und passen diese anschließend an die EnBW-Kraftwerke an. Da unser Kraftwerkspark wegen der beschränkten Anzahl an Kraftwerken statistisch gesehen nicht repräsentativ ist, greifen wir bei der Modellierung der Kernkraftwerke auf die VGB64 Statistiken zur Verfügbarkeit von Kernkraftwerken der Jahre 1994–2004 zurück (s. Abb. 43). Wir verwenden die Angaben zur „geplanten Arbeits-Nichtverfügbarkeit“ (Plan-NV) und zur „Arbeitsausnutzung“, womit in guter Näherung die historische Beanspruchbarkeit der Kernkraftwerke ermittelt werden kann. Für Kohle- und Wasserkraftwerke liegen keine vergleichbaren öffentlich zugänglichen Daten für die Ermittlung der Beanspruchbarkeit vor. 30
Häufigkeit
25
20
15
10 5
0 0
10
20
30
40
50
60
70
80
90
100
Arbeitsausnutzung ohne Plan-Nichtverfügbarkeit in %
Abb. 43. Arbeitsausnutzung ohne Plan-NV deutscher KKW (1994–2004)
64 Verband der Großkessel-Besitzer, europäischer Fachverband für die Strom- und Wärmeerzeugung
158
Thilo Enders, Thomas Vetter, Uwe Wagner
Die insgesamt 208 Werte liegen im Intervall [0 %, 100 %] mit einem Mittelwert von 91,9 % und einer Standardabweichung von 13 %. Neun Ereignisse werden im Modell als Extremwert behandelt, da sie deutlich von der Mehrheit der Ereignisse abweichen (hier Ereignisse, die eine Arbeitsausnutzung von weniger als 70 % aufweisen). Für die Beschreibung der historischen Häufigkeitsverteilung verwenden wir eine β-Verteilung. β-Verteilungen haben den Vorteil, dass sie über einem festen Intervall definiert sind, in unserem Fall null bis hundert Prozent.65 Um den Extremwerten der historischen Verteilung gerecht zu werden überlagern wir die β-Verteilung mit einer Gleichverteilung, deren Größe von der Häufigkeit der seltenen Ereignisse abhängt. Die daraus resultierende modifizierte β-Verteilung wird durch drei Parameter vollständig definiert. Diese Parameter schätzen wir mit Hilfe der vorliegenden historischen Daten ab. Die Übereinstimmung der modellierten mit der historischen Verteilung ist sehr gut (s. Abb. 44). 30 25
Häufigkeit
20
Erwartungswert der verwendeteten Verteilung
15 10 5 0 75
80
85
90
95
100
Arbeitsausnutzung ohne Plan- Nichtverfügbarkeit in % Historische Daten
Verwendete Verteilung
Abb. 44. Häufigkeitsverteilung der historischen Arbeitsausnutzung ohne Plan-NV
Anhand einer Auswertung der historischen Daten je Kraftwerk zeigt sich, dass wir die oben genannten drei Parameter jeweils in Abhängigkeit vom Erwartungswert der Verteilung angeben können. Demzufolge passen 65
Vgl. Weisstein 2003
Risikoaggregationsmethoden im Risikomanagement der EnBW
159
wir die abgeleitete typische Verteilung für die „Arbeitsausnutzung ohne geplante Arbeits-Nichtverfügbarkeiten“ eines deutschen Kernkraftwerks im nächsten Schritt an die Gegebenheiten der EnBW an. Dazu gleichen wir die Erwartungswerte der geschätzten modifizierten β-Verteilung an die jeweiligen Erwartungswerte für die eigenen Kraftwerke an. Für die fossil befeuerten Kraftwerke verfahren wir entsprechend, allerdings treffen wir hier vereinfachend die Annahme, dass die Form der für die KKW ermittelten Verteilung auch auf diese anwendbar ist. Diese Annahme ist notwendig, da keine hinreichend guten Daten für konventionelle Kraftwerke für die Ermittlung der Beanspruchbarkeit veröffentlicht werden und die Anzahl der eigenen Kraftwerke für eine Verteilungskurvenbestimmung nicht ausreicht. Allerdings liefert ein Abgleich der eigenen historischen Häufigkeitsverteilung mit den modellierten Verteilungen eine Indikation, welche diese Annahme rechtfertigt. Im nächsten Schritt erfolgen die Monte-Carlo-Simulation der unplanmäßigen Nichtbeanspruchbarkeiten und die Ermittlung der damit verbundenen, entgangenen Deckungsbeiträge. b) Simulation unplanmäßiger Nichtbeanspruchbarkeiten und entgangener Deckungsbeiträge:
Für die Monte-Carlo-Simulation nutzen wir die Software Crystal Ball®66. Die entgangenen Deckungsbeiträge bewerten wir monetär aus der Differenz der geplanten zur simulierten Beanspruchbarkeit. Die Abschätzung erfolgt einmal jährlich und zusätzlich bei größeren Marktpreisveränderungen. Wir führen sie für den Zeitraum der Mittelfristplanung der EnBW durch. Dieser beträgt derzeit drei Jahre. Das Ergebnis der Abschätzung soll hier anhand eines fiktiven Kraftwerksparks dargestellt werden. Der fiktive Kraftwerkspark besteht aus drei Kernkraftwerken und zwei Steinkohleblöcken (s. Tabelle 10). Als Bewertungszeitpunkt verwenden wir die Notierungen an der Börse EEX in Leipzig67 (s. Tabelle 11).
66 67
Decisioneering, Inc., www.crystalball.com European Energy Exchange, www.eex.de
160
Thilo Enders, Thomas Vetter, Uwe Wagner
Tabelle 10. Fiktiver Kraftwerkspark
Kraftwerksblock
Leistung [MW]
KKW 1 KKW 2 KKW 3 Steinkohle 1 Steinkohle 2
1.100 900 500 600 500
Arbeitsbeanspruchbarkeit ohne planmäßigem Anteil 97 % 95 % 90 % 89 % 93 %
Tabelle 11. Jahres-Base und -Peak68 an der EEX
Liefertermin 2007 Liefertermin 2008 Liefertermin 2009
Jahres-Base [€/MWh] 44,10 42,42 43,07
Jahres-Peak [€/MWh] 60,56 59,21 59,15
Die in der Monte-Carlo-Simulation für ein stabiles Ergebnis erforderliche Anzahl der Ziehungen ist u. a. von der Anzahl der Kraftwerke und der eingesetzten Verteilungsfunktionen abhängig. Im betrachteten Beispiel wurde die Simulation mit 500.000 Ziehungen durchgeführt. Auf Basis der simulierten unplanmäßigen Nichtbeanspruchbarkeiten erhält man eine Verteilung der Deckungsbeitragsverluste (s. Abb. 45) beziehungsweise die einzelnen Quantile (s. Tabelle 12). Tabelle 12. Quantile der geschätzten Verteilung
Quantil 2,5 % 5% 10 % 20 %
Deckungsbeitragsverlust 2007-2009 [Mio. €] 170 130 77 29
68 Jahres-Base ist der Preis bei täglicher Lieferung für ein Jahr von 0:00 bis 23:59 Uhr, Jahres-Peak bei Lieferung von Montag bis Freitag jeweils von 8:00 bis 19:59.
Risikoaggregationsmethoden im Risikomanagement der EnBW
161
Abb. 45. Simulierte Verteilung des Deckungsbeitragsverlusts
Demnach liegt der Deckungsbeitragsverlust bei dem im Beispiel angeführten fiktiven Kraftwerkspark mit einer Wahrscheinlichkeit von 5 % unter 130 Mio. €. Der ermittelte Wert beschreibt vollständig das Aggregat aller Teilrisiken an allen Kraftwerksstandorten, die zu einem unplanmäßigen Ausfall führen können. Annahmen zu Korrelationen von Teilrisiken müssen nicht getroffen werden.
4
Zusammenfassung
Eine Risikoberichterstattung, angepasst an die spezifischen Bedürfnisse der unterschiedlichen Adressaten, bedarf einer systematischen Informationsverdichtung. Mit Hilfe der hier vorgestellten Methoden sind wir in der Lage, die Risikosituation des Konzerns vollumfänglich zu beschreiben und den Schwerpunkt auf die bedeutendsten Risiken zu legen. Die beschriebenen Methoden haben jeweils den Vorteil, dass sie Risiken so genau wie möglich beschreiben und ohne nicht fundierte Annahmen auskommen. Sollten über die Verdichtung hinaus Detailinformationen nötig sein, greifen wir auf unsere zentrale Risikodatenbank zurück und fügen diese Detailinformation den Risikoberichten gegebenenfalls bei. Das Konzept der Key Risks zur Risikokommunikation hat sich bei der EnBW bewährt. Es erhöht die Übersichtlichkeit und strukturiert das Risikoportfolio. Die Folge ist ein hohes Maß an Transparenz über die Risikolage des Konzerns.
Risikoaggregation in der Praxis des AxpoKonzerns
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck Axpo AG und Oliver Wyman (Bernhard Brodbeck)
1
Der Axpo-Konzern
1.1 Überblick
Der Axpo-Konzern vereinigt drei erfahrene, traditionsreiche Schweizer Energiefirmen unter einem Dach. Die Axpo-Gruppe gehört zu 100 % direkt oder indirekt den Schweizer Kantonen: Zürich, Aargau, Appenzell Innerrhoden, Appenzell Ausserrhoden, St. Gallen, Thurgau, Schaffhausen, Glarus und Zug. Zu den Kerngeschäften der Axpo-Gruppe gehören die Stromproduktion, die Transportnetze, der Handel, der Verkauf von Energieprodukten und die Erbringung von stromgebundenen Dienstleistungen. Rund 3000 qualifizierte Mitarbeitende gewährleisten die Stromversorgung von zirka 40 % des Schweizer Strommarkts69, welcher aus Endverbrauchern, Kantonswerken sowie Industrie- und Gewerbetreibenden besteht. Im Schweizer Markt steht die Axpo-Gruppe für Sicherheit, Qualität und Langfristigkeit. Für die Gewährleistung einer zuverlässigen Stromversorgung in der Schweiz arbeitet sie partnerschaftlich mit den Elektrizitätswerken der Nordostschweizer Kantone und mit Hunderten von Endverteilern zusammen. Sie besitzt und betreibt über ihre Tochtergesellschaften und Partner rund 50 eigene Kraftwerke und Beteiligungen. Die Präsenz an den europäischen Energiemärkten und Strombörsen sowie das Gasgeschäft sind für die internationale Wettbewerbsfähigkeit des Axpo-Konzerns essenziell, weshalb diese zielgerichtet ausgebaut werden. Zurzeit handelt die 69
Dies entspricht 3 Millionen Kunden im Schweizer Markt.
164
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
Axpo-Gruppe in ganz Europa mit Strom, Gas und energiebezogenen Finanzprodukten. 1.2 Gesellschaftsstruktur
Die Axpo-Gruppe umfasst unter dem Dach der Axpo Holding AG die Nordostschweizerische Kraftwerke AG (NOK), die Centralschweizerische Kraftwerke AG (CKW), die Elektrizitätsgesellschaft Laufenburg AG (EGL) und die Axpo Informatik. Letztere ist für die Erbringung von Informatikdienstleistungen für die Axpo-Gruppe zuständig.
Abb. 46. Gesellschaftsstruktur des Axpo-Konzerns
• Die NOK ist die größte Schweizer Stromproduzentin aus hydraulischen Kraftwerken. Neben den Fluss- und Speicherkraftwerken gehören Kernkraftwerke zum Kraftwerkspark der NOK. Sie besitzt und betreibt das Kernkraftwerk Beznau und hält namhafte Beteiligungen an den Kernkraftwerken Leibstadt und Gösgen. Prioritäres Ziel der NOK ist die Gewährleistung der Versorgungssicherheit für die Nordostschweizer Kantone. Zudem betreibt die NOK zur optimalen Bewirtschaftung ihrer Kraftwerke einen aktiven internationalen Stromhandel. Die NOK setzt auch auf erneuerbare Energien, wobei die Biomasse, die Kleinwasserkraft und die Geothermie im Vordergrund stehen. • Die CKW ist das führende Energiedienstleistungsunternehmen der Zentralschweiz. Sie nimmt eine wichtige Rolle im Versorgungsgeschäft der Axpo-Gruppe ein. Sie umfasst die zwei Kernbereiche Energie und Netze. Dazu gehören die Geschäftssparten Produktion, Energiewirtschaft, Vertrieb, Asset Management Netze, Netzführung, Netzservices und Supply Management.
Risikoaggregation in der Praxis des Axpo-Konzerns
165
• Mit der EGL gehört eine der führenden europäischen Energiehandelsgesellschaften zur Axpo-Gruppe. Die EGL verfügt über lokale HandelsStandbeine in Italien, Spanien, Österreich, Polen, Deutschland, Ungarn, Rumänien und Norwegen. Mit dem Engagement in Gas-Kombikraftwerken in Italien erschließt die EGL zukunftsträchtige Märkte. Ein weiteres Geschäftsfeld stellt der Gashandel mit dem Zielsegment Mid-Stream in ganz Europa dar. 1.3 Umfeldbedingungen
Neben den unternehmensspezifischen Merkmalen spielen auch die Umfeldbedingungen eine wichtige Rolle für die Ausgestaltung des Risikomanagements. Organisation und Grundsätze richten sich dabei in gleichem Maße nach externen Gesetzen, wie zum Beispiel dem Schweizerischen Obligationenrecht (OR)70, International Financial Reporting Standards (IFRS), Gesetzen der Swiss Exchange Börse (SWX)71, sowie internen Richtlinien (Führungs- und Organisationshandbuch des Axpo-Konzerns, technische Richtlinien etc.). Beim Marktumfeld sind insbesondere folgende Aspekte erwähnenswert: • Die Energiemärkte in der Schweiz und in Europa befinden sich in Bewegung. Ab 2007 tritt in der Europäischen Union die vollständige Strommarktliberalisierung in Kraft. Dies eröffnet der Axpo wegen ihrer geografischen Lage und ihrem Beitrag zur EU-Stromdrehscheibenfunktion neue Wachstumsperspektiven. • Aufgrund der Umweltveränderungen wurde weltweit eine Reihe von gesetzlichen Vorschriften verabschiedet, welche einen nachhaltigen Einfluss auf den EU-Strommarkt und das Preisniveau ausüben, allen voran das European Trading Scheme (ETS) für den Handel von CO2-Zertifikaten in Europa. • Obwohl sich die derzeit steigende Stromnachfrage und die steigenden Preise in Europa als ein positiver Aspekt für die Strombranche erweisen, steht die zukünftige Versorgungssicherheit in der Schweiz und in Europa schon jetzt vor wichtigen Entscheidungen über Investitionen in neue Produktionsanlagen.
70
Die Durchführung einer Risikobeurteilung ist in Art. 663b und 727a der neuen Revision des ORs verankert. 71 Da der Axpo Konzern nicht notiert ist, begrenzt sie sich auf die Empfehlungen der SWX.
166
2
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
Das Corporate Risk Management
2.1 Einführung
Zur Gewährleistung eines nachhaltigen Unternehmenserfolgs betreibt der Axpo-Konzern ein konzernweites Risikomanagementsystem. Dabei werden durch eine systematische und nachvollziehbare Identifikation, Messung, Bewertung, Steuerung und Überwachung der unternehmerischen Risiken die Ungewissheiten sowie Gefahren auf ein angemessenes Maß reduziert und im Ergebnis auch die Chancen kontrolliert wahrgenommen. Das Corporate Risk Management leistet dabei als integrierter Bestandteil der Unternehmensaufsicht (Corporate Governance) einen Beitrag zur Transparenz und unterstützt somit risikoadäquate, unternehmerische Entscheidungen. Dies erfolgt, indem einerseits unabhängige Risikobewertungen als neutrale Entscheidungshilfen den Führungsorganen zur Verfügung gestellt und andererseits die neuen strategischen Stoßrichtungen und Konzernziele im Rahmen der jährlichen Strategieplanung aus Risikosicht hinterfragt werden. 2.2 Risikodefinition, Dimensionen und Kategorien
Unter Risiko versteht der Axpo-Konzern nicht nur das Eintreten eines negativen Ereignisses, sondern auch die Berücksichtigung jeglicher Ereignisse, die dazu führen, dass die geplanten Zielsetzungen übertroffen (Chance) oder nicht erreicht (Gefahr) werden. Da das Geschäftsumfeld des Axpo-Konzerns eine über die rein finanzielle Risikobewertung hinausgehende Risikobetrachtung erfordert, werden folgende Risikodimensionen für das Risikomanagement berücksichtigt: 1. finanzielle Dimension, die die risikobedingte Ergebnisabweichung von den geplanten EBIT-Zielwerten gemäß Mittelfristplanung misst, 2. Versorgungssicherheitsdimension, die Aussagen zu möglichen Abweichungen einer umfassenden Stromversorgungssicherheit trifft, 3. Umfelddimension, die Risiken aus der Geschäftstätigkeit, insbesondere dem Anlagenbetrieb, gegenüber Mensch (Mitarbeitende und Dritte) und Umwelt betrachtet, 4. Reputationsdimension, die potenzielle Reputationsrisiken aufgrund der öffentlichen Wahrnehmung, der Kundenzufriedenheit und der unterschiedlichen Interessen der Stakeholder betrachtet.
Risikoaggregation in der Praxis des Axpo-Konzerns
167
Bei den finanziellen Risikobetrachtungen unterscheidet der AxpoKonzern im Weiteren zwischen folgenden Risikokategorien: • Marktrisiken: Risiken aufgrund der Schwankungen der Marktvariablen, • Gegenparteirisiken: Risiken infolge des Nicht-Erfüllens von vertraglichen Verpflichtungen seitens der Handelspartner, Vertriebskunden oder Lieferanten, • operationelle Risiken: Risiken aufgrund von Abweichungen bei internen Abläufen und Systemen oder durch Personalverhalten sowie fremdbestimmte Ereignisse, • allgemeine/strategische Risiken: strategische Risiken und Risiken aufgrund der Veränderungen im rechtlichen, politischen oder gesellschaftlichen Umfeld sowie in Großprojekten. 2.3 Organisation des Risikomanagements
Das Risikomanagement (RM) im Axpo-Konzern ist dezentral nach dem Subsidiaritätsprinzip organisiert. Es ist zusammen mit der Internen Revision und weiteren Konzernfunktionen direkt dem CFO unterstellt. Auf Konzernebene ist das Corporate Risk Management (CRM) der operative Hauptakteur (s. Abb. 47). Das CRM führt, koordiniert und steuert den Risikomanagement-Prozess innerhalb des Axpo-Konzerns. Es ist für die Erstellung eines konsolidierten konzernweiten Risikoportfolios und für die Schaffung von Transparenz im Unternehmen verantwortlich. Es übernimmt aber keine Risikoverantwortung. Die „risk ownership“ liegt prinzipiell in der Linie. Eine Ausnahme dabei bildet das Treasury Risk Controlling in der Axpo Holding AG, welches vom RM operativ wahrgenommen wird. Zum besseren Verständnis der Organisation des CRMs werden zunächst die Rollen und Verantwortlichkeiten im RM erklärt (s. Abb. 47).
168
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck Prüfungs- und FinanzAusschuss
Verwaltungsrat
Corporate Risk Council Konzernleitung
CEO, CFO Vertreter PFA CEO's der Tochtergesellschaften Corp. Risk Manager Erforderl. Corporate functions
Risk Coordination Committee Axpo Corporate Riskmanagement
Corp. Risk Managers Leiter Riskmanagement der Tochtergesellschaften Leiter Corp. Insurance
Risk Council NOK
Risk Council CKW
Risk Council EGL
RM Team NOK
RM Team CKW
RM Team EGL
Risk Management Axpo IT
Abb. 47. Corporate Risk Management im Axpo-Konzern
• Der Verwaltungsrat72 (VR) trägt die Gesamtverantwortung für das RM des Axpo-Konzerns und legt die Organisation des RMs fest. Der VR der Tochtergesellschaften (TG) übernimmt dieselbe Verantwortung auf TGEbene. • Der Prüfungs- und Finanzausschuss (PFA) berät den Verwaltungsrat hinsichtlich des RMs im Konzern und bildet sich ein unabhängiges Urteil über die Bewertung des Risikoportfolios im Konzern. • Die Konzernleitung73 der Axpo Holding AG ist für die Umsetzung des RMs verantwortlich. Sie definiert die finanziellen und nicht-finanziellen Messgrößen und sorgt für eine effiziente Risikokapital-Allokation. • Das Corporate Risk Council bildet sich eine Meinung bezüglich der Priorisierung und des Managements der einzelnen Risiken und gibt der Konzernleitung Empfehlungen. • Das Risk Coordination Comittee stellt als Verbindungsglied zwischen den RM der TGs und des Konzerns die Koordination der Risikobetrachtung und die Maßnahmenplanung sicher. Die Rollen und Verantwortlichkeiten der Konzernleitung, des Risk Councils und des RMs sind bei den Tochtergesellschaften analog zum Konzern definiert. Auf operativer Ebene sind die Linienvorgesetzten für In der Schweiz bezeichnet Verwaltungsrat das Organ in Aktiengesellschaften, welches mit dem Aufsichtsrat in Deutschland vergleichbar ist. 73 Analog zur VR-Bezeichnung wird in der Schweiz der Vorstand Konzernleitung genannt. 72
Risikoaggregation in der Praxis des Axpo-Konzerns
169
die Identifikation, Messung, Bewertung und Steuerung der Risiken in ihren jeweiligen Bereichen verantwortlich. Gleichzeitig ist jeder Mitarbeiter mit der Risikopolitik vertraut und ist für die Begrenzung der mit der eigenen Arbeit verbundenen Risiken verantwortlich.
3
Der Risikomanagement-Prozess
Der Risikomanagement-Prozess des Axpo-Konzerns umfasst alle Aktivitäten zum systematischen Umgang mit Risiken. Neben dem Risikomanagement-Prozess auf Konzernebene, welcher die Grundlagen und Rahmenbedingungen des Risikomanagements definiert, finden maßgeschneiderte operative Risiko-Controlling Prozesse in den Tochtergesellschaften statt. Die Notwendigkeit und die Ausgestaltung dieser Prozesse richten sich nach den Geschäftseigenheiten der entsprechenden Tochtergesellschaften sowie den Rahmenbedingungen des konzernweiten RM-Prozesses und liegen vollständig in der Verantwortung der entsprechenden Organe der TGs. 3.1 Der Risikomanagement-Prozess
Beim Risikomanagement-Prozess wird zwischen einer quantitativen (Auswirkungen kurz- bis mittelfristiger Risiken) und einer qualitativen (Auswirkungen langfristiger Risiken) Risikobewertung unterschieden. Zusätzlich werden „Case-by-Case“ Betrachtungen, wie z. B. langfristige Rentabilitätsabschätzungen neuer Projektvorhaben, „Soft Faktors“ aus dem Unternehmensumfeld sowie Trends, wie z. B. der Verlust des gesicherten Absatzvolumens im Versorgungsgebiet, im so genannten „Risiko-Radar“ früh erfasst. So wird sichergestellt, dass alle relevanten Risiken erkannt werden. Im folgenden Abschnitt werden die Phasen des Risikomanagement-Prozesses kurz erläutert (s. auch Abb. 48):
170
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
11 5
Risikoüberwachung
Risikoidentifikation
4 Massnahmenumsetzung
2
2
3 3
Risikobewertung
Massnahmenplanung
Abb. 48. Risikomanagement-Prozess des Axpo-Konzerns
1. Risikoidentifikation: Die Risikoidentifikation erfolgt anhand von so genannten Risiko-Bäumen, welche die wichtigsten Risiken und deren kritische Risikotreiber beinhalten. 2. Risikobewertung: Für die erfassten Risiken werden statistische Verteilungsfunktionen für die Eintrittswahrscheinlichkeit und deren Auswirkungen auf das Konzernergebnis modelliert. 3. Maßnahmenplanung: Basierend auf den Ergebnissen der Risikobewertung werden unter Berücksichtigung von Kosten/NutzenBetrachtungen geeignete Maßnahmen geplant. 4. Maßnahmenumsetzung: Die Umsetzung der geplanten Maßnahmen erfolgt in der Regel in der Verantwortung der TGs. Unter Umständen ist eine konzernweite Koordination notwendig. 5. Risikoüberwachung und Reporting: Die konzernweite Risikosituation wird periodisch überprüft und halbjährlich auf Basis einheitlicher Vorgaben in aggregierter Weise an Konzernleitung und Verwaltungsrat berichtet. 3.2 Die quantitative Risikobewertung als Fokus
Ein durchgängiges Risikoverständnis und eine seit mehreren Jahren etablierte Methodik ermöglichen vergleichbare Risikobewertungen, bei denen die Risiken nach Eintrittswahrscheinlichkeiten und Auswirkungen quantifiziert und priorisiert werden. Im Axpo-Konzern wird der Risikoquantifi-
Risikoaggregation in der Praxis des Axpo-Konzerns
171
zierung ein hoher Stellenwert beigemessen, da sie die unerlässliche Basis für die Risikoaggregation darstellt. Erst durch die Aggregation und Konsolidierung werden die Risikobetrachtungen miteinander vergleichbar, was eine belastbare Bewertung der konzernweiten Risikosituation insgesamt erlaubt. Ziel solcher Bewertungen ist die Darstellung der Risikoauswirkungen auf das Konzernergebnis und die wichtigsten Führungskennzahlen wie EBIT, EVA® und RONOA74. Die quantitativ ermittelten Aussagen gelten auf der Basis der mittelfristigen Finanzplanung (MFP) von Konzern und Tochtergesellschaften über eine Betrachtsperiode von 3 Jahren. Die Risikobewertung sowie ihr Zusammenhang mit der Mittelfristplanung sind in Abb. 49 dargestellt. 3.3 Einbettung in die Planungsprozesse des Konzerns
Der Risikomanagement-Prozess startet unmittelbar nach Vorliegen der genehmigten Mittelfristplanung, welche die Basis für die Risikoquantifizierung bildet. Zwischen beiden Prozessen findet ein intensiver Informationsaustausch statt, damit einerseits die Prämissen der Finanzplanung richtig berücksichtigt werden und andererseits deren Granularität in ausreichendem Maß gegeben ist. Der RM-Prozess und der strategische Planungsprozess finden parallel statt. Die Resultate der Risikobetrachtungen fließen konsolidiert als Prämissen in den strategischen Review ein. Zudem wird der Einfluss der neuen strategischen Stoßrichtung auf die aktuelle Risikosituation im AxpoKonzern überprüft.
4
Risikoaggregation
4.1 Simulations-basierte Risikoaggregation
Als Basis für die Risikoaggregation werden die Einzelrisiken des Risikoportfolios im Simulationstool modelliert. Die Abbildung der Risiken erfolgt dabei durch eine getrennte Modellierung der Verteilungsfunktionen 74
Der EBIT (earnings before interest and taxes) ist als Gewinn vor Zinsen und Steuern definiert. EVA® (Economic Value Added) stellt einen Residualgewinn dar und ergibt eine absolute Nettogröße eines Gewinns nach Abzug der Kapitalkosten für das eingesetzte Gesamtkapital. RONOA (Return on net operating assets) ist das Betriebsergebnis plus Finanzertrag in % des durchschnittlichen Vermögens abzüglich kurzfristigen Fremdkapitals und Rückstellungen für latente Steuern.
172
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
für Eintrittswahrscheinlichkeiten und Risikoauswirkungen. Für die Abbildung der Eintrittswahrscheinlichkeiten stehen sowohl stetige Verteilungsfunktionen (Uniform-, Gauss-, Exponential- oder Weibull-Verteilung) als auch diskrete Verteilungsfunktionen (Binomial-, Poisson oder Multinomiale-Verteilung) im Tool zur Verfügung. Die Verteilungsfunktionen werden dabei auf Basis von historischen Daten, Prognoseerwartungen oder Experten-Schätzungen modelliert. Die Wiederholbarkeit der Risiken wird mit einem zusätzlichen Parameter spezifiziert. Entscheidend ist, ob das Risiko ein unabhängiges Einzelereignis darstellt und somit in jedem Jahr auftreten kann oder ob die Eintrittswahrscheinlichkeit an Konditionen geknüpft ist, welche eine Wiederholung in den Folgejahren verbietet. Die Modellierung der Auswirkungen erfolgt durch die Zuordnung einer Verteilungsfunktion auf eine bestimmte Position der Erfolgsrechung oder der Bilanz. Die Verteilungsfunktionen werden analog zur Bestimmung der Eintrittswahrscheinlichkeit modelliert, wobei aufgrund des vielfach strategischen Charakters der Risiken den Experten-Schätzungen eine besondere Bedeutung zukommt, um zukünftige Auswirkungen antizipieren zu können. Eine vollständige und eindeutige Bestimmung des Risikocharakters setzt das Festlegen und Modellieren folgender Parameter voraus: • Spezifikation der Organisationseinheit, welche vom Risiko beeinflusst wird, • Auswirkungsart des Risikos (additiv oder multiplikativ, linear, quadratisch oder exponentiell), • Zeitverzögerung der effektiven Auswirkungen auf die Position der Erfolgsrechnung oder der Bilanz, • zeitliche Verteilungscharakteristik des Risikos (einmalige oder nachhaltige Auswirkungen über den Betrachtungshorizont). 4.2 Tool-unterstützte Umsetzung
Mit Hilfe eines Simulationstools werden die Auswirkungen der einzelnen Risiken auf das Ergebnis simuliert und unter Berücksichtigung des Geschäftsmodells aggregiert. Die Axpo verwendet dazu die Monte-CarloSimulationsmethode, die Umsetzung erfolgt mittels Excel-Add-In „Crystal Ball®“75. Die Simulation liefert schließlich die statistische Verteilung der zu erwartenden finanziellen Kennzahlen des Konzerns76 auf Basis der RisikoBetrachtungen. Für die weiteren Betrachtungen wird dabei der @Risk75 76
http://www.crystalball.com/ EBIT, EVA und RONOA
Risikoaggregation in der Praxis des Axpo-Konzerns
173
Anteil77 einer Kennzahl durch die Wahl eines bestimmten Konfidenzintervalls (90 %) bestimmt. Um eine statistische Signifikanz bei den Simulationen zu erreichen, wird der Stichprobenumfang auf eine Anzahl von 5000 Simulationen festgelegt.78 Mit Hilfe der systematischen Risikomodellierung wird die Vergleichbarkeit der Risiken garantiert, was eine unabdingbare Prämisse für die Risikoaggregation darstellt. Bei der Aggregation werden die Risiken im Wesentlichen als unkorreliert angenommen. Die Auswirkungen auf die „Bottom Line“- Finanzkennzahl werden anschließend mit Hilfe der Monte-Carlo-Simulationsmethode berechnet. Das Simulationstool unterstützt diesbezüglich eine hohe Flexibilität bei der Risikomodellierung. Die wichtigsten Input- und Output-Beziehungen des Simulationstools sind in Abb. 49 dargestellt. Das modellierte Risikoportfolio des Axpo-Konzerns enthält zurzeit rund 90 Chancen und Risiken. Montecarlo Simulation MFP MFP MittelfristMittelfristplanung planung
Input
SIMULATION verschiedene Szenarien
Output
MittelfristMittelfristplanung planung @risk @risk für für den den Konzern Konzern
Basis für
Risk Risk Report Report
Input
Chancen Chancen und und Gefahren Gefahren aus aus Risikoportfolio Risikoportfolio
Abb. 49. Ablauf des Simulationsprozesses
77
Value-at-Risk (VaR) bezeichnet ein Risikomaß, das den geschätzten, maximalen (Marktwert-)Verlust einer Risikoposition nach einer vorgegebenen Periode angibt, der mit einer bestimmten Wahrscheinlichkeit unter üblichen Marktbedingungen nicht überschritten wird. 78 Risiken mit einer sehr kleinen Eintrittswahrscheinlichkeit werden separat und detaillierter untersucht und in einer zweiten Phase berücksichtigt. Aus diesem Grund ist hier eine höhere Anzahl von Simulationen nicht nötig.
174
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
4.3 Ausgewählte Beispiele Währungsrisiken
Währungsrisiken sind Auswirkungen auf Bilanzpositionen oder Zahlungsströme in Fremdwährung, die direkt durch Wechselkursschwankungen gegenüber einer Referenzwährung (CHF) verursacht werden. Diese Schwankungen stellen nicht nur Gefahren, sondern auch Chancen für das Unternehmen dar. Im Axpo-Konzern resultieren sie primär aus dem internationalen Handels-, Transit- und Vertriebsgeschäft sowie aus der Kernbrennelementbeschaffung. Bei Währungsrisiken sind zwei Komponenten von essentieller Bedeutung, die Volatilitätsentwicklung der Währung und die zeitliche Entwicklung der effektiv abzusichernden Position. Bei den Risikobetrachtungen werden in einem ersten Schritt die offenen Volumen vollumfänglich erfasst und fristgerecht pro Währung aggregiert. In einem nächsten Schritt erfolgt die Bewertung basierend auf den historischen Volatilitäten der Währungen, um das konzernweite Netto-Exposure per definiertem Stichtag zu ermitteln. Die Gesamtbetrachtung des Exposures bildet einerseits die Voraussetzung für eine optimale Hedgingstrategie. Andererseits können dadurch Einsparungen bei den Hedgingkosten erzielt werden, was den einzelnen Tochtergesellschaften zu Gute kommt. Stromvolumenrisiken
Wie die Vergangenheit gezeigt hat, unterliegen Stromvolumen einem beträchtlichen Marktrisiko. Abgesehen von fundamentalen Treibern, wie Primärenergiepreisen und regulatorisch bedingten Einflüssen, liegen die Gründe hierfür in der Volatilität der Strompreise selbst (Underlying) und in der teilweise stark limitierten Marktliquidität gehandelter Kontrakte. Im Axpo-Konzern wird einerseits zwischen längerfristigeren, strategisch/strukturell bedingten physischen Stromvolumenrisiken und andererseits sich kurzfristig ändernden, taktischen Stromvolumenpositionen auf Stufe Tochtergesellschaft unterschieden. Durch die Aggregation sämtlicher volumenbedingter Marktrisiken zum Netto-Exposure im Axpo-Konzern wird ersichtlich, dass das Gesamt-Exposure in der Regel kleiner ist als die Summe der einzelnen Brutto-Exposure pro Tochtergesellschaft (siehe exemplarisch Darstellung in Abb. 50).
Risikoaggregation in der Praxis des Axpo-Konzerns
175
Abb. 50. Risikoaggregation
Investitionen in neue Gas- und Dampfturbinen-Kraftwerke
Der Bau von neuen Gas- und Dampfturbinen-Kraftwerken (GuD) ist mit einem beträchtlichen Investitionsbedarf verbunden und erfordert entsprechend detaillierte Analysen und Sensitivitätsbetrachtungen der wesentlichen Risikotreiber. Diese Risikotreiber können die geplante Rentabilität in kritischem Maße beeinflussen. Als Hauptrisikotreiber werden beispielsweise die Unsicherheiten bei zukünftigen regulatorisch bedingten Gestehungskosten (z. B. Preis und Umfang für die Beschaffung der CO2Zertifikate), die Höhe der Gasbeschaffungskosten, mögliche Gasliefereinschränkungen, die Strompreisentwicklung im entsprechenden Marktumfeld sowie die potenziellen Verzögerungen bei der Inbetriebnahme der Kraftwerke betrachtet. Das Vorgehen der Evaluation einer neuen GuD-Investition wird in Abb. 51 detailliert dargestellt. Der erste Schritt ist die Identifikation der relevanten Risikotreiber. Anschließend werden die Eintrittswahrscheinlichkeiten und Auswirkungen einzelner Risiken als Abweichung der geplanten Mittelfristplanung modelliert und deren Auswirkungen auf die geplanten Zielgrößen simuliert. Die Auswirkungen erscheinen in Form von negativen Abweichungen und möglichen Verlusten (VaR) sowie gegebenenfalls auch als Chancen.
176
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
Abb. 51. Vorgehen zur Evaluation einer neuen GuD-Investition
5
Risiko-Berichterstattung und -steuerung
5.1 Risiko-Berichterstattung
Die Risikoquantifizierung ist die Basis für die Risikosteuerung im Konzern, wobei sich die Steuerungsansätze in Form von Maßnahmen und Empfehlungen aus der Berichtstattung ableiten lassen. Die Berichterstattung erfolgt dabei einerseits mittels jährlichem Corporate Risk Inventar, welches Rechenschaft bezüglich der Vollständigkeit der Risikoidentifikation ablegt, und andererseits durch eine detaillierte Beschreibung der kritischen Top-Risiken mit Trendentwicklungen und den geplanten sowie eingeleiteten Maßnahmen. Der im Vordergrund stehende Corporate Risk Report hat andererseits die Zielsetzung, einen aktuellen, konzernweiten Überblick über das quantifizierte Risikoportfolio zu schaffen sowie die kritischsten und vordringlichsten Veränderungen für eine fundierte Diskussion im Corporate Risk Council aufzubereiten. Dieser halbjährlich erstellte Bericht fokussiert primär auf folgende Aspekte: • die Entwicklung der Risikosituation im Konzern und in den Tochtergesellschaften, • der Einfluss der neuen strategischen Konzernziele auf die heutige Risikosituation im Axpo-Konzern,
Risikoaggregation in der Praxis des Axpo-Konzerns
177
• die Feststellung der systematischen Abweichungen zur Mittelfristplanung und die Höhe der nach aktuellem Kenntnisstand erwarteten risikobedingten Abweichung des EBIT per annum (EBIT@risk), • die Zusammenfassung der finanziellen Kenngrößen im Risiko-Cockpit, • Aussagen zur Gewährleistung der Risikotragfähigkeit. 5.2 Risikosteuerung
Beide Berichte dienen als Kontrolle der aktuellen Risikosituation im Konzern und als Basis für die Ableitung notwendiger Maßnahmen hinsichtlich der Risikosteuerung auf Konzern- und Teilgesellschaftsstufe. Die Kontrolle und der Vergleich der aktuellen Risikosituation mit Vorgaben und Limiten der Risikostrategie erfolgt anhand des Corporate Risk Cockpits. Wie im grau schattierten Bereich in Abb. 52 dargestellt, bildet dabei das Corporate Risk Cockpit die Schnittstelle zwischen der Konzernbzw. Risikostrategie und dem Corporate RM Prozess. Dabei werden die aktuellen Risikobewertungen den strategischen Limiten gegenüber gestellt. Das Risk Cockpit79 visualisiert dabei einen Handlungsbedarf mit Hilfe des Ampelsystems. Die abgeleiteten Maßnahmen fließen in den strategischen Planungsprozess als Prämissen für die Formulierung neuer strategischer Stoßrichtungen und Konzernziele ein. Dadurch wird das umfassende Risikomanagement-Modell des Axpo-Konzerns integral vervollständigt.
Abb. 52. Risikosteuerung im Axpo-Konzern 79
Kennzahl VAX: „Value add for Axpo group" steht für das spezifisch definierte EVA-Konzept
178
6
Christian Sangiorgio, Susana Aramayo Hottinger, Bernhard Brodbeck
Schlussfolgerungen und Ausblick
Die auf statistischen Methoden basierte Risikoquantifizierung ist eine unabdingbare und zentrale Voraussetzung für eine anschließende konsistente und vergleichbare Risikoaggregation auf Stufe des Konzerns. Die Aggregation der Risiken erlaubt einerseits die Priorisierung kritischer Risikotreiber auf das Unternehmensergebnis, was einem substanziellen Transparenzgewinn entspricht. Andererseits bildet sie die Grundlage für eine effektivere Absicherungsstrategie, was sich letztlich auch positiv in effizienteren und somit kostenoptimierten Absicherungsmaßnahmen äußern kann. Zusätzlich schafft die Risikoaggregation die Basis für Portfoliobetrachtungen auf Stufe des Konzerns und der operativen Geschäftseinheiten, was eine fundierte, wertbasierte Diskussion zukünftiger Handlungsoptionen und Optimierungspotenzialen auf Basis von Risiko-Ertrags-Betrachtungen erlaubt und unterstützt. Im Zusammenhang mit der Erwirtschaftung einer adäquaten Verzinsung des beanspruchten Risikokapitals und der Bestimmung eines risikoadjustierten Übergewinns stellt sich schließlich die Frage, inwiefern das aus dem Finanzumfeld bekannte Konzept der Risikokapitalallokation auf die Energiewirtschaft anwendbar ist. Erste konkrete Projekterfahrungen mit Industrieunternehmen und verwandten Branchen legen die Vermutung nahe, dass die Risikokapitalallokation ein Erfolg versprechendes Konzept für die strategische Risikosteuerung darstellen kann, sofern die Entscheidungskriterien prinzipiell einer betriebswirtschaftlichen Logik folgen und physische Restriktionen adäquat abgebildet werden.
Teil 4 Fallstudien aus der Finanzdienstleistungsbranche
Risikoaggregation bei der ASL Auto ServiceLeasing GmbH
Andreas Lackner ASL Auto Service-Leasing GmbH
1
Kurzprofil ASL Auto Service-Leasing GmbH
Die herstellerunabhängige ASL Auto Service-Leasing GmbH verfügt über eine langjährige Erfahrung im gewerblichen Fuhrparkleasing und im Flottenmanagement. Mit den ASL-Produkten und Dienstleistungen lassen sich Fuhrparklösungen erarbeiten, die sich flexibel den Anforderungen der Unternehmen anpassen. Dem gewerblichen Leasingnehmer bietet ein individuell entwickeltes Fullservice-Konzept umfassende Mobilität, Kostensicherheit und beträchtliche Risikominderung auch bei einer vorzeitigen Vertragsauflösung. Die ASL zählt zu den größten deutschen Einkäufern von Neufahrzeugen und verwertet als eine der wenigen Kfz-Leasinggesellschaften die Gebrauchtfahrzeuge selbst. Die Vorteile einer erfolgreichen Einkaufs- und Restwertpolitik kann sie dann in Form günstiger Finanzierungsmodelle an ihre Kunden weitergeben. Um auch in Zukunft erfolgreich zu sein, sollen sich bietende Chancen aktiv genutzt werden. Durch ein stetiges Wachstum wird die Position des Unternehmens am Markt weiter verbessert. Die Nutzung von Chancen geht aber mit Risiken einher, von deren Bewältigung der Erfolg des Unternehmens abhängt. Nur wer seine wesentlichen Risiken rechtzeitig erkennt und ihnen systematisch begegnet, ist in der Lage, sich bietende Chancen unternehmerisch verantwortlich zu nutzen.
182
Andreas Lackner
Dieser Erkenntnis trägt die Geschäftsführung Rechnung, indem sie die innerhalb des Unternehmens vorhandenen Maßnahmen zur Risikosteuerung in einem einheitlichen und durchgängigen Risikomanagementsystem zusammenfasst. Damit werden auch die Erfordernisse erfüllt, die sich durch die Änderungen des AktG und des HGB durch das 1998 in Kraft getretene Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ergeben. Die Funktionsfähigkeit des Risikomanagementsystems wird durch den Abschlussprüfer geprüft.
2
Definition und Arten von Risiken
Die ASL definiert Risiken als alle Ereignisse und mögliche Entwicklungen innerhalb und außerhalb des Unternehmens, die sich negativ auf das Erreichen der Unternehmensziele auswirken können. Jedes Risiko beinhaltet ein Gefahrenpotenzial, das sich mit einer zu bestimmenden Eintrittswahrscheinlichkeit auf das Unternehmen auswirken kann. Die Identifikation der Risiken orientiert sich dabei an den Unternehmenszielen bzw. den Erfolgsfaktoren, welche das Erreichen dieser Ziele gewährleisten sollen. Alles, was die Erfolgsfaktoren gefährden kann, soll bei der Risikoidentifikation durch die Verantwortlichen in den einzelnen Untersuchungsbereichen erfasst werden. Ziel ist es dabei, eine vollständige Übersicht über die Risiken im Unternehmen zu erhalten. Um eine wirksame Steuerung der Risiken zu ermöglichen, erfolgt die Risikoidentifikation systematisch und regelmäßig. ASL unterscheidet Markt-, Finanz-, Prozess-, Mitarbeiter- und rechtliche Risiken: • Marktrisiken betreffen die Rahmenbedingungen und das Auftreten am Markt (z. B. Ausfall- bzw. Bonitätsrisiko von Kunden), • Finanzrisiken betreffen finanzielle Geschäfte (z. B. Wechselkursrisiko), • Prozessrisiken betreffen die Entwicklung und Erstellung von Leistungen und deren Steuerung (z. B. IT-Entwicklungen), • Mitarbeiterrisiken betreffen die Mitarbeiter und die Organisationsstruktur (z. B. Mitarbeiterfluktuation), • rechtliche Risiken betreffen juristische Konflikte und gesetzliche Rahmenbedingungen (z. B. Veränderung steuerlicher Regelungen), • sonstige Risiken, die sich keiner der vorgenannten Risikoart zuordnen lassen (z. B. Versicherungsfälle).
Risikoaggregation bei der ASL Auto Service-Leasing GmbH
3
183
Risikomanagement-Organisation und -Prozess
Präventiv festgelegte Abläufe, klar definierte Strukturen und das Verantwortungsbewusstsein des Einzelnen sind die Basis des Risikomanagements bei ASL. Um die Einhaltung der Vorgaben zu prüfen und die Abläufe zu optimieren, muss jeder Bereich im Unternehmen das Risikomanagementsystem kontinuierlich im Sinne eines lernenden Systems – also auch abweichend von Stichtagsregelungen – überprüfen, bewerten und an geänderte Bedingungen anpassen. Im Rahmen wöchentlicher, monatlicher und halbjährlicher Risikoberichte werden die Ergebnisse dieser Überprüfungen an das Risikomanagement-Komitee (RMK) und von diesem an die Geschäftsführung übergeben. Eine Risikoberichterstattung über alle Risiken findet halbjährlich statt. Akut auftretende Risiken, die den Bestand des Unternehmens gefährden können, sind direkt und schnellstmöglich dem jeweiligen Verantwortlichen und der Geschäftsführung zu melden. Die Organisation muss flexibel und schnell auf Risiken reagieren können. Deshalb ist das Risikomanagement weitestgehend in die bereits bestehenden Prozesse und Berichtswege integriert. Das Risikomanagement ist als kontinuierlicher Prozess in die Unternehmenssteuerung und das Berichtswesen eingebunden. Dabei kann man verschiedene Phasen unterscheiden, die in Abb. 53 dargestellt sind.
Vorgaben des Risk Management Framework durch das Management Risikocontrolling, Ergebnisnachweis
Schwache Signale beobachten vermeiden
Risikoidentifikation
Risikobewertung
Gesamtrisiko
vermindern
überwälzen
Eskalation/ Entscheidung
selbsttragen
Restrisiko Gegenmaßnahmen zuordnen Dokumentation der Umsetzung von Gegenmaßnahmen
Abb. 53. Risikomanagement-Prozess bei ASL
Monitoring/ Reporting/ Kommunikation
184
Andreas Lackner
Die Geschäftsführung legt die Unternehmensziele und Strategien für die Unternehmensplanung fest. In ihrer Vorbildfunktion trägt die Geschäftsführung zur Förderung des Risikobewusstseins im Unternehmen bei. Sie ist verantwortlich für die Früherkennung und Bewältigung von Risiken, die den Fortbestand des Gesamtunternehmens gefährden könnten. Hierzu hat sie die im Risikomanagementhandbuch dokumentierten Verfahren und Maßnahmen in Kraft gesetzt und veranlasst in regelmäßigen Zeitabständen ihre Aktualisierung. Die Geschäftsführung legt die Standards für die Risikobewertung fest. Sie informiert in angemessenen Abständen den Verwaltungsrat in Fragen des Risikomanagements. Das RMK, das sich aus drei Vertretern (Kaufmännische Geschäftsführung, Leiter Einkauf, Leiter Controlling) zusammensetzt, ist verantwortlich für die zentrale Koordination des Risikomanagementsystems. Das RMK erhält von den Bereichsverantwortlichen die Berichte über die Risikosituation und fasst diese – neben dem alle Risiken umfassenden Risikoinventar – zu einem Top Management Report zusammen, der die Geschäftsführung über die Risikosituation des Unternehmens informiert. Es ist weiterhin für die Aktualisierung und Anpassung des Risikomanagementsystems an veränderte Rahmenbedingungen verantwortlich und übernimmt Aufgaben bei der Dokumentation und Überwachung des Systems. Für die Steuerung der Risiken in den einzelnen operativen Bereichen tragen die Abteilungsleiter die Verantwortung. Sie sind für die Identifikation und Bewertung der Risiken zuständig und planen und ergreifen ggf. Gegenmaßnahmen zur Vermeidung von Schäden. Sie überwachen die Risikosituation in ihrem Bereich und überarbeiten periodisch den Risikobericht. Für jedes Risiko wird vom RMK ein „Risk Owner“ (in der Regel der Abteilungsleiter) ernannt, in dessen Verantwortungsbereich das Risiko fällt. Der Risk Owner hat die zur Bewältigung des Risikos notwendigen Entscheidungen zu treffen. Insbesondere bei übergreifenden Risiken kann dafür auch ein Komitee bzw. ein Gremium eingesetzt werden. Jedoch ist auch hier ein Verantwortlicher zu benennen, der dieses leitet. Falls die Berichterstattung über das Risiko durch andere vom Risk Owner benannte Personen erfolgt, sind diese bei der Risikoerfassung zu benennen. Ebenso sind Verantwortliche für die Umsetzung von Gegenmaßnahmen festzulegen.
Risikoaggregation bei der ASL Auto Service-Leasing GmbH
4
185
Bewertung und Positionierung von Risiken
4.1 Klassifizierung von Risiken
Insgesamt werden durch die Risk Owner derzeit ca. 60 Einzelrisiken bearbeitet. Um diese systematisch zu erfassen, werden sie im Risikoinventar in Form einer Auflistung zusammengefasst. Die Daten aus den Risikoberichten der einzelnen Bereiche sind vom RMK im Hinblick auf die Risikosituation im Gesamtunternehmen auszuwerten. Dabei werden die Risiken nach ihrer Bewertung priorisiert. Die Eintrittswahrscheinlichkeit und die potenzielle Schadenhöhe klassifiziert die Risiken nach ihrer Bedeutung (Abb. 54). potenzielle Schadenhöhe / zu tragender Risikowert >= 2,5 Mio €
<= 2,5 Mio € Top Management Report Top Management Report
<= 500 T€
Risikoinventar z. B. Verwertungsrisiko des Fuhrparkbestandes
<= 250 T€
<= 50 T€ sehr unwahrscheinlich
Eintrittswahrscheinlichkeit
Abb. 54. Schema Risikoportfolio
Die Klassifizierung der Einzelrisiken erfordert unter Umständen Konsequenzen (z. B. Rückstellungen sowie Berücksichtigung in der Planungsrechnung) für das Unternehmen bzw. einzelne Bereiche. Einzelrisiken, deren Eintritt als wahrscheinlich bis sehr wahrscheinlich eingestuft wird und die entweder bestandsgefährdend sind oder hohe Ergebnisauswirkungen haben, ziehen eine permanente Überwachung anhand geeigneter Schwellenwerte oder sonstiger Alarmsignale nach sich. Neben dem alle Risiken umfassenden Risikoinventar wird der Geschäftsführung ein Top Management Report vorgelegt. Darin enthalten
186
Andreas Lackner
sind zum einen Risiken mit einer potenziellen Schadenhöhe ab 2,5 Mio. €. Damit soll sichergestellt werden, dass die Geschäftsführung sämtliche hohen Risiken unabhängig von der Eintrittswahrscheinlichkeit gemeldet bekommt. Zum anderen werden im Top Management Report alle Risiken mit einem zu tragenden Risikowert größer 500 T€ ausgewiesen. Die Grenzen für die Höhe der Schwellenwerte werden in Relation zum Eigenkapital bestimmt. Dieser Bericht dient als Grundlage für die Auswahl der Risiken, die im Hinblick auf § 91 Abs. 2 AktG und § 289 Abs. 1 HGB der Berichtspflicht im Lagebericht unterliegen. Dadurch wird dem Ende 2004 in Kraft getretenen Bilanzrechtsreformgesetz (BilReG), das eine Anpassung des nationalen Bilanzrechts an die internationale Modernisierungs- und Fair-ValueRichtlinie zum Ziel hat, Rechnung getragen. Als Beispiel für ein Risiko mit hoher Schadenhöhe sei das Restwertrisiko des aktiven Fuhrparkbestandes genannt. Dieses Risiko ist eines der Kernrisiken von ASL und wird dementsprechend intensiv durch den Risk Owner (Abteilungsleiter Gebrauchtwagenverwertung) sowie den Risk Manager (Abteilungsleiter Controlling) überwacht. Die Geschäftsführung wird entsprechend zeitgleich informiert. Anhand von wöchentlichen und monatlichen Analysen sowie ad hoc Auswertungen erfolgt eine Beobachtung des Restwertrisikos, um bei einem Überschreiten von Schwellenwerten (z. B. Erhöhung des Restwertes gegenüber dem Vorgabe-Restwert) schnelles Gegensteuern zu ermöglichen. Der letztlich zu tragende Risikowert kann somit deutlich verringert werden. 4.2 Risikomessung
Um eine effiziente Risikobewältigung zu gewährleisten, muss eine systematische Bewertung der identifizierten Risiken durchgeführt werden. Diese Bewertung erfolgt nach der Wahrscheinlichkeit ihres Auftretens und der potenziellen Schadenhöhe. Der zu tragende Risikowert (s. Tabelle 13) errechnet sich aus der Multiplikation von potenzieller Schadenhöhe und Eintrittswahrscheinlichkeit unter Berücksichtigung von Gegenmaßnahmen. Er entspricht dem als am wahrscheinlichsten anzunehmenden Fall. Szenarioanalysen werden als Backup und als Entscheidungshilfen in Einzelfällen erstellt (z. B. Restwertrisiko). Bei der Bestimmung der Risikowerte ist von einem Zeitraum von einem Jahr auszugehen. Veränderungen in der Risikobewertung sind kenntlich zu machen.
Risikoaggregation bei der ASL Auto Service-Leasing GmbH
187
Tabelle 13. Einteilung des zu tragenden Risikowertes in Schadenklassen
Zu tragender Risikowert ≤ T€ 50 ≤ T€ 250 ≤ T€ 500 ≤ T€ 2.500 > T€ 2.500
Schadenklasse vernachlässigbar geringe Ergebnisauswirkung mittlere Ergebnisauswirkung hohe Ergebnisauswirkung bestandsgefährdend
Zur Gewährleistung einer einheitlichen Bewertung der Risiken im Unternehmen und damit der Vergleichbarkeit der Ergebnisse sollen die Risiken nach folgenden Kriterien bewertet werden: • Die potenzielle Schadenhöhe gibt an, mit welchem Schadenausmaß bei Eintreten des Schadenereignisses zu rechnen ist. Bei der Ermittlung der potenziellen Schadenhöhe sind etablierte Gegenmaßnahmen im Unternehmen in ihrer Wirkung zu berücksichtigen und abzuziehen. Gegenmaßnahmen, mit deren Hilfe ein Risiko vollständig vermieden werden kann, reduzieren demzufolge die Schadenhöhe auf Null. • Die Eintrittswahrscheinlichkeit, die je Risiko innerhalb eines bestimmten Intervalls eingeschätzt wird, gibt an, mit welcher Wahrscheinlichkeit das Schadenereignis eintreten wird. Bei der Berechnung bzw. Einschätzung der Wahrscheinlichkeit soll der erwartete Erfolg der etablierten Gegenmaßnahmen bereits mit einfließen. Zur Unterstützung der Auswertung der Ergebnisse erfolgt die Bewertung der Eintrittswahrscheinlichkeit quantitativ auf einer Skala von 0 % bis 100 % (s. Tabelle 14). Tabelle 14. Bewertung der Eintrittswahrscheinlichkeit
Eintrittswahrscheinlichkeit sehr unwahrscheinlich unwahrscheinlich möglich wahrscheinlich sehr wahrscheinlich
Bewertungsfaktor bis 20 % 40 % 60 % 80 % 100 %
188
5
Andreas Lackner
Aggregierte Risikodarstellung im operativen Berichtswesen
Die ASL ist ein risikoaverses Unternehmen. Wird ein Risiko eingegangen, dann geschieht dies bewusst. Das heißt, das Risiko muss für die Entscheidungsträger transparent sein. Darüber hinaus muss ein deutlich positives Chancen-Risiko Verhältnis gegeben sein. Neben wöchentlichen Risikoreports, die zum Beispiel Restwertrisiken von neu abgeschlossenen Leasingverträgen aufzeigen, existiert ein monatliches Reporting, in dem neben operativen Basisdaten auch Risiken dargestellt werden. Hierbei handelt es sich um die klassischen Risikobereiche bei einer Leasinggesellschaft: Ausfall-/Bonitätsrisiko, Zinsänderungsrisiko sowie Restwertrisiko. Diese drei Risiken sind ebenfalls in das halbjährlich zu erstellende Risikohandbuch integriert, so dass hier eine lückenlose Risikoberichterstattung gewährleistet ist. Im Folgenden wird die Risikodarstellung der für ASL wesentlichen Risiken näher beschrieben. Nur für diese drei Risiken erfolgt auch eine Verdichtung. 5.1 Ausfall-/Bonitätsrisiko
Neben dem monatlichen Risikoreporting, in dem die im jeweiligen Monat neu hinzugekommenen Risikopositionen auf Kundenebene verdichtet berichtet werden, wird das gesamte ASL Kundenportfolio einem halbjährlichen externen Scoring unterzogen. Als Ergebnis dieses Scorings erhält ASL Aussagen zu Ausfallwahrscheinlichkeiten in Bezug auf Branche, Unternehmensgröße, Unternehmensalter und Rechtsform. Über eine Aggregation in fünf verschiedene Scoringklassen kann sowohl für die jeweilige Scoringklasse, als auch für das Gesamtportfolio eine Risikokennzahl errechnet werden (s. Tabelle 15).
Risikoaggregation bei der ASL Auto Service-Leasing GmbH
189
Tabelle 15. Beispiel für die Aggregation des Ausfall-/Bonitätsrisikos Creditreform Bonitätsindex Risikoklasse Ausfallwahrscheinlichkeit Kunden Kunden in %
100-149
150-200
201-250
251-300
301-350
351- 499
500-600
1
2
3
4
5
6
7
0,10%
0,44%
0,98%
1,85%
6,84%
16,97%
Gesamt
93,55%
10
20
30
50
10
5
5
130
7,69%
15,38%
23,08%
38,46%
7,69%
3,85%
3,85%
100%
1.000
1.500
2.000
5.000
750
500
500
11.250
8,89%
13,33%
17,78%
44,44%
6,67%
4,44%
4,44%
100%
Betrag Obligo/Kunde
100
75
67
100
75
100
100
617
Fahrzeuge
250
300
350
750
150
100
100
2.000
12,50%
15,00%
17,50%
37,50%
7,50%
5,00%
5,00%
100%
25
15
12
15
15
20
20
122
4
5
6
7
5
5
5
Betrag Obligo Betrag Obligo in %
Fahrzeuge in % Durchschnittliche Anzahl Fahrzeuge pro Kunde Durchschnittlicher Betrag Obligo/Fahrzeug
5.2 Zinsänderungsrisiko
Das Zinsänderungsrisiko wird monatlich überwacht und im halbjährlichen Risikobericht abgebildet. Hier erfolgt eine Gegenüberstellung sämtlicher Aktiva (aktiver Fuhrparkbestand) mit den zur Refinanzierung benötigten Passiva (alle Kredite sowie strukturierte Finanzierungen). Unter Einrechnung der abgeschlossenen Zinsderivate wird ein €-Betrag als Zinsänderungsrisiko ausgewiesen (s. Tabelle 16). Darüber hinaus wird eine so genannte Kongruenzquote ermittelt, welche die „offenen, nicht abgesicherten Positionen“ in einem %-Satz darstellt. Somit wird das Zinsänderungsrisiko mittels zweier verdichteter Kennzahlen gemessen. Tabelle 16. Beispiel für Aggregation Zinsänderungsrisiko Zinsänderungsrisiko für Monat Mai
+1% Jahr 2006 Jahr 2007 Jahr 2008 Jahr 2009 Jahr 2010 Gesamt
TEUR TEUR TEUR TEUR TEUR TEUR
1.500,0 2.500,0 1.400,0 130,0 0,0 5.530,0
190
Andreas Lackner
5.3 Restwertrisiko
Die Bewertung der beiden vorgenannten, monatlich zu berichtenden Risiken ist für unsere Kapitalgeber und andere Kapitalmarktteilnehmer aufgrund ihres eigenen Kerngeschäftes transparent und nachvollziehbar. Einen anderen Stellenwert nimmt das Restwertrisiko ein. Der Restwert ist der prognostizierte Buchwert eines Fahrzeuges bei Rückgabe an ASL. Wird bei der Vermarktung ein geringerer Wert als angenommen erzielt, kommt es zu einem Buchverlust. Dieser entspricht dem Restwertrisiko. Die Beurteilung des Fahrzeugrestwertes ist eine Kernkompetenz von ASL. Schon seit langem als eigenständiges Profit Center betrieben, ist das bewusste Eingehen von Chancen und Risiken bei der Verwertung von Fahrzeugen am Ende eines Leasingvertrages wichtiger Teil der Geschäftsstrategie. Zur Messung des Verwertungserfolges bzw. zur Darstellung des Restwertrisikos werden verschiedene Instrumente angewandt: • die monatliche Darstellung des Chancen-/Risikoprofils sämtlicher aktiven Verträge auf Basis der kalkulierten Restwerte und Ausgabe von zwei verdichteten Risikokennzahlen, • die Messung, Analyse und Simulation von Restwertrisiken mittels der auf statistischen Modellen basierenden Software Autorisk®, • eine wöchentliche Abweichungsanalyse zwischen den bei Abschluss von Leasingverträgen vertraglich vereinbarten Restwerten und den vorgegebenen Soll-Restwerten (Verdichtungen auf Hersteller, Modell, Kundenebene, etc.), • eine Restwertanalyse der verkauften Fahrzeuge hinsichtlich der Marge zwischen kalkuliertem Restwert und tatsächlich erzieltem Veräußerungserlös zur Steuerung zukünftiger Verwertungserlöse. Hierbei werden Kennzahlen sowohl auf einzelvertraglicher Basis als auch stark verdichtet (Hersteller, Modell, etc.) ausgegeben. Sämtliche aufgeführten Restwert-Risikoberichte sind wie bereits erwähnt auf einzelvertraglicher Basis und auch hochaggregiert auswertbar. Erwähnenswert ist die auf Autorisk® basierende Darstellung des Restwertrisikos mittels Value-at-Risk-Ansatz. Das Modell ist aus über 70 makroökonomischen Variablen aufgebaut. Ziel ist die Risikominimierung durch Berechnung von Volatilitäten im Zusammenhang mit zukünftigen Marktpreisentwicklungen im Gebrauchtfahrzeuggeschäft. Als Ergebnis dieses Ansatzes konnte ein signifikanter Anteil der Volatilitäten der Verwertungsergebnisse anhand externer Einflussfaktoren erklärt werden. Hierdurch soll u. a. branchenfremden Kapitalgebern eine bekannte Risikomessgröße an die Hand gegeben werden, die es ihnen ermöglicht, das Restwertrisiko besser einzuschätzen. In Abb. 55 ist beispielhaft der VaR
Risikoaggregation bei der ASL Auto Service-Leasing GmbH
191
des Verwertungsergebnisses dargestellt. Nur in 5 von 100 Fällen wurden hier Erlöse von 423 T€ unterschritten.
Abb. 55. VaR des Verwertungsergebnisses
Eine weitere Aggregation von Einzelrisiken ist aus ASL-Sicht nicht zielführend. Alle weiteren Risiken werden deshalb im halbjährlichen Risikobericht in tabellarischer Form aufgeführt und quantitativ bewertet dargestellt. Das Risikomanagementhandbuch samt Risikoinventar wird halbjährlich an die Geschäftsführung und den Verwaltungsrat versandt. Die Abteilungsleiter erhalten zusätzlich eine Aufstellung der in ihrem Bereich erkannten Risiken. 5.4 Nutzen der gewählten Risikoberichterstattung
Die ASL hat die Regeln, nach denen intern mit Risiken umgegangen wird, in einem Risikomanagementhandbuch zusammengefasst und unternehmensweit zur Verfügung gestellt. Die beschriebene Risikoberichterstattung wurde aus zwei wesentlichen Gründen gewählt. Einerseits ist ASL der Auffassung, dass hiermit die immanenten Geschäftsrisiken vollumfänglich dargestellt werden. Andererseits wird mit der Risikodarstellung gewährleistet, dass auch branchenfremde Geschäftspartner bei einer Beurteilung des Unternehmens einen verständlichen und vollständigen Überblick über das Risikoportfolio erhalten. Die ASL ist zur Risikominimierung stets darauf bedacht, ihre Refinanzierungsquellen breit zu streuen. So wird neben den klassischen Bankdarlehen auch eine Asset Backed Commercial Paper Transaktion (Verbriefung von Leasingforderungen) aktiv für die Refinanzierung eingesetzt. Weitere strukturierte Refinanzierungsprodukte sind in Vorbereitung. Für bestehende und potenzielle Refinanzierungspartner ist es für die weitere
192
Andreas Lackner
bzw. geplante Zusammenarbeit von entscheidender Bedeutung, wie ASL mit dem Thema Risiko umgeht. Über das konsequente Risikomanagementsystem kann ASL nachweisen, dass das Erkennen sowie Vermeiden und Bewältigen von Risiken einen hohen Stellenwert besitzt. Die Art und Weise, wie ASL mit Risken im täglichen „doing“ umgeht, beweist, dass das Risikomanagement ein aktiv gelebtes Steuerungssystem ist, aus dem unternehmensrelevante Entscheidungen abgeleitet werden. So wird beispielsweise aus dem monatlichen Reporting des Zinsänderungsrisikos die Strategie im Hinblick auf den Abschluss weiterer Zinsderivate abgeleitet.
6
Erfahrungen mit der Risikoberichterstattung
Die ASL ist seit jeher ein Unternehmen, in dem Risiken offen angesprochen und transparent dargestellt werden. Seit 1999 werden alle bekannten Risiken im ASL Risikoinventar systematisch zusammengefasst. Als besonders wichtig für den Erfolg und die Akzeptanz des Risikomanagementhandbuchs hat sich die aktive Mitwirkung der Geschäftsführung im gesamten Prozess erwiesen. Damit wurde für die nachgelagerten Bereiche deutlich, dass es sich beim Thema Risikomanagement um eine elementare unternehmensweite Aufgabe handelt. Dies wird auch durch die Mitwirkung der Geschäftsführung im Risikomanagement-Komitee sowie durch die organisatorische Einbindung des Risikomanagements als Stabsstelle der Geschäftsführung deutlich. Ein weiterer sehr wichtiger Baustein für den Erfolg des Risikomanagements ist die offene interne Kommunikation. Nur durch laufende Einbindung aller Fachbereiche und Risk Owner konnte die teilweise vorhandene Skepsis sowie Unsicherheit vor einer Weitermeldung von Risiken genommen werden. Ebenfalls um das Thema interne Kommunikation dreht sich der Punkt, dass Risk Owner unter Umständen nicht offen über erkannte Risiken in ihrem Bereich berichten möchten. Hier hat ASL die Erfahrung gemacht, dass es nur durch ständiges Informieren und persönliche Ansprache der Fachbereichsverantwortlichen möglich ist, diese von der Vorteilhaftigkeit einer offenen Kommunikation zu überzeugen. Eine Schwierigkeit war, dass z. B. nicht alle Risiken eindeutig quantitativ bewertet werden konnten (z. B. Mitarbeiterrisiken). Um hier aussagekräftige Bewertungen zu erhalten, muss der jeweilige Risk Owner sehr eng seitens des RMK begleitet werden.
Risikoaggregation bei der ASL Auto Service-Leasing GmbH
193
Zusammenfassend lässt sich festhalten, dass mit der Einführung des Risikomanagementhandbuchs samt Risikoinventar und Top Management Report die Risikoberichterstattung deutlich an Transparenz gewonnen hat. Die externe Wahrnehmung des Risikomanagementsystems wird seitens ASL durch konsequentes „Marketing“ weiter vorangetrieben. Zu solchen Maßnahmen zählt sicherlich auch die Prüfung des Risikomanagementsystems durch einen externen Berater aus dem Jahr 2003. Das intern schon vorhandene Verständnis für die Wichtigkeit der Risikoberichterstattung und deren Akzeptanz im gesamten Unternehmen konnte über die Jahre hinweg gesteigert werden. Über laufende Kommunikation und Thematisierung der Problemfelder wurde erreicht, dass sich die Fachbereiche vollumfänglich mit der Risikoberichterstattung identifizieren und schon in einem frühen Stadium Gegenmaßnahmen zur Reduzierung bzw. Vermeidung von Risiken einleiten. Darüber hinaus konnte durch die standardisierte, teilweise aggregierte Risikoberichterstattung eine objektivierte Basis für geschäftspolitische Entscheidungen geschaffen werden.
Risikoaggregation in Kreditinstituten
Gerrit Jan van den Brink Finecs Business Consulting GmbH (ehem. bei Dresdner Bank AG)
1
Gründe für die Aggregation von Risiken
Risiko kann nicht direkt gemessen werden, da es „latent“ (verborgen) ist. Statt Risiken direkt zu messen, werden oftmals die Folgen des Risikos gemessen. Dies wird bereits in der Definition des Begriffes deutlich: Risiko ist die (negative) Abweichung vom Planwert. Die positive Abweichung wird in vielen Beiträgen zum Thema Risiko als Chance dargestellt. Im Allgemeinen geht es also darum, die Abweichung in der Gewinn- und Verlustrechnung so klein wie möglich zu halten, in Risikotermen heißt das, die Volatilität der Gewinn- und Verlustgrößen zu minimieren. Grafisch kann man dies für eine Bank wie in Abb. 56 darstellen.
Abb. 56. Risikomanagement als Werttreiber
196
Gerrit Jan van den Brink
Da eine Gewinn- und Verlustrechnung (G&V) per Definition aggregierte Werte beinhaltet, ist eine Aggregation der Risikoinformationen ebenfalls unumgänglich. Außerdem wirken verschiedene Risikoarten auf die gleiche G&V-Position, wie im folgenden Beispiel der Beeinflussung des NettoZinsertrages durch verschiedene Risiken deutlich wird: • Wer an Risiken im Zusammenhang mit dem Netto-Zinsertrag denkt, dem wird zunächst das Marktpreisrisiko einfallen. Das Markpreisrisiko stellt sich hier insbesondere durch eine unterschiedliche Zinsbindungsperiode von Aktiv- und Passivgeschäften dar. Wenn die Bank ein festverzinsliches Darlehen gewährt und dieses Darlehen mit variabel verzinsten Spargeldern refinanziert, dann ist die Zinsspanne nicht fest gegeben. Vielmehr wird sich diese verringern, wenn die Zinsen steigen. Die Bank muss zunächst den Sparbuchkunden höhere Zinsen vergüten. Sie kann diese Zinserhöhung jedoch nicht an den Darlehenskunden weitergeben. • Daneben kann auch das Kreditrisiko eine Auswirkung auf die NettoZinsertragsposition haben. Wenn sich die Bonität eines Darlehenskunden verschlechtert, ist dieser möglicherweise nicht mehr in der Lage, die Zinsen der Bank zu zahlen. In solchen Fällen werden die Zinserträge nicht mehr abgegrenzt, da der Eingang solcher Positionen nicht mehr ausreichend sicher ist. Für diese Zinserträge wird ebenfalls eine Risikovorsorge gebildet. Der Ausfall eines solchen Zinsertrages kann nicht auf die Geldgeber abgewälzt werden. Die Bank wird weiterhin mit den Refinanzierungskosten konfrontiert. • Das operationelle Risiko kann sich ebenfalls negativ auf den NettoZinsertrag auswirken. Es gibt dazu etliche Beispiele, da die operationellen Risiken sich in vielen Formen manifestieren können. Beispielhaft seien die Auswirkungen verspäteter Zinszahlungen sowie die Folgen internen Betrugs genannt. Wenn Zahlungen durch den Kreditnehmer nicht rechtzeitig ausgeführt werden, entstehen dem Kreditinstitut Zinskosten infolge des Verzuges. Die Kunden können als Folge der verspäteten Ausführung von Zahlungsaufträgen ebenfalls mit Schadensersatzansprüchen ihrer Gläubiger konfrontiert werden, die sie an die Bank weiterreichen werden. Darüber hinaus kann ein Relationship-Manager sich entscheiden, dem Kunden einen niedrigen Zinssatz in Rechnung zu stellen, und später diesen Vorteil mit dem Kunden teilen, um so einen Fehler verdeckt auszugleichen. Eine solche Handlung ist zumindest als unautorisiert einzustufen. Wenn eine höhere Kompensation als der Schaden gewährt wird, dann kann es sich sogar um Betrug handeln. • Das Liquiditätsrisiko hat insbesondere dann eine Auswirkung, wenn ein Liquiditätsengpass entsteht, der im Markt bekannt wird. In solchen Fäl-
Risikoaggregation in Kreditinstituten
197
len schnellt die Zinsspanne hoch, was zu einer Verengung der Zinsmarge führt. Der Netto-Zinsertrag wird somit geschmälert. • Das strategische Risiko kommt zum Ausdruck, wenn die Bank zum Beispiel eine unwirksame Preisstrategie verfolgt. Wenn die Bank meint, eine Premium-Marke darzustellen und somit höhere Zinsmargen verlangen kann, wird sie Kunden verlieren, wenn diese ihr Darlehen zu günstigeren Konditionen bei anderen Banken beschaffen können. Ein solches Problem kann sich ebenfalls auf der Anlageseite ereignen, da die Kunden ihre Gelder lieber bei anderen Banken anlegen, wenn sie so höhere Zinsen erwirtschaften können. Viele Beispiele gibt es im Anlagebereich. Das bekannteste ist sicherlich die Direktbank DIBA, die durchgängig gute Zinsen für täglich verfügbare Guthaben bietet. Längere Zeit fand dieses Angebot bei anderen Banken nicht die notwendige Aufmerksamkeit. Mittlerweile hat die DIBA so einen beachtlichen Marktanteil erreicht. Dieses Beispiel zeigt die hohe Komplexität der Risikosituation in Banken. Eine holistische Betrachtung der Risiken setzt Kenntnisse über die verschiedenen Risikoarten und deren Entstehung voraus. Dieses war in der Vergangenheit nicht zu leisten und darum konnten die Risiken nicht aus einer Gesamtperspektive betrachtet werden. Die Komplexität führt dazu, dass die genannten Risiken nur einzeln betrachtet werden. Es kommt in solchen Fällen bei der Abgrenzung der Risikoeffekte auf die einzelnen Ertrags- und Kostengrößen an. Der Netto-Zinsertrag wird solange aufgegliedert, bis er eine unter Risikogesichtspunkten möglichst homogene Größe bildet. Im Marktpreisrisiko erfolgt beispielsweise eine Aufteilung in einzelne Bücher (Handelseinheiten), um dies zu erreichen. Wirklich homogene Größen, die sich nur auf eine Risikoart beziehen, werden jedoch nicht erreicht, da das Kredit- und das operationelle Risiko immer auftreten. Zudem kann sich ein Risiko gleichzeitig in mehreren Risikoklassen bemerkbar machen. Wenn sich eine regionale Katastrophe ereignet, kann die Bank direkt betroffen sein, zum Beispiel durch Gebäudeverlust oder Betriebsunterbrechung, aber auch die Kunden können Schaden genommen haben, was sich für die Bank in einem höheren Kreditrisiko ausdrückt. In der Risikoaggregation sind diese Zusammenhänge ebenfalls zu betrachten. Diese Sicht plädiert geradezu für eine holistische Betrachtung der Risiken eines Finanzinstitutes. In der Praxis ist dies nicht umgesetzt, stattdessen werden die Risikoklassen einzeln betrachtet. Diese Vorgehensweise wird nicht zuletzt durch die regulatorischen Anforderungen gefördert. Das Kreditrisiko wurde im ersten Basler Kapitalakkord behandelt. In der Kapitaladäquanzrichtlinie in der Mitte der 90er-Jahre wurden separat Kapitalanforderungen für das Marktpreisrisiko formuliert, die allerdings auf ganz
198
Gerrit Jan van den Brink
anderen Berechnungsgrundlagen aufgebaut waren. Seit 2005 liegt die finale Version der so genannten Basel II Anforderungen vor, in denen die Vorschriften für die Kapitalunterlegung und somit für die Risikoberechnung bezüglich des Kreditrisikos neu formuliert und eine neue Kapitalanforderung für das operationelle Risiko eingeführt wurden. Diese Vorschriften behandeln die Risikoarten aber nach wie vor separat. Eine holistische Betrachtung ist somit nicht gegeben. Der folgenden Abschnitte sind wie folgt aufgebaut: • Die Ziele der Risikoaggregation werden für alle Risikoklassen insgesamt und für die Risikoklasse der operationellen Risiken dargestellt. • Die Vorgehensweise der Risikoaggregation bei Anwendung der Risikokapitalberechnung wird beschrieben und bewertet. • Eine andere Form der Aggregation von Risikoinformationen mit Hilfe von Risikoindikatoren wird beschrieben und bewertet. Hier wird ein Beispiel auf die Industrie angewendet, damit es für Leser aus verschiedensten Branchen direkt verständlich ist. • Es werden einige Denkanstöße bezüglich der Aggregation der einzelnen Risikoklassen beschrieben.
2
Ziele der Risikoaggregation
Die zentrale Frage, die im Rahmen des Risikomanagements zu beantworten ist, gilt dem Abgleich zwischen dem aktuellen Risikoprofil und dem Risikoappetit bzw. der Risikotoleranz des jeweiligen Unternehmens. Kein Unternehmen möchte mehr Risiken eingehen als es tragen kann. Um diesen Abgleich durchführen zu können, ist eine Quantifizierung des Risikos unumgänglich. Die Quantifizierung sorgt für einen gemeinsamen Nenner der unterschiedlichen Risikoklassen. Das operationelle und das Kreditrisiko haben aber unterschiedliche Risikotreiber, die sich nicht so einfach zusammenführen lassen. Darum wird Geld als Hilfsgröße verwendet, um die Risiken vergleichbar zu machen. Darüber hinaus wird die Risikoinformation bezüglich der unterschiedlichen Risikoklassen erst aggregierbar, wenn diese mit gleicher Skala bewertet werden. Neben den Einzelbewertungen sind eventuelle Zusammenhänge zu betrachten. Der aggregierte Wert ist dann das so genannte Risikokapital. Ein anderes Ziel der Risikoaggregation ist die Beurteilung des Ertrags vor dem Hintergrund des eingegangenen Risikos. Der Quotient sagt etwas über die Effizienz eines Unternehmens aus. Wenn das eine Unternehmen € 100 Ertrag mit Einsatz von € 500 Risikokapital erwirtschaftet und das andere Unternehmen für die gleiche Ertragssumme € 600 Risikokapital
Risikoaggregation in Kreditinstituten
199
einsetzen muss, dann ist das zweite Unternehmen erst einmal weniger effizient. Sicherlich ist zu beachten, dass mit einer hohen Risikoeffizienz meistens auch höhere Kosten einhergehen, denn die Aufwendungen für interne Kontrollen sind meistens höher. Hier sei nur gesagt, dass es gilt, das Optimum zwischen Kosteneffizienz auf der einen Seite und Risikoeffizienz auf der anderen Seite zu finden. Wenn die Risiken adäquat aggregiert sind, erhält das Unternehmen eine gute Abbildung seines Risikoprofils. Das Risikoprofil kann wie folgt definiert werden80: Das Risikoprofil beschreibt die unterschiedlichen Risikotypen, mit denen die Organisation umzugehen hat, und wie sie diesen Risiken ausgesetzt ist. Das Risikokapital basiert auf vielen verfügbaren Informationen, die sich in diesem Wert widerspiegeln. Das Risikokapital wird so zur Abbildung des Risikoprofils. Wenn das Risikoprofil bottom-up bestimmt wird, besteht die Möglichkeit, das Risikokapital für die unterschiedlichen Einheiten eines Unternehmens zu bestimmen. Damit wird die Analyse des Risiko-Ertragsverhältnisses auf dieser Ebene möglich. Die Unternehmenseinheiten können vor diesem Hintergrund bewertet werden und das Portfolio der Einheiten kann möglicherweise effizienter zusammengestellt werden. Für eine Bank kann es bedeuten, dass bestimmte Produkte nicht mehr angeboten werden oder Produkte nicht mehr in eigener Regie konzipiert und abgewickelt, sondern vielmehr bei anderen Partnern eingekauft werden. Bevor die Denkanstöße zur Bestimmung des Risikokapitals aus holistischer Sicht behandelt werden, wird zunächst die Bestimmung des Risikokapitals für operationelle Risiken dargestellt, wie sie innerhalb der Dresdner Bank umgesetzt ist. Die Quantifizierung der operationellen Risiken hat neben der Bestimmung des Risikoprofils und des Risiko-Ertragsverhältnisses noch folgende Ziele: • Die Bestimmung des Anteils der Standardrisikokosten und Risikokapitalkosten, die als Teil des Stückkostenpreises angerechnet werden sollten. • Das Risikokapital kann als Ordnungsgröße für das Risikoprofil einzelner Prozesse oder Unternehmenseinheiten benutzt werden und so eine Fokussierung auf die risikoreicheren Stellen ermöglichen. Wenn Einheit 1 ein Risikokapital von € 1.000 bindet und Einheit 2 ein Risikokapital von € 2.000 beansprucht, kann berechtigterweise folgende Schlussfolgerung gezogen werden: Einheit 2 ist doppelt so risikoreich wie Einheit 1. Es ist also berechtigt zunächst zu schauen, ob das Risiko in Einheit 2 optimiert werden kann. 80
In Anlehnung an die Definition der Financial Services Authority UK 2002
200
3
Gerrit Jan van den Brink
Die Vorgehensweise der Risikoaggregation bei Anwendung der Risikokapitalberechnung
Das Risikokapital wird als das Kapital definiert, das von der Bank als Reserve gehalten wird, um Risiken abdecken zu können. Das bedeutet, um selbst bei unerwarteten Verlusten bis zu einem definierten Wahrscheinlichkeitsniveau für einen bestimmten Zeitraum solvent zu bleiben. Grafisch können die aus der Risikokapitalberechnung resultierenden Ergebnisse wie in Abb. 57 eingeordnet werden.
Abb. 57. Basisbegriffe
Die Standardrisikokosten sind statistisch als der erwartete Verlust zu interpretieren. Das Quantil ist das oben genannte Wahrscheinlichkeitsniveau. Regulatorisch sollte das Quantil laut Basel II unter der gleichen Maßgabe wie beim Kreditrisiko bestimmt werden. Für das Kreditrisiko wird in Basel II 99,9 % angesetzt. Das regulatorische Kapital enthält in der Abbildung auch die Standardrisikokosten. Diese Vorgehensweise ist dann durch Basel II Pflicht, wenn die Bank nicht explizit nachweisen kann, dass die Standardrisikokosten in einer Risikovorsorge berücksichtigt wurden. Es ist den Banken erlaubt, die budgetierten Effekte operationeller Risiken vom Risikokapital abzuziehen. So kann der regulatorische Kapitalbedarf reduziert werden. Die dadurch zur Verfügung stehende Kapitaldeckungsmasse kann dann für andere Geschäfte eingesetzt werden, die zum Beispiel dem Kredit- oder dem Marktpreisrisiko ausgesetzt sind. Im Folgenden werden die Datenerhebung und die Risikoaggregation für das operationelle Risiko erläutert, wie sie in der Dresdner Bank umgesetzt sind.
Risikoaggregation in Kreditinstituten
201
3.1 Datenerhebung
Die Quantifizierung operationeller Risiken setzt eine umfangreiche Datenerhebung voraus. Es gibt im Wesentlichen zwei Ansätze, die mittlerweile auch in die Praxis umgesetzt worden sind: • die Sammlung der historischen Verlustdaten aus operationellen Risikoereignissen und • die Sammlung von Expertenbewertungen anhand von strukturierten Befragungen. Die Sammlung interner historischer Verlustdaten ist für die Anwendung des „Standardised Approach“ und des „Advanced Measurement Approach“ aus Basel II eine Voraussetzung. Diese Ansätze sind durch den Regulator in der Solvabilitätsverordnung vorgegeben. Die Anforderungen für die Anwendung solcher Ansätze sind ebenfalls beschrieben. Daher liegt es auf der Hand, zunächst eine Quantifizierung auf Basis von historischen Verlustdaten vorzunehmen. Die Objektivität historischer Verlustdaten wird oft betont, weil es sich hier um Fakten handele. Diese These ist jedoch zweifelhaft, wie im Folgenden noch erklärt werden wird. Historische Daten haben einige Begrenzungen, die insbesondere für die Quantifizierung operationeller Risiken weit reichende Konsequenzen haben. Folgende Punkte können hier genannt werden: • Historische Daten betrachten die Vergangenheit und liefern nicht notwendigerweise eine gute Abbildung der zukünftigen Situation. Insbesondere im Fall von großen Verlusten kann davon ausgegangen werden, dass das Management geeignete Maßnahmen getroffen hat, damit solche Verluste nicht noch einmal auftreten. • Wenn sich die Bank entscheidet, neue Aktivitäten aufzunehmen, fehlt eine historische Datenbasis für diese. Neue Aktivitäten sind jedoch besonders anfällig für operationelle Risiken. Als Beispiel kann an den Aufbau von Finanzportalen im Internet gedacht werden. Es ist klar, dass das Finanzinstitut in solchen Fällen bezüglich operationeller Risiken exponiert ist, auch wenn noch keine Verluste in der Vergangenheit eingetreten sind. • Die Verlustdaten sind nicht gleichmäßig verteilt. Die internen Verlustdatensammlungen zeigen Datenlücken im Bereich „Low Frequency – High Severity“. Jedes Finanzinstitut, das diese historischen Daten aufgrund nicht eingetretener Schadensfälle in der Vergangenheit nicht zur Verfügung hat, wird darüber eher froh sein. Es sind aber gerade diese Verluste, die maßgeblich die Höhe des Risikokapitals bestimmen.
202
Gerrit Jan van den Brink
Die Befürworter von historischen Verlustdaten als Basis für die Quantifizierung haben diese Probleme erkannt. Die Lösung wird in der Benutzung externer Verlustdaten gesucht. Die Idee ist, dass die Banken sich in Datenkonsortien vereinen und somit untereinander Daten austauschen. Diese Daten werden anonymisiert den Teilnehmern zur Verfügung gestellt. Verlustdaten anderer Institute können jedoch nicht direkt verwendet werden. Beispielhaft kann hier der Barings-Verlust genannt werden. Der Verlust von ca. 1,6 Mrd. USD wurde durch einen, seine Befugnisse überschreitenden, Händler verursacht. Das Ausmaß des Schadens war sicherlich auch durch die relativ schwache administrativ-organisatorische Situation mitverursacht. Die Kontrolle der Aktivitäten in Singapur wurde mehrfach in dem Auditreport der Wirtschaftsprüfer als Schwachstelle genannt. Die Banken, die dieses Verlustdatum vom Datenkonsortium erhalten, müssen es zunächst skalieren. Skalieren heißt, dieses Datum für die eigene Organisation passend zu machen. Wenn die Bank ein ausgeprägtes Management hat, das sich zum Beispiel in einer adäquaten Handelslimitüberwachung niederschlägt, dann kann sie die Schadenshöhe entsprechend korrigieren, weil mutmaßlich ein Risiko wie bei Barings überhaupt nicht vorliegt. In diesem Punkt kann nicht mehr von Objektivität die Rede sein. Das Datum wird aufgrund von Expertenwissen der eigenen Situation angepasst. Spätestens dann kann man nicht mehr von einem Faktum sprechen. Der Alternativvorschlag, durch Experten über bestimmte Größenindikatoren zu skalieren, um so die Objektivität zu gewährleisten, scheint auch keine wirkliche Abhilfe zu schaffen. Gerade in der Diskussion bezüglich der Vorschläge für die Bestimmung des regulatorischen Kapitals für operationelle Risiken ist immer wieder – zu Recht – darauf hingewiesen worden, dass Größe und Risiko keine eindeutigen Verhältnisse aufweisen. Eine große Bank ist nicht automatisch stärker gefährdet als eine kleine Bank. Die Frage bezüglich der Objektivität scheint nicht befriedigend beantwortet werden zu können. Aus diesem Grund ist ein zweites Verfahren für die Datenerhebung entwickelt worden, das die Subjektivität aller Daten erkennt und versucht, damit in einer vernünftigen Art und Weise umzugehen. Die Datenerhebung auf Basis von Expertenbewertungen kann verschiedene angesprochene Probleme der historischen Verlustdatenbasis lösen. Experten sind zum Beispiel in der Lage, für neue Aktivitäten die operationellen Risiken einzuschätzen. Eine solche Einschätzung kann auf Basis einer Analogie mit einer anderen Aktivität vorgenommen werden. Sie sind ebenfalls in der Lage, die bekannten zukünftigen Änderungen mit zu berücksichtigen. Die Lücke in dem angesprochenen Bereich „Low Frequency – High Severity“ stellt sich dem einzelnen Experten natürlich auch dar. Sie
Risikoaggregation in Kreditinstituten
203
lässt sich aber etwas einfacher schließen. Die Experten können sich in Expertenrunden zusammenfinden und die Szenarien, die sicherlich auch aus externen Daten gewonnen werden können, gemeinsam bewerten. Auf Basis der externen Verlustdaten kann die Frage gestellt werden: Welche Effekte würde ein gleiches Operational-Risk-Ereignis haben, wenn es sich bei der analysierten Bank ereignen würde? Damit sind ansatzweise die meisten Bedenken, die gegen eine Verwendung historischer Verlustdaten sprechen, aus dem Weg geräumt. Der Subjektivität der Bewertungen kann durch eine adäquate Datenanalyse entgegengewirkt werden. Darüber hinaus wird jede strukturierte Befragung noch einmal vom Risikocontrolling qualitätsgesichert. Die interne Revision wird die Qualität der Expertenschätzungen ebenfalls prüfen. 3.2 Kalkulation des Risikokapitals
Der Kalkulationsprozess muss in der Lage sein, die Häufigkeits- und Verlustpotenzialschätzungen mit den dazu geschätzten Unsicherheiten zu berücksichtigen. Der Prozess kann wie in Abb. 58 abgebildet werden.
Abb. 58. Internes Modell
Im ersten Schritt werden die Parameterwerte für die Verteilungen der Häufigkeit und der Schadenshöhe bestimmt. Die zu bestimmenden Parameterwerte sind der Mittelwert und die Standardabweichung. Der Mittelwert wird für die Frequenzverteilung dem geschätzten typischen Wert gleichgesetzt. Der typische Wert für die Schadenshöhe wird als Modus in-
204
Gerrit Jan van den Brink
terpretiert und mit Hilfe eines Algorithmus in einen Mittelwert überführt. Die Ableitung der Standardabweichung erfolgt aus den geschätzten Bandbreiten. Die Bestimmung der Standardabweichung berücksichtigt, dass der Experte 95 % aller typischen Fälle in ihrer Bandbreite eingeschlossen hat. Das Modell unterliegt ebenfalls bestimmten Anforderungen: • Es muss konsistent sein: Die Änderungen im Risikokapitalwert sollten den Änderungen im Risikoprofil in der Realität entsprechen. • Es muss zuverlässig sein: Die absolute Betragsgröße sollte das tatsächliche Risiko widerspiegeln. • Es muss robust sein: Kleine Änderungen im Risikoprofil sollten nicht zu größeren Ausschlägen im Risikokapital führen. • Es muss stabil sein: Die Risikokapitalwerte sollten zeitlich vergleichbar sein. Das Modell zur Bestimmung des Risikokapitals ist eine vereinfachte Wiedergabe der Realität. Es sollte Auskunft darüber geben, wie viel Risikokapital benötigt wird, um in beispielsweise 99,9 % der Fälle eine Insolvenz zu vermeiden. Dazu müssen die Häufigkeits- und Verlustpotenzialschätzungen zusammengeführt werden. Statistisch wird dieser Prozess „falten“ genannt. Die Faltung wird mithilfe einer Monte-Carlo-Simulation vorgenommen. Eine Monte-Carlo-Simulation kann mit einer Würfelaktion verglichen werden. Auf Basis der Expertenschätzungen werden Würfel jeweils für die Häufigkeit und das Verlustpotenzial „zurechtgeschnitten“, sodass die Augenzahl mit entsprechender Wahrscheinlichkeit fällt. Danach wird zum Beispiel 100.000 Mal gewürfelt und die daraus resultierenden Ergebnisse werden aufgeschrieben. Dieser Prozess lässt sich beispielhaft wie in Abb. 59 abbilden.
Risikoaggregation in Kreditinstituten
205
Abb. 59. Monte-Carlo-Simulation
Die Werte in der Spalte „Potential Loss“ werden in eine Grafik übertragen und bilden die empirische Verlustpotenzialverteilung ab. Für diese wird das 99,9-prozentige Quantil bestimmt. Davon werden die Standardrisikokosten abgezogen und das Risikokapital ermittelt. Die Bestimmung der Parameterwerte für die Häufigkeits- und Verlustpotenzialverteilungen ist abhängig von den Basisdaten. In manchen Fällen wird eine Verlustverteilung auf Basis der vorliegenden Daten „gefittet“. Die Verlusthöhenverteilung wird in solchen Fällen mit Hilfe von statistischen Verfahren so bestimmt, dass sie die zugrunde liegenden Daten am Besten reflektiert. Dieses „Fitting“ hat eine ständige Anpassung des Modells bei Änderungen in den Basisdaten zur Folge. Damit verliert das Modell an Stabilität. Darum wird eine explizite Auswahl bestimmter Verteilungen bevorzugt. Für die Häufigkeitsverteilung liegt die Wahl auf der Hand. Die Statistik bietet hier Negativ-Binomial-, Binomial- oder Poissonverteilung an. Für die Verlustpotenzialverteilungen gibt es mehrere Alternativen. Nach wie vor wird oft die Lognormalverteilung verwendet. Diese Verteilung weist eine gewisse Robustheit auf und bildet die notwendige Asymmetrie ab. Damit wird deutlich, dass große Verluste relativ selten vorkommen. Andere Verteilungen, die infrage kommen, sind die Gammaverteilung, die Weibullverteilung oder Generalised-Pareto-Verteilung (Anwendung der Extremwerttheorie). Die Weibullverteilung wird allerdings durch drei Parameter beschrieben und reagiert empfindlicher auf Änderungen im Risikoprofil als die beiden erstgenannten Verteilungen. In dem genannten Beispiel für die Monte-Carlo-Simulation wurde das operationelle Risiko mit-
206
Gerrit Jan van den Brink
hilfe einer Verteilung für die Häufigkeit und einer Verteilung für das Verlustpotenzial modelliert. In die Basler Definition für operationelle Risiken ist die erste Ebene der Risikoursachenkategorien bereits aufgenommen: Menschen, Systeme, Prozesse und externe Faktoren. Diese Kategorisierung kann noch beliebig stark weiterspezifiziert werden. Die Operational-Risk-Kategorien sind naturgemäß sehr unterschiedlich. Es ergibt sich daher ein großer Diversifikationseffekt, der sich durch die Berücksichtigung von Korrelationen im Modell abbilden lässt. Die Korrelationen werden in der Frequenzverteilung berücksichtigt, da das eine Operational-Risk-Ereignis das andere nach sich ziehen kann. In der Schadenshöhenverteilung sollten dagegen, entsprechend der Anforderung der Aufsicht81, die Schadenssummen, die durch dasselbe Operational-Risk-Ereignis hervorgerufen werden, zunächst gruppiert werden. Danach wird die Schadenshöhenverteilung parametrisiert, um so eine systematische Unterschätzung des Risikos zu vermeiden. Dieser Effekt kann wie in Abb. 60 abgebildet werden.
1
2 2
1
1 1
2
2
Die Verluste in zwei Abteilungen verursacht durch ein Ereignis werden einzeln registriert Die Verluste in zwei Abteilungen verursacht durch ein Ereignis werden zunächst addiert und als ein Datenpunkt in der Verteilung berücksichtigt
Abb. 60. Effekte der Gruppierung von Schäden aus einem Ereignis
Folgendes Beispiel verdeutlicht, wie diese Unterschätzung zustande kommt. Wenn ein wichtiges IT-System ausfällt, sind gleich zwei Abteilungen betroffen. Es wird angenommen, dass die Schadenshöhe gleich groß ist. Wenn diese Schadenshöhen nicht zuerst addiert werden und die81
Siehe auch Fachgremium operationelles Risiko 2007
Risikoaggregation in Kreditinstituten
207
ser Datenpunkt danach mit der Frequenz eins in die Kalkulation einfließt, passiert folgendes: Beide Schäden fließen mit ihrer eigenen Frequenz ein. Dadurch wird die Schadenshöhenverteilung abgemildert, der Bauch der Verteilung wird größer, dafür wird der Schwanz der Verteilung dünner. Diese Entwicklung sorgt für eine systematische Unterschätzung des Risikos, da das Kapital dadurch niedriger wird als es aufgrund der Verlustsituation eigentlich sein müsste. Die Berücksichtigung von Korrelationen findet im Modell auf einer aggregierten Ebene statt. Zwischen den Zellen einer Matrix, meistens mit den Dimensionen „interne Geschäftssparten“ und „Ereignisse“, werden die Korrelationen wie in Abb. 61 bestimmt.
Abb. 61. Korrelationen
Die Korrelationen werden auf Basis der internen Verlustdaten der Bank bestimmt, unter Berücksichtigung der dritten Dimension „Zeit“. Es handelt sich hier – wie bereits aufgeführt – um Korrelationen auf einer MetaEbene. Oftmals wird versucht, die Korrelationen aus der Kausalität zu erklären. Wenn heute zum Beispiel ein Eingabefehler gemacht wird und dadurch die Bestimmung der Position auf dem Konto der Bank bei der Bundesbank nicht richtig durchgeführt werden kann, wird der Geldhändler am nächsten Tag unter Umständen eine falsche Position eindecken, was zu einer Soll-Position und somit zu Soll-Zinsen auf dem Konto bei der Bundesbank führen kann. Die Situation bei der Korrelationsbestimmung ist jedoch eine andere. In den Zellen der Matrix sind verschiedene Ereignisse aufgenommen. Manche mögen in einem Verhältnis zu anderen Ereignissen in anderen Zellen der Matrix stehen, andere aber nicht. Es ist zum Beispiel denkbar, dass Fehler im Bereich der Abwicklung zu Fehlern bezüglich der Kundenberatung führen. Wenn der Berater bestimmte Werte im Depot des Kunden angezeigt sieht, die aber lediglich durch Verarbeitungsfehler dort abgebildet werden, wird er möglicherweise falsch beraten. Nun ist dies jedoch nicht
208
Gerrit Jan van den Brink
bei allen Kunden der Fall. Außerdem fließen in beiden Zellen der Matrix auch noch andere Datenpunkte ein, die mit der Wertpapierabwicklung nichts zu tun haben. Dadurch ist es kaum möglich, zu detaillierten Bestimmungen der Korrelationswerte zu kommen und es bleibt kaum etwas anderes übrig, als die Werte aus den Daten abzuleiten. 3.3 Die Parametrisierung
Es gibt außer dem besprochenen Ansatz durchaus noch andere statistische Vorgehensweisen. In der Literatur finden sich auch Modelle, die auf Basis der Bayesian-Statistik aufgesetzt werden. Obwohl diese Art der Modellierung interessante Potenziale hat, wird sie in der Praxis noch nicht oft umgesetzt, da die Datenlage dies meist nicht zulässt.
4
Aggregation von Risikoindikatoren in der Form von Risiko-Scorecards
Der Ruf nach einer Risiko-Scorecard wird immer wieder gehört. Informationen seien zu verdichten, damit sie dem Senior Management in konzentrierter und dem Informationsbedürfnis gerechter Form angeboten werden können. Das klingt zunächst einmal sehr einleuchtend. Es wird eine Baum-Struktur konzipiert und die Risikokennzahlen werden gemäß ihrer hierarchischen Position eingeordnet. Das Vorgehen, das anhand der folgenden vereinfachten Abbildung dargestellt wird, ist bei der Dresdner Bank bereits umgesetzt. Zur Veranschaulichung für Leser aus dem NichtBankenbereich wird aber das Beispiel mit Risiken aus der Industrie dargestellt.
Abb. 62. Aggregation von Risikoindikatoren
Risikoaggregation in Kreditinstituten
209
In der Abb. 62 wird ein sehr vereinfachtes Bild dargestellt. In der Praxis gibt es viel mehr Ebenen und auf jeder Ebene gibt es durchaus mehr Risikokennzahlen als in der Abbildung. Zunächst einmal ist zu beachten, dass nicht jede Risikokennzahl auf der gleichen Skala abgebildet ist: Die Qualität des Rohmaterials und der Laborscore (Laborwert) sind auf einer Ordinalskala abgebildet, die Produktionsausfallquote ist auf einer Verhältnisskala abgebildet. Die Aggregation kann jedoch lediglich auf der niedrigsten Skala stattfinden. In diesem Beispiel wird das Aggregat nur auf einer Ordinalskala gemessen werden können. Die Frage nach der Vorgehensweise bei der Aggregation ist berechtigt. Was wird eigentlich aggregiert, wenn die Risikokennzahlen so unterschiedliche Sachverhalte abbilden? Außerdem müssen die Skalen harmonisiert werden. Die Risikokennzahlen werden daher nicht mit ihren jeweiligen Werten aggregiert. Vielmehr wird der „Zustand“ der einzelnen Risikokennzahlen aggregiert. Die Risikokennzahlen werden auf Basis der jeweiligen Position gegenüber den definierten Schwellenwerten eingestuft, um diesen Zustand zu bestimmen. In unserem Beispiel werden also zweimal der Status „Grün“ und einmal der Status „Gelb“ aggregiert. Nun kann man sich sicherlich Gedanken über die Gewichtung der einzelnen Risikokennzahlen machen. In dem genannten Beispiel kann man entscheiden, dass die Risikokennzahl Laborscore doppelt gewichtet wird und die anderen Risikokennzahlen nur einfach. Diese Gewichte sollten – falls möglich – auf Basis objektiver Kriterien gesetzt werden. In der Praxis kommt man aber oft nicht an einer Expertenschätzung vorbei. Die Gewichtung erfolgt in solchen Fällen in der Regel lediglich auf Basis einer logischen Ableitung. Es gilt ja auch zu bedenken, dass eine komplexe Gewichtung die Eindeutigkeit der aggregierten Risikokennzahl belastet. Es wird schwierig, die Auswirkung einzelner Risikokennzahlen auf die aggregierte Risikokennzahl nachzuvollziehen. Hier zeigt sich eine entscheidende Schwachstelle einer aggregierten Kennzahl: Wenn nicht einfach nachvollzogen werden kann, warum die aggregierte Risikokennzahl sich verändert, geht die – äußerst wichtige – Reaktionszeit verloren. Wenn nach einer eingehenden Analyse der Handlungsbedarf abgeleitet ist, kann „das Kind bereits in den Brunnen gefallen sein“. Bedenken Sie, dass die meisten Risikokennzahlen, die heute in der Praxis umgesetzt worden sind, Ereignisse messen. Das bedeutet, dass die Risiken sich bereits manifestieren. Oder um es einfach auszudrücken: Es brennt bereits! Aggregate bergen leider noch einige andere Schwächen. Eine Schwachstelle ist sicherlich, dass uns im Aggregat entscheidende Informationen verloren gehen können. Basierend auf Abb. 62 kann bei einer Präsentation des Aggregats gegenüber dem Senior Management nicht mehr transparent
210
Gerrit Jan van den Brink
gemacht werden, dass die Produktionsausfallquote bereits im gelben Bereich liegt. Als Folge der Durchschnittsbildung gehen die extremen Werte der jeweiligen Risikokennzahlen auf einer niedrigen Aggregationsstufe verloren. Manchmal wird vorgeschlagen, dass das Aggregat immer den schlechtesten wahrgenommenen Status der jeweiligen einzelnen Risikokennzahlen annehmen soll. Wenn aber die Anzahl der unterschiedlichen Risikokennzahlen sehr groß ist, dann ist es sehr wahrscheinlich, dass die Aggregate des Öfteren den Wert „Gelb“ oder „Rot“ annehmen werden. Wenn das der Fall ist, verliert das Kennzahlensystem seine Wirkung, denn es kann die Aufmerksamkeit des Managements nicht mehr adäquat fokussieren. Die aggregierten Risikokennzahlen sind meistens für das Senior Management gedacht. Welchen Handlungsbedarf würde das Senior Management nun aus diesen aggregierten Risikokennzahlen ableiten können? Die direkte Ableitung fällt erst einmal schwer, da sie die Fokussierung auf die einzelnen Risikokennzahlen notwendig macht. Warum sollte man sich daher erst die Mühe machen, die einzelnen Risikoindikatoren zu erfassen, wenn im Prozessschritt der Aggregation die Detailinformationen wieder verloren gehen? Diese Frage ist mehr als berechtigt. Die Ziele eines Risikokennzahlensystems sind primär die Vermeidung von Risikoereignissen oder – falls sie bereits eintreten sind – die Abmilderung der Folgen. Wenn dieses Ziel konkret verfolgt wird, müssen die Risikokennzahlen – insbesondere wenn sie die gesetzten Schwellenwerte überschreiten – den Mitarbeiterinnen und Mitarbeitern mitgeteilt werden, die das Risiko eindämmen können. Das Senior Management ist in vielen Fällen noch nicht involviert. Wenn Risikokennzahlen bestimmte Schwellenwerte überschritten haben und das verantwortliche Management nicht adäquat reagiert, dann ist – als nächste Eskalationsstufe – das Senior Management gefragt. Die Ursache für ein solches Verhalten kann vielschichtig sein. Die Situation darf so aber nicht bestehen bleiben, da die Organisation nun akut gefährdet ist. Wiederum abhängig von der Reaktionszeit muss das Senior Management informiert werden. Es muss immer noch möglich sein, adäquat zu handeln. Hier lässt sich bereits erkennen, dass das Senior Management im Grunde genommen keinen Standard-Report mit den wichtigsten Risikokennzahlen benötigt. Stattdessen erhält es einen Bericht, der die Risikokennzahlen mit „unerlaubt“ langen Überschreitungen bestimmter Schwellenwerte umfasst. Zusammenfassend lässt sich festhalten: • Die Aggregation von Risikokennzahlen birgt einige Schwächen in sich: - Sie fasst lediglich die Stati der Risikokennzahlen zusammen. - Bei der Aggregation gehen wichtige Informationen verloren.
Risikoaggregation in Kreditinstituten
211
Aus den aggregierten Werten lassen sich nicht direkt Handlungsempfehlungen ableiten. - Die handelnden Personen bewegen sich in der Regel nicht auf dem gleichen Niveau innerhalb der Organisation, auf der die Kennzahl aggregiert wurde. • Das Senior Management muss handeln, wenn das verantwortliche Management nach der Überschreitung eines Schwellenwertes nicht rechtzeitig handelt. Diese Risikokennzahlen sollten dem Senior Management deshalb rechtzeitig berichtet werden, damit noch eine ausreichende Reaktionszeit verbleibt. -
5
Denkanstöße zur Aggregation der Informationen der einzelnen Risikoklassen
Wenn die Ebene der Risikoklasse „Operational Risk“ nun wieder durch die Ebene der verschiedenen Risikoklassen ausgewechselt wird, so stellt sich berechtigterweise die Frage, ob die Einzelwerte aus den Berechnungen für die einzelnen Risikoklassen aggregiert werden können. Eines der Probleme, das in diesem Fall gelöst werden muss, sind die unterschiedlichen Bezüge dieser Informationen. So wird für das Marktpreisrisiko mit einem Quantilswert von 95 % und einer Haltedauer von 10 Tagen gerechnet. Diese Werte basieren auf der Annahme, dass die Marktpreisrisiken sich in dieser Periode marktschonend reduzieren lassen. Die Risikoarten Kreditrisiko und Operational Risk basieren in der Regel auf einem Quantilswert von 99,9 % – zumindest aus regulatorsicher Sicht, die interne Sicht der Banken weicht hiervon des Öfteren ab – und einer Haltedauer von einem Jahr. Die anderen Risikoarten, wie zum Beispiel das Liquiditätsrisiko, werden gar nicht mit Hilfe von Value-at-Risk-Werten gemessen und lassen sich somit nicht direkt aggregieren. Dieses Problem ist in der Theorie und in der Praxis noch nicht gelöst. Klar ist jedoch, dass es den Banken um eine Reduzierung der Schwankungen in der Gewinn- und Verlustrechnung geht. Aus diesem Grund kann man sich zunächst überlegen, ob ein Faktor-Modell, das die Einflüsse dieser Faktoren auf die Werte in der Gewinn- und Verlustrechnung abbildet, ein Lösungsansatz sein kann. Carol Alexander und Jacques Pézier82 haben in einem wissenschaftlichen Papier solche Denkanstöße gegeben. Weiterhin haben Ludger Overbeck83 und andere Autoren Beiträge für die Aggre82 83
Vgl. Carol u. Pézier 2003 Vgl. Overbeck 2003
212
Gerrit Jan van den Brink
gation von Kredit- und Marktpreisrisiken geliefert. Diese Ansätze sind noch um die anderen Risikoarten zu erweitern. Wenn die Anforderungen in der Säule II der Baseler Kapitalanforderung ernst genommen werden, dann muss man zwangsläufig zu der Schlussfolgerung kommen, dass die berechneten Kapitalanforderungen für die verschiedenen Risikoklassen in Säule I nicht brauchbar sind, um die notwendige Kapitaldeckungsmasse nach Säule II zu bestimmen. Hier ist noch ein offenes Terrain, das sowohl durch die Wissenschaft als auch durch die Praxis ausgefüllt werden muss.
Teil 5 Zusammenfassung
Best practise und Entwicklungswege bei der Aggregation von Risiken
Jan Offerhaus, Mario Hempel
1
Ansätze zur Risikoaggregation in der Praxis
In Ergänzung zu den einleitenden Teilen dieses Buches soll im Folgenden versucht werden, aus der Perspektive der betriebswirtschaftlichen Praxis in Verbindung mit der einschlägigen Literatur eine Systematisierung gängiger Ansätze zur Risikoaggregation vorzunehmen. Dabei werden neben den konkreten Erfahrungen der Autoren auch die in den Praxisbeiträgen dieses Buches dargestellten Ansätze berücksichtigt. Die vorgenommene Systematisierung soll einen ordnenden Rahmen für die verschiedenen Ansätze bilden, will aber kein vollständiges stringentes Ordnungssystem im wissenschaftlichen Sinne sein. 1.1 Vorstufen der eigentlichen Risikoaggregation Semantische Aggregation
Die Beschreibung von Zusammenhängen zwischen Einzelrisiken und die rein verbale, erläuternde Darstellung dieser Zusammenhänge lässt sich auch unter dem Begriff semantische Aggregation subsumieren. Im Praxisbeitrag von SAP wird diese explizit dargestellt. Die semantische Aggregation ist allerdings höchstens als eine Vorstufe zur eigentlichen Aggregation von Einzelrisiken zu werten. Das Erkennen von Risikointerdependenzen und deren Beschreibung kann für eine spätere Modellierung im Rahmen eines quantitativen Ansatzes hilfreich sein. Da bei einer semantischen Aggregation in der Regel aber nur auf besondere Abhängigkeiten oder Wechselwirkungen zwischen Einzelrisiken hingewiesen wird und keine Beschreibung der Zusammenhänge zwischen allen Einzelrisiken eines Beurteilungsbereiches (z. B. Unternehmen, Unternehmensbereich, Projekt
216
Jan Offerhaus, Mario Hempel
etc.) erfolgt, eignet sie sich nicht zur Ermittlung von umfassenden Risikobewertungen. Rankings
Rankings von Einzelrisiken, beispielsweise für das obere Management eines Unternehmens, listen auf Basis von Einzelrisikobewertungen, Höchstschadenswerten oder Schadenserwartungswerten absteigend sortierte Einzelrisiken auf (z. B. Reports der Top-Ten-Risiken). Sie werden besonders von Unternehmen genutzt, die noch kein quantitatives Verfahren der Risikoaggregation implementiert haben oder es ggf. nur für Teilbereiche einsetzen. Anwendungsbeispiele hierzu finden sich in den Beiträgen von ASL Auto Service-Leasing und BLG LOGISTICS. Diese Rankings bzw. strukturierten Zusammenfassungen von Einzelrisiken machen jedoch keine Aussagen zur eigentlichen Aggregation. Allerdings geben sie höheren Führungsebenen durch die Sortierung und das Weglassen von unbedeutenden Risiken verdichtete Informationen zur Risikolandschaft des jeweiligen Unternehmens. Risk Maps
Risk Maps sind bei Nicht-Banken ein weit verbreitetes Instrument im Risikomanagement. In diesem Buch werden sie in den Praxisbeiträgen von ASL Auto Service-Leasing und BLG LOGISTICS beschrieben. In der Literatur werden Risk Maps teilweise bereits als Verfahren der Risikoaggregation bezeichnet84, in anderen Beiträgen (richtigerweise) aber auch nur als Vorstufe zur eigentlichen Risikoaggregation gewertet.85 Es gibt bei den Risk Maps unterschiedliche Darstellungsweisen. Gemeinsam ist allen Formen, dass verschiedene Einzelrisiken in einer grafischen Darstellung anhand ihrer Ausprägungen in zwei Dimensionen eingetragen werden. Die beiden Dimensionen der Achsen der Grafik sind meistens die Eintrittswahrscheinlichkeiten und die Schadenshöhe der Risiken.86 Seltener lassen sich auch Risk Maps finden, bei denen z. B. Eintrittswahrscheinlichkeit und Schadenserwartungswerte oder Höchstschadenswerte und Schadenserwartungswerte als Dimensionen herangezogen werden.87 Die Skalierung der Achsen kann ordinal oder kardinal erfolgen. Sollten die Risiken im jeweiligen Unternehmen nur in qualitativen Kategorien beschrieben worden 84
Vgl z. B. von Metzler 2004, S 132–134 Vgl. z. B. Denk u. Exner-Merkelt 2005, S 109–112 86 Wittmann 2001, S 275–276, gibt z. B. für die Siemens AG ein entsprechendes Beispiel aus der Unternehmenspraxis. 87 Siehe z. B. Gleißner u. Wolfrum 2006, S. 149–153, oder Bitz 2000, S. 40–47 85
Best practise und Entwicklungswege bei der Aggregation von Risiken
217
sein (wie „gering“, „mittel“, „hoch“ für Eintrittswahrscheinlichkeiten oder „unbedeutend“, „moderat“, „wesentlich“ für Schadenshöhen), dann können die Achsen auch mit diesen qualitativen Kategorien belegt werden. Bei Risk Maps kann auch noch nicht von einer Methode der Risikoaggregation gesprochen werden, da sie zwar alle Einzelrisiken überblicksartig in einer Grafik abbilden können, aber keinen rechnerischen Algorithmus für die Zusammenführung in einen Risikowert liefern oder auch nur implizieren. Es wird zwar in der Literatur auch vorgeschlagen, Aggregationshierarchien mit Hilfe von Risk Maps aufzubauen, bei denen beispielsweise in den grafischen Darstellungen auf unterster Organisationsebene alle Einzelrisiken abgebildet werden, während auf den höheren Ebenen nur noch die Risiken berücksichtigt sind, die bestimmte Schwellenwerte überschreiten.88 Aber auch auf diesem Wege wird allenfalls eine verdichtete Informationsdarstellung erreicht, jedoch noch keine wirkliche Aggregation. Teilweise wird auch der Begriff Risikoportfolio für grafische Darstellungen in dieser Form verwendet, wenn in diesen nicht mehr Einzelrisiken abgetragen werden, sondern auf bestimmten Hierarchieebenen des jeweiligen Unternehmens aggregierte Risikowerte dargestellt werden.89 Bei dieser Vorgehensweise müssen aber die Einzelrisiken erst mittels geeigneter Verfahren aggregiert werden, bevor sie grafisch in Risikoportfolios dargestellt werden können. Risikoportfolios in diesem Sinne sind daher eher als Varianten der Risk Maps zu verstehen und nicht als eigenständige Aggregationsmethode. Problematisch bei den Risk Maps ist außerdem, dass üblicherweise durch die angewendete Darstellung impliziert wird, dass sich alle Risiken durch genau eine Eintrittswahrscheinlichkeit und eine korrespondierende Schadenshöhe korrekt beschreiben lassen.90 Es wird somit meist implizit angenommen, dass sich durch Binomialverteilungen alle Risiken abbilden lassen, bei denen eben genau zwei Zustände vorkommen können – das Risiko tritt ein oder es tritt nicht ein. Dies ist jedoch bei vielen Risiken keine sinnvolle Abbildung, wie später noch gezeigt werden wird.
88
Vgl. z. B. bei von Metzler 2004, S 133 Vgl. Denk u. Exner-Merkelt 2005, S 112–113 90 Gleißner u. Wolfrum 2006, S 149–153, schlagen z. B. eine Variante der Risk Map vor, die Schadenserwartungswerte auf der einen und Höchstschadenswerte auf der anderen Achse abbilden. Allerdings stellt auch diese Form keine eigentliche Risikoaggregation dar, sondern nur eine Visualisierungsmöglichkeit der Risikolandschaft eines Unternehmens. 89
218
Jan Offerhaus, Mario Hempel
1.2 Scoring- und Rating-Verfahren
Scoring- und Rating-Verfahren besitzen zwar auch quantitative Elemente, werden hier aber bewusst von den sonstigen quantitativen Aggregationsansätzen separiert, da sie eine Sonderstellung einnehmen. Beide Begriffe beschreiben die Klassifizierung eines Betrachtungsgegenstandes (hier: eines Gesamtrisikos) bezüglich unterschiedlicher Kriterien.91 Rating-Verfahren
Rating-Verfahren werden in der wirtschaftlichen Praxis heute im Allgemeinen als standardisierte Verfahren zur Beurteilung der Bonität von Unternehmen verwendet.92 Insofern besteht auch eine Verbindung zum Gesamtrisiko von Unternehmen. Es wird zwar teilweise in der betriebswirtschaftlichen Literatur postuliert, Ratingverfahren auch im Risikomanagement und insbesondere zum Zwecke der Risikoaggregation einzusetzen93, zumindest die Praxisbeiträge in diesem Buch scheinen die Relevanz von Rating-Verfahren in diesem Kontext nicht zu bestätigen. Scoring-Verfahren
Scoring-Verfahren dagegen sind insbesondere bei Kreditinstituten zur Aggregation von operationellen Risiken im Einsatz. Wie Studien zeigen, werden sie aber auch dort im Vergleich zu den VaR- oder Verlustverteilungsansätzen weniger häufig eingesetzt.94 Im vorliegenden Buch werden Scoring-Verfahren nur im Beitrag über Erfahrungen aus der Bankenbranche beschrieben. Bei Nicht-Banken scheint sich dagegen dieser Ansatz noch nicht durchgesetzt zu haben. Im Rahmen von Scoring-Verfahren werden anhand von festgelegten Kriterien Einzelrisiken bezüglich ihrer Bedeutung bewertet und die Wertungspunkte (Scores) der Einzelrisiken dann gewichtet unter Beachtung von Kriterienhierarchien aggregiert.95 Wie im Beitrag dieses Buches zu Erfahrungen bezüglich Risikoaggregation bei Kreditinstituten beschrieben, 91 Von Metzler 2004, S 157–197, beschreibt Scoring- und Rating-Verfahren für Zwecke der Risikoaggregation detaillierter als es hier möglich ist. 92 Diese Verfahren werden insbesondere von Ratingagenturen genutzt und beinhalten eine eher externe Sichtweise auf das Unternehmen. 93 Vgl. von Metzler 2004, S 164, und die dort zitierte weitere Literatur 94 Siehe die empirische Studie der Fachhochschule Wiesbaden zusammen mit der Dr. Peter & Company Unternehmensberatung AG: Petry et al. 2006 95 Hierbei kommt insbesondere die manchmal auch von Interessen getriebene, interne Sichtweise des Unternehmens zum tragen.
Best practise und Entwicklungswege bei der Aggregation von Risiken
219
wird die Subjektivität der Bewertungen, aber vor allem auch der Aggregationsmechanismen, als sehr nachteilig empfunden. Letztlich erscheint mit Scoring-Verfahren eine exakte Bewertung des Gesamtrisikos als nur schwer möglich. Allenfalls kann wohl hierdurch eine Einordnung des Gesamtrisikos auf einer Ordinalskala erreicht werden.96 1.3 Quantitative Verfahren Addition von Höchstschadenswerten
Ein sehr einfaches Verfahren der Risikoaggregation besteht darin, dass die für alle Einzelrisiken geschätzten Höchstschadenswerte addiert werden. In diesem Buch wird dieses Verfahren z. B. im Beitrag von SAP erwähnt. Die resultierende Summe wird dann als Gesamtrisiko interpretiert. Für das einzelne Risiko hat der Höchstschadenswert zwar noch eine gewisse Aussagekraft, eine Summe solcher Höchstschadenswerte ist jedoch äußerst problematisch und muss richtig interpretiert und kommuniziert werden. Zum einen werden Höchstschadenswerte addiert, die vermutlich so nie gleichzeitig auftreten werden. Zum anderen ist die Risikoanalyse mit keinerlei Wahrscheinlichkeitsaussage verknüpft. Addition von Schadenserwartungswerten
Eine weitere einfache Aggregationsmethode, die auch relativ häufig in Unternehmen angewendet wird, ist die Addition von Schadenserwartungswerten. Diese ebenfalls im Beitrag von SAP beschriebene Methode geht davon aus, dass sich ein Einzelrisiko durch die Wahrscheinlichkeit für das Eintreten des Schadensfalles sowie durch die Höhe des Schadens in diesem Falle beschreiben lässt. Durch Multiplikation von Eintrittswahrscheinlichkeit und Schadenshöhe erhält man den Schadenserwartungswert. Die Schadenserwartungswerte werden dann zu einem Gesamtrisikowert für das betrachtete Unternehmen oder den Unternehmensbereich addiert. Aufgrund des vergleichsweise geringen Aufwandes zur Berechnung solcher Schadenserwartungswerte und der darauf aufbauenden Aggregation wird diese Vorgehensweise häufig bei kleineren Unternehmen oder Unternehmen, deren Risikomanagement erst aufgebaut werden soll, angewendet. Problematisch an diesem Verfahren sind allerdings folgende Punkte: • Es werden für die Einzelrisiken eigentlich gar keine Risikowerte, sondern nur Erwartungswerte (s. Theorieteil, Abschnitt 4.1) ermittelt. Es ist 96
Siehe auch von Metzler 2004, S 157–162 und 180–197
220
Jan Offerhaus, Mario Hempel
zwar zweifellos für die Unternehmenssteuerung wichtig, welche durchschnittliche Belastung des Unternehmensergebnisses zu erwarten ist. Allerdings werden eben nicht die möglichen Schwankungen um den Erwartungswert herum gemessen, die das eigentliche Risiko darstellen. • Da im Rahmen dieses Vorgehens nur Erwartungswerte berechnet werden, benötigt man bei der Aggregation auch keine Korrelationsannahmen zwischen den Einzelrisiken. Die Aggregation ist somit einfach. Die Korrelations- und Diversifikationseffekte, die sich bei einer Aggregation der eigentlichen Risikowerte aber ergeben würden, werden bei dieser Methode überhaupt nicht aufgezeigt. • Kritisch ist an dieser Methode vor allem aber die (oft unbewusste) Annahme, dass sich ein Einzelrisiko nur durch zwei Zustände beschreiben lässt – durch den Schadensfall mit einer genau definierten Schadenshöhe und durch den Fall, dass kein Schaden eintritt. Bei sehr vielen Risiken im Unternehmensbereich ist eine solche Binomialverteilung offensichtlich keine adäquate Beschreibung der Risikosituation. Die beiden bisher beschriebenen Methoden lassen sich auch als traditionelle Verfahren der Risikoaggregation bezeichnen.97 Risikobewertungen dieser Art waren insbesondere in der ersten Zeit nach Inkrafttreten des KonTraG in vielen, auch größeren Unternehmen verbreitet.98 Sie werden aber aufgrund der relativ einfachen Umsetzung und Verständlichkeit immer noch häufig angewendet. Value-at-Risk-Verfahren
Als Standard für die Risikobewertung im Allgemeinen wie für die Risikoaggregation im Speziellen entwickeln sich inzwischen auch im NichtBankenbereich immer mehr die Value-at-Risk-Verfahren. Unter diesem Begriff sollen hier alle quantitativen Verfahren verstanden werden, die eine gemeinsame Quantifizierung verschiedener Risiken unter Berücksichtigung der zugrunde liegenden Wahrscheinlichkeitsverteilungen ermöglichen und dabei den zu ermittelnden Gesamtrisikowert wie folgt definieren: 97 Vgl. auch Gleißner 2004b, S 352–354, bei dem diese Methoden kritisch betrachtet werden. 98 Eine Umfrage (Vogler et al. 2000, S 1428) im Sommer 1999 unter börsennotierten Aktiengesellschaften kam zu folgendem Ergebnis: „Üblicherweise erfolgt die Risikobewertung hinsichtlich der Höhe des Schadens und dessen Eintrittswahrscheinlichkeit.“ Als Beispiel kann auch der Praxisbericht der Infineon AG aus 2001 dienen, in dem die Risikobewertung explizit als Multiplikation von EBITAuswirkung des Risikofalles und der zugehörigen Eintrittswahrscheinlichkeit beschrieben wird (Bechhofer 2001, S 48–49).
Best practise und Entwicklungswege bei der Aggregation von Risiken
221
Value-at-Risk (VaR) ist der maximal zu erwartende Gesamtverlust aus der negativen Abweichung von einem geplanten (Gewinn-)Wert über einen definierten Zeithorizont bei einem bestimmten Wahrscheinlichkeitsniveau (meist 95 %, 99 % oder 99,9 %). Der VaR für ein Unternehmen sagt somit aus, welche maximale negative Abweichung vom geplanten Ergebnis über das nächste Jahr mit einer Wahrscheinlichkeit von 99 % nicht überschritten wird. Das Management kann mit einer solchen Kennziffer unter anderem einschätzen, wie risikobehaftet die Geschäftsplanungen für das kommende Jahr sind. Es lässt sich selbstverständlich auch beurteilen, ob die Risikosituation des Unternehmens so gravierend ist, dass die Risikotragfähigkeit nicht mehr gesichert ist. Oder anders ausgedrückt: Übersteigt der ermittelte VaR zum definierten Wahrscheinlichkeitsniveau das wirtschaftliche Eigenkapital des Unternehmens als Risikopuffer, so ist das Unternehmen über die Risikotoleranz des Managements hinaus in seinem Bestand gefährdet. Grundsätzlich werden VaR-Verfahren auch für die Bewertung von Einzelrisiken angewendet (so z. B. bei Vattenfall Europe und Axpo). Man könnte daher VaR-Verfahren generell auch als Methoden zur Risikobewertung bezeichnen. Der größte Vorteil von VaR-Verfahren ist jedoch die Tatsache, dass sie einzelne Risiken, aber vor allem auch alle Risiken eines Portfolios an Aktiva oder eines Unternehmens zusammen, mit einer einzigen Kennziffer bewertbar machen.99 Den VaR-Verfahren ist die Aggregation einzelner Risiken somit inhärent. Es wird oft eine Unterscheidung zwischen Value-at-Risk und Cashflowat-Risk (CFaR) getroffen, wobei der VaR das Risiko im Verhältnis zu einer Bestandsgröße (Vermögenswert, Present Value von Aktiva etc.) und der CFaR das Risiko im Verhältnis zu einer Stromgröße (Gewinn, Cashflow etc.) beschreiben soll. Dieser Unterscheidung wird hier nicht gefolgt, da auch bei Zielgrößen wie Gewinn oder Cashflow von einem Risiko bezüglich des Wertes dieser Zielgröße gesprochen werden kann, also von einem Value-at-Risk.100 Die für die Finanzrisiken entwickelten typischen VaR-Ansätze beinhalten drei Hauptkomponenten101:
99
Vgl. auch Jorion 2007, S 106 Denk u. Exner-Merkelt 2005, S 115, schreiben beispielsweise von einem CFaR in Bezug auf Zielgrößen wie Cashflow und Gewinn, während Gleißner 2004a, S 31–37, für dieselben Zielgrößen explizit den Begriff VaR verwendet. Die begriffliche Unterscheidung erscheint eher akademischer Natur. 101 Siehe hierzu z. B. Jorion 2007, S 247–271 100
222
Jan Offerhaus, Mario Hempel
• das Mapping der Positionen auf die Risikofaktoren, • die Modellierung der Verteilungen der Risikofaktoren sowie • eine so genannte Risk Engine. Im Rahmen der ersten Komponente sind die Auswirkungen von Änderungen der Risikofaktoren auf die Positionen in unterschiedlichen Finanzinstrumenten (wie Derivaten, Aktien, Anleihen etc.) zu beschreiben. Prinzipiell kann dabei unterschieden werden, ob Approximationen für die Bewertung der Finanzinstrumente in Abhängigkeit von den Risikofaktoren herangezogen werden oder ob die Finanzinstrumente exakt bewertet werden. Bezüglich der Modellierung der Risikofaktorverteilungen lassen sich grundsätzlich zwei Ansätze unterscheiden: Erstens können aus den beobachteten (historischen) Daten der Risikofaktoren Verteilungen abgeleitet werden, die sich durch wenige Parameter (wie Mittelwert und Varianz bei der Normalverteilung) definieren lassen. Zweitens können aber auch direkt die historisch beobachteten Verteilungen der Risikofaktoren Verwendung finden, die sich dann eben nicht mehr durch eine der bekannten Verteilungsfunktionen beschreiben lassen. Im Rahmen der Modellierung der Risikofaktorverteilungen sind auch die Korrelationsbeziehungen zwischen den verschiedenen Risikofaktoren zu beschreiben. Die Positionen und die Verteilungen der Risikofaktoren werden durch die Risk Engine schließlich zusammengebracht. Die Risk Engine generiert aus den Input-Daten eine Verteilung der Werte des Portfolios der Positionen. Können die einzelnen Positionswerte im Portfolio ausreichend exakt durch bestimmte Näherungsformeln auf die Risikofaktoren berechnet werden und lassen sich die Verteilungen der Risikofaktoren durch Normalverteilungen gut approximieren, dann ist die Verteilung der Portfoliowerte wiederum eine Normalverteilung. Der VaR des Portfolios lässt sich dann durch eine geschlossene Formel ermitteln. Im Rahmen der Risk Engine ist somit keine Simulation notwendig. Sind die oben geschilderten Annahmen jedoch nicht zulässig, weil es sich um ein komplexeres Portfolio handelt, dann muss entweder durch Zufallszahlenziehung auf Basis der definierten Verteilungen der Risikofaktoren (also durch eine Monte-Carlo-Simulation) oder durch Verwendung der historisch beobachteten Risikofaktorwerte (historische Simulation) mit jeweils anschließender Berechnung der Portfoliowerte der Gesamt-VaR ermittelt werden. Diese Verfahren stellen dann wesentlich höhere Anforderungen an die Risk Engine, sind aber bei komplexeren Portfolios und/oder Risikofaktorverteilungen unumgänglich.
Best practise und Entwicklungswege bei der Aggregation von Risiken
223
Im Nicht-Bankenbereich werden VaR-Verfahren meist auf Basis von Monte-Carlo-Simulationen eingesetzt.102 Dementsprechend werden VaRAnsätze manchmal auch als Monte-Carlo-Simulationsansätze bezeichnet, obwohl die Monte-Carlo-Simulation nur ein Verfahren zur Ableitung einer Gesamtverteilung der jeweiligen Zielgröße ist. Aus folgenden Gründen eignen sich im Nicht-Bankenbereich jedoch kaum andere Verfahren als die Monte-Carlo-Simulation103: • Im Bereich der operationellen und strategischen Risiken, die im NichtBankenbereich gegenüber den Finanzrisiken dominieren, gibt es besonders viele so genannte Low-frequency/high-impact risks, also Risiken wie z. B. Katastrophenschäden oder Markteintritt eines neuen Wettbewerbers. Diese Risiken lassen sich nicht mehr durch Normalverteilungen beschreiben, sondern im Extremfall nur durch Binomialverteilungen, die zwischen zwei Zuständen unterscheiden – das Risiko tritt ein oder es tritt nicht ein.104 • Die Tatsache, dass viele operationelle und strategische Risiken eben nur selten eintreten, hat auch zur Konsequenz, dass Zeitreihen von entsprechenden Schadensfällen aus dem eigenen Unternehmen meist nicht vorliegen, so dass historische Simulationen nicht durchführbar sind. Bei einigen niedrig frequenten Risiken schließt sich ein Vorliegen von Schadensfällen in unternehmensinternen Daten schon alleine deswegen aus, weil die Höhe solcher Schäden eben das Überleben einer Firma zumindest unwahrscheinlich macht.105 • Außerdem sind die Risiken im Nicht-Bankenbereich bezogen auf ihre Verteilungsformen und ihre Wechselwirkungen typischerweise wesentlich heterogener. Solch komplexe Verknüpfungen von Risikofaktoren lassen sich aber nur durch Monte-Carlo-Simulation modellieren. Im Vergleich zu den Finanzrisiken ist das Mapping der Positionen bei vielen VaR-Modellen im Nicht-Bankenbereich weniger komplex. Als 102
Siehe z. B. Denk u. Exner-Merkelt 2005, S 113–115, oder Gleißner 2004a, S 31–37 103 Vgl. auch Gleißner 2004b, S 354–355 Bei der Betrachtung von Operational Risks von Kreditinstituten gelten grundsätzlich dieselben Überlegungen. Siehe hierzu Jorion 2007, S 491–504 104 Allerdings gibt es auch operationelle Risiken, die häufig auftreten, aber eher geringere Schadenshöhen verursachen (High-frequency/low-impact risks). Diese lassen sich dann auch durch Normalverteilungen beschreiben. 105 Jorion 2007, S 501–504, beschreibt dies für operationelle Risiken in der Bankenbranche, was sich aber genauso auf operationelle Risiken bei Nicht-Banken übertragen lässt.
224
Jan Offerhaus, Mario Hempel
Grundlage dient eine Planungsrechnung für die jeweilige Zielgröße, die in allen Unternehmen ohnehin vorliegen sollte. Die einzelnen Elemente der Planungsrechnungen sind durch – im Vergleich zur Berechnung der Barwerte von bestimmten Finanzinstrumenten – recht einfache Algorithmen (Summe oder Differenz) miteinander verknüpft. Meist werden dann nicht die Werte der einzelnen Elemente der Planungsrechnung, wie z. B. Aufwands- oder Ertragspositionen, auf Ausprägungen von zugrunde liegenden Risikofaktoren zurückgeführt. Vielmehr werden die Elemente der Planungsrechnung selbst als zu simulierende Risikofaktoren interpretiert.106 Es gibt jedoch auch VaR-Verfahren, die explizit unabhängige Risikofaktoren definieren und die Elemente der Planungsrechnung dann als davon abhängige Variable ansehen. Die in der Praxis im Nicht-Bankenbereich anzutreffenden VaR-Modelle auf Basis von Monte-Carlo-Simulationen dürften sich in der Regel nicht eindeutig einem der beiden beschriebenen idealtypischen Muster zuordnen lassen. Die in diesem Buch konkret vorgestellten bzw. erwähnten VaRAnsätze von Vattenfall Europe und BMW dürften sich jedoch eher der ersten Gruppe zurechnen lassen, während das Verfahren von MOL der zweiten Gruppe zugehörig ist. Das VaR-Modell von MOL definiert z. B. makroökonomische Variable wie BIP-Veränderungen als Risikofaktoren, die wiederum Auswirkungen auf bestimmte Elemente der Planungsrechnung besitzen. Ein solches Vorgehen hat den Vorteil, dass statistische Daten für Risikofaktoren vorhanden sind, aus denen sich Annahmen über die Risikofaktorverteilung gut ableiten lassen. Außerdem lassen sich implizit Korrelationsbeziehungen zwischen einzelnen Risikoarten darstellen, ohne direkt die Korrelationen zwischen den Risiken schätzen zu müssen. Dadurch, dass ein und derselbe Risikofaktor sich – ggf. auf unterschiedliche Weise – auf die jeweilige Risikoart und damit bestimmte Elemente in der Planungsrechnung auswirkt, wird eine Abhängigkeit zwischen den betrachteten Risiken im System erreicht. Während ein solches Modell somit bei der Ableitung von Korrelationseffekten einfacher zu implementieren ist, haben die Modelle, bei denen die Elemente der Planungsrechnung direkt als zu simulierende Risikofaktoren verstanden werden, den Vorteil, dass kein Wirkungszusammenhang zwischen erklärenden Variablen und den im eigenen Unternehmen beobachteten Schadensereignissen spezifiziert werden muss. Das VaR-Modell von Axpo ist dagegen von einem dritten Typ. In diesem Modell werden separate Wahrscheinlichkeitsverteilungen für die Schadenshöhen aus den Risikoereignissen sowie für die Eintrittswahr106
Gleißner 2004a, S 31–37, beschreibt an Hand eines praktischen Beispiels die entsprechende Vorgehensweise.
Best practise und Entwicklungswege bei der Aggregation von Risiken
225
scheinlichkeiten der Schäden geschätzt. Dabei wird unterstellt, dass die Schadenshöhen unabhängig von den Eintrittswahrscheinlichkeiten sind. Auf Basis dieser geschätzten Wahrscheinlichkeitsverteilungen wird dann mittels Monte-Carlo-Simulation eine Verlustverteilung für die Risikosituation des Gesamtunternehmens ermittelt. Aus dieser Verlustverteilung lässt sich über das vorab definierte Quantil der VaR ermitteln. Diese Vorgehensweise ist inzwischen bei Kreditinstituten zur Operational Risk-Berechnung relativ weit verbreitet, insbesondere bei denen, die sich für den so genannten Advanced Measurement Approach (AMA) unter dem Basel IIRegime qualifizieren wollen.107 Im Beitrag zur Risikoaggregation bei Kreditinstituten, der auf den Erfahrungen der Dresdner Bank basiert, ist dieses Verfahren ebenfalls erläutert. Dieses als „Verlustverteilungsansatz“ oder „versicherungsmathematischer Ansatz“108 bezeichnete Verfahren hat den Vorteil, dass der Bedarf an empirischen Daten geringer ist als bei einer direkten Schätzung der kompletten Verlustverteilung, wie sie bei den VaRModellen mit einer direkten Simulation von Elementen der Planungsrechnung notwendig ist.109 VaR-Modelle für Finanzrisiken, wie sie in Kreditinstituten üblich sind, werden auch bei Nicht-Banken angewendet. Wie in den Beiträgen von SAP, EnBW, BMW oder Vattenfall Europe kurz angedeutet wird, sind solche Verfahren für die Bewertung und Aggregation von Finanzrisiken inzwischen auch außerhalb der Bankenbranche – zumindest bei größeren Unternehmen – zum Marktstandard geworden. In kleineren Unternehmen werden VaR-Methoden zumindest für bestimmte abgrenzbare Risikokategorien ebenfalls eingesetzt, wie das Beispiel von ASL Auto ServiceLeasing für Bonitäts- und Restwertrisiken zeigt.
107
Eine empirische Studie der Fachhochschule Wiesbaden zusammen mit der Dr. Peter & Company Unternehmensberatung AG zu Operational Risk im Bankenbereich bestätigt, dass der Verlustverteilungsansatz inzwischen zum Marktstandard geworden ist. Siehe Petry et al. 2006 108 Die Bezeichnung „versicherungsmathematischer Ansatz“ rührt daher, dass dieser aus der Risikoquantifizierung in der Versicherungsindustrie abgeleitet ist. Siehe weitere Erläuterungen zu diesem Ansatz im Bankenbereich bei Minz 2004, S 137–144; Lenzmann 2007, S 195–210; Jorion 2007, S 497–504 109 Allerdings kann man bei diesen Modellen, wie sie auch bei den Beispielsunternehmen in diesem Buch angewendet werden, nicht unbedingt immer von Verlustverteilungen sprechen, da nicht notwendigerweise nur reine Verlustsituationen betrachtet werden, sondern auch Gewinnsituationen. Die Bezeichnung Verlustverteilung ist hier aus der Bankenbranche übernommen, wo der Verlustverteilungsansatz für operationelle Risiken verwendet wird, die im Allgemeinen nur zu Schäden bzw. Verlusten führen.
226
Jan Offerhaus, Mario Hempel
Werden unterschiedliche VaR-Verfahren110 zur Aggregation von Risiken in Teilbereichen eines Unternehmens verwendet (z. B. ein spezieller VaRAnsatz für die Finanzrisiken und ein anderer für sonstige Risiken), stellt sich die Frage, wie eine übergreifende Risikoaggregation erreicht werden kann. Dies dürfte eine Frage sein, die in vielen Unternehmen, aber auch in der Wissenschaft noch unzureichend beantwortet ist. Copulas
Ein Lösungsansatz für die Problematik der Aggregation über verschiedene Risikoklassen hinweg, der in letzter Zeit in der Finanzbranche verstärkt verfolgt wird, ist die Verwendung von so genannten Copulas111. Copulas sind funktionale Beziehungen zwischen den Wahrscheinlichkeitsverteilungen für einzelne Risiken oder Risikoklassen. Mit Copulas lassen sich die Abhängigkeiten zwischen Risiken oder Risikoklassen unabhängig von den individuellen Verteilungen modellieren. In der Praxis werden CopulaVerfahren aber wohl erst zukünftig stärker Verbreitung finden. Neubewertung auf höherer Ebene
In der Praxis erweist es sich vielfach als schwierig, die Abhängigkeiten (Korrelationen) zwischen verschiedenen Einzelrisiken korrekt zu schätzen. Dies liegt darin begründet, dass statistische Daten dazu kaum vorhanden sind oder dass Expertenschätzungen für Einzelrisiken zwar oft noch zu akzeptablen Ergebnissen führen, die Schätzung von stochastischen Abhängigkeitsbeziehungen zwischen vielen Einzelrisiken aber mit sehr großen Unsicherheiten behaftet sein dürfte. In den Beiträgen von EnBW und SAP wird eine Vorgehensweise beschrieben, wie mit diesem Problem umgegangen werden kann. Es werden einzelne Risiken auf einer höheren Ebene (der nächsthöheren Berichtseinheit, die z. B. ein bestimmter Unternehmensbereich sein kann) zusammengefasst, auf dieser Ebene aber nicht mehr explizit einzeln bewertet und dann aggregiert. Auf der höheren Ebene wird ein resultierendes Gesamtrisiko definiert, das dann wie ein Einzelrisiko betrachtet und neu bewertet wird. Dieses Vorgehen der Neubewertung auf höherer Ebene ist nicht als eigenständiges Verfahren zu bezeichnen, da es nur in Verbindung mit ver110
Bei grundsätzlich unterschiedlichen Verfahren zur Risikobewertung und -aggregation in verschiedenen Unternehmensbereichen (z. B. Scoring-Ansätze für einen Teilbereich und VaR-Methoden für einen anderen Teilbereich) ist eine übergreifende Aggregation ohnehin kaum möglich. 111 Siehe zu Copulas und möglichen Anwendungsgebieten Jorion 2007, S 207–211 und 521–523; Beck et al. 2006, S 29–33
Best practise und Entwicklungswege bei der Aggregation von Risiken
227
schiedenen anderen Methoden der Risikobewertung eingesetzt werden kann. Allerdings erscheint es als wichtiges Hilfsmittel in der Unternehmenspraxis. Wie im Beitrag von EnBW beschrieben, kann die Vorgehensweise z. B. in Verbindung mit Expertenschätzungen oder auch mit VaRModellen zum Einsatz kommen. Beim Einsatz in VaR-Verfahren ist die Voraussetzung, dass für das auf höherer Ebene definierte Gesamtrisiko ausreichende statistische Daten vorhanden sind, um es modellieren zu können. Vor allem aber muss angenommen werden können, dass die im Gesamtrisiko zusammengefassten Einzelrisiken sich tatsächlich alle im statistischen Datenmaterial des Gesamtrisikos ausgewirkt haben, was bei Risiken mit niedriger Frequenz und kurzen Zeitreihen für die Daten nicht unbedingt gegeben sein muss. Da bei der Neubewertung auf höherer Ebene die Wirkungszusammenhänge von Einzelrisiken, die in einem Gesamtrisiko resultieren, nicht explizit beschrieben sind, können bei diesem Vorgehen Risikosteuerungsmaßnahmen für Einzelrisiken mit dem Ziel der Beeinflussung des Gesamtrisikos nur schwer abgeleitet werden.
2
Bestehende Tendenzen und weitere Entwicklungen
Die in diesem Buch vorgestellten Praxisbeiträge geben sicherlich keinen vollständigen Überblick der genutzten Verfahren der Risikoaggregation in deutschen bzw. europäischen Unternehmen. Einige richtungweisende Tendenzen lassen sich dennoch ableiten: • Ein industrieübliches Best Practise bildet sich offensichtlich erst langsam heraus. Momentan scheinen die Unterschiede zwischen den Ansätzen der einzelnen Unternehmen noch relativ groß zu sein. • Signifikante Branchenunterschiede innerhalb der Nicht-Banken lassen sich aus der „Stichprobe“ dieses Buches nicht ableiten. Es scheint eher so zu sein, dass es Unterschiede zwischen kleineren und größeren Unternehmen in Bezug auf die Komplexität der Risikoaggregationsverfahren gibt. Während bei kleineren Unternehmen VaR-Ansätze allenfalls für klar abgegrenzte Teilbereiche eingesetzt werden, sind umfassende VaR-Methoden im Rahmen von Enterprise Risk Management-Modellen bei größeren Unternehmen schon eher Standard. • Auch auf Basis der Erfahrungen im Bankenbereich scheint sich abzuzeichnen, dass VaR-Verfahren sich zukünftig als durchgängigen Standard herauskristallisieren könnten. In der Unternehmenspraxis und in der betriebswirtschaftlichen Literatur gibt es allerdings auch Stimmen,
228
Jan Offerhaus, Mario Hempel
die eine Nutzung von VaR-Verfahren für die im Nicht-Bankenbereich wesentlichen operationellen Risiken als nicht unkritisch ansehen.112 • Die Unsicherheit bezüglich der Eignung von VaR-Verfahren im NichtBankenbereich scheint sich auch darin zu äußern, dass es zwischen den verschiedenen in diesem Buch vorgestellten VaR-Verfahren recht große Unterschiede in der Ausgestaltung gibt. Es wird sich im Laufe der zukünftigen Entwicklung noch herausstellen müssen, welches VaRModell insbesondere im Nicht-Bankenbereich am besten geeignet ist. • Denkbar ist allerdings auch, dass weiterhin unterschiedliche Verfahren für unterschiedliche Risikokategorien eingesetzt werden, wie dies im Bankenbereich bereits der Fall ist. Die Weiterentwicklung und Verbesserung der Methoden zur Risikoaggregation stellen sicherlich wichtige Entwicklungswege dar. Aus den Praxisbeiträgen dieses Buches heraus ist aber auch erkennbar, dass die Verwendung aggregierter Risikozahlen im Instrumentarium der Unternehmenssteuerung noch recht unterschiedlich ist. In einigen Unternehmen dienen Risikozahlen vor allem zur Verdeutlichung von Faktoren, die die Unternehmensentwicklung negativ beeinflussen und deren Auswirkungen auf das Unternehmen daher zu begrenzen sind. Dagegen wird aus den Beiträgen anderer Unternehmen ersichtlich, dass teilweise schon Ansätze zur Risiko-Rendite-orientierten Steuerung implementiert sind oder mittelfristig entwickelt werden sollen. In diesem Buch gibt es auch Beispiele dafür, dass aggregierte Risikozahlen zur Bewertung von strategischen Optionen oder bei der Optimierung des Unternehmensportfolios eine Rolle spielen bzw. spielen sollten. Die aggregierten Risiken eines Geschäftsbereiches werden dann nicht mehr nur unter dem Gesichtspunkt der Risikobegrenzung betrachtet, sondern sie werden viel stärker als notwendige Bedingung für die Erwirtschaftung von Erträgen angesehen. Es geht dann darum zu bestimmen, ob im Verhältnis zum eingegangenen Risiko auch eine adäquate Rendite erwirtschaftet wurde oder zukünftig erwartet werden kann. Diese Betrachtungsweise kann auch ganz praktisch in die operative Unternehmenssteuerung eingebaut werden, indem z. B. Zielvorgaben und Performance-Messung auf aggregierten Rendite-Risiko-Relationen aufgebaut werden. Dies könn-
112
Kalhoff u. Haas 2004, S 21–23, argumentieren z. B., dass die statistische Datenbasis zu operationellen Risikoereignissen innerhalb von Unternehmen zu sehr problematischen Ergebnissen bei VaR-Ansätzen führen kann. Allerdings geben sie auch den Hinweis, dass die Quantifizierung von operationellen Risiken durch die Berücksichtigung von unternehmensexternen Verlustdaten wesentlich verbessert werden kann.
Best practise und Entwicklungswege bei der Aggregation von Risiken
229
te dann sowohl für Unternehmen bzw. Unternehmensbereiche als auch für das Management selbst erfolgen. Im Bereich der Verwendung aggregierter Risikozahlen dürften die meisten Unternehmen sogar noch mehr Entwicklungsbedarf besitzen als in der Frage, mit welchen Verfahren die Einzelrisiken zu aggregieren sind.
Autorenverzeichnis
Autorenverzeichnis Jan Offerhaus hat seine Studien der Volkswirtschaftslehre und Geschichtswissenschaft an der Universität München und der Wayne State University in Detroit 1991 bzw. 1992 mit dem Diplom bzw. dem Master of Arts abgeschlossen. Von 1993 bis 1997 war er bei der DG BANK in Frankfurt im Risikocontrolling tätig und hat sich in verschiedenen Projekten mit der Weiterentwicklung der Steuerung von Kreditrisiken sowie von Kontrahenten- und Marktrisiken beschäftigt. Im Anschluss war er im Adressrisikocontrolling der HypoVereinsbank AG in München, zuletzt als Gruppenleiter, verantwortlich für Methoden und Projekte im Kontrahentenrisikocontrolling für Handelsgeschäfte. 2001 wechselte er zur Haarmann Hemmelrath Management Consultants GmbH, wo er als Prokurist Beratungsprojekte zu den Themen Risikomanagement, Controlling und Rating, insbesondere für mittelständische Unternehmen, durchführte. Seit Ende 2003 hat er mit Offerhaus Management Consulting sein eigenes Beratungsunternehmen mit dem thematischen Schwerpunkt Risikomanagement/-controlling. Mario Hempel arbeitete nach seinem Studienabschluss als Dipl. Wirtschaftsingenieur (FH) seit 1996 in der Bewag AG, Berlin, zunächst im Investitionscontrolling, später dann in der Internen Revision. Hier war er neben der Prüfung von Unternehmensbereichen insbesondere auf Großprojekte und Qualitätsmanagement in DV-Projekten ausgerichtet. Im Jahr 2000 baute er federführend das Risikomanagementsystem nach KonTraG auf und arbeitete dann als zentraler Risikomanager an der Sicherstellung des unternehmensweiten Risikomanagementprozesses mit den Schwerpunkten Risikoanalyse, Risikoaggregation und -reporting an den Vorstand. Seit der Integration der Bewag in die Vattenfall Europe Gruppe Ende 2002 ist er als Leiter Risikomanagement Technik & Projekte im zentralen Risikomanagement und Risikocontrolling der Vattenfall Europe AG verantwortlich für die erfolgreiche Umsetzung des konzernweiten Risikomanagement-Konzeptes in den technisch geprägten Geschäftseinheiten.
232
Autorenverzeichnis
Prof. Dr. Heinrich Rommelfanger ist seit 1976 Inhaber des Lehrstuhls für Wirtschaftsmathematik im Fachbereich Wirtschaftswissenschaften der J. W. Goethe-Universität Frankfurt am Main. Nach Abschluss des Studiums der Mathematik und Physik arbeitete er als wissenschaftlicher Mitarbeiter an den Universitäten in Saarbrücken und Heidelberg auf den Gebieten Statistik, Entscheidungstheorie, Mathematische Wirtschaftstheorie, Ökonometrie, Mathematische Optimierung und deren Anwendungen auf ökonomische Fragestellungen. Prof. Rommelfanger hat neben 16 Monographien mit z. T. mehrfachen Auflagen über 90 Aufsätze in referierten Zeitschriften und internationalen Sammelbänden veröffentlicht. Seit 1984 arbeitet er auf dem Gebiet der Fuzzy-Mengentheorie und ist ein international anerkannter Experte in Fuzzy-Entscheidungstheorie und Fuzzy-Optimierung. Mit dem Thema Kreditwürdigkeitsprüfung beschäftigt sich Prof. Rommelfanger seit 20 Jahren; die innovativen Fuzzy-Expertensysteme basieren auf seinen Publikationen. Ein weiteres aktuelles Forschungsgebiet ist die Messung und Aggregation operationeller Risiken. Dr. Dirk Metzger promovierte an der Universität Heidelberg, Fachrichtung Grundwasserphysik im Jahre 1997. Im selben Jahr wechselte er zur SAP AG und war dort mit Aufgaben im Software Qualitätsmanagement betraut. Von 1999 bis 2003 war er als Manager für Qualität und Spezialprojekte im Bereich der Übersetzung der SAP AG weiter tätig. Danach wechselte er noch im Jahr 2003 als einer der ersten Vollzeitmitarbeiter ins zentrale Risikomanagement der SAP AG. Dort war Dr. Metzger als Risikomanager für die globale Entwicklungsorganisation tätig. Zusätzlich beteiligte er sich maßgeblich an der Entwicklung der hauseigenen Risikomanagementsoftware und beschäftigte sich mit Risikomanagement Strategiethemen. Seit Mai 2006 ist er als Risikomanagement Direktor für die Themen Risikomanagement, SOX 404 Implementierung und Sicherheit in der Vertriebsregion Asia Pacific Japan der SAP mit Sitz in Singapur verantwortlich. Dietmar Krull, Dipl.-Kfm., ist Leiter Steuern/Bilanzen der BLG LOGISTICS GROUP AG & Co. KG, Bremen. Seine Ausbildung zum Industriekaufmann und Betriebswirt BA absolvierte er an der Wirtschaftsakademie in Kiel. Nach zwei Jahren als Assistent der Geschäftsleitung bei ELF Bitumen, Brunsbüttel, schloss sich ein Studium der Betriebswirtschaftslehre an der Universität Mannheim an. Es folgten verschiedene Stationen bei der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft Falk & Co. in Heidelberg, bevor Dietmar Krull 1995 die Position des Leiters Rechnungswesen/Steuern bei der B.U.S. Berzelius Umwelt-Service AG in Duisburg antrat. 2001 wechselte er als Hauptabteilungsleiter Bilanzen/ Steuern zur
Autorenverzeichnis
233
Aditron AG, Düsseldorf. Seit Februar 2004 leitet Dietmar Krull den Bereich Steuern/Bilanzen bei der BLG LOGISTICS GROUP in Bremen. Sandra Simonides, Dipl.-Betriebswirtin (FH), absolvierte eine Ausbildung zur Steuerfachangestellten in einer Steuerberatungsgesellschaft in Bremen. Danach begann sie ein Studium der Betriebswirtschaftslehre an der Hochschule Bremen. In ihrer Diplomarbeit befasste sich Frau Simonides mit der Optimierung des Risikomanagementsystems der BLG LOGISTICS GROUP. In den Jahren 2005 und 2006 arbeitete Frau Simonides im Rahmen des Führungskräftenachwuchsprogramms der BLG LOGISTICS GROUP an unterschiedlichen Projekten in verschiedenen Unternehmen des Konzerns. Seit 2006 ist Frau Simonides Mitarbeiterin des Bereichs Steuern/Bilanzen bei der BLG LOGISTICS GROUP und ist dort unter anderem mit der ständigen Fortentwicklung des Risikomanagements betraut. Holger Sommerfeld war nach dem Studium der Betriebswirtschaftslehre sechs Jahre bei der Unternehmensberatung zeb, Münster tätig, für die er Projekte im Bereich der Gesamtbanksteuerung und des Risikomanagements im Finanzdienstleistungssektor verantwortete. Nach zwei Jahren im M&A-Bereich (Financial Institutions Group) bei der Investmentbank Lehman Brothers in Frankfurt wechselte Herr Sommerfeld 2002 als Leiter Strategische Planung zu Financial Services der BMW Group. Seit Anfang 2006 entwickelt er das unternehmensübergreifende Risikomanagement bei der BMW Group weiter. Dr. Elmar Steurer war nach seiner Promotion an der TH Karlsruhe im Forschungszentrum der Daimler-Benz AG von 1997 bis 1999 für die Koordination der Aktivitäten im Risikomanagement zuständig. Neben der Entwicklung von Scoringverfahren für das Finanzierungsgeschäft betreute er ein Projekt zur quantitativen Modellierung der Nutzfahrzeugnachfrage für die westeuropäischen Märkte. Im Anschluss daran war er im Bereich des Finanzrisiko-Controllings für die Länder- und Kontrahentenrisiken in der Konzernzentrale der DaimlerChrysler AG in Stuttgart verantwortlich. Im Jahr 2002 wechselte er in den Finanzbereich der BMW AG, wo er seit Anfang 2006 das Enterprise Risk Management mit aufbaut und implementiert.
234
Autorenverzeichnis
Tibor Papp graduierte 1994 als Ingenieur und schloss 2002 das gemeinsame internationale MBA-Programm der Case Western Reserve University, Weatherhead School of Management (Cleveland, USA) und der IMC Graduate School of Business (Budapest) ab. Er ist registrierter Broker an der Budapest Commodity Exchange, wo er auch seine Karriere im Finanzwesen startete. Nach Tätigkeiten für internationale Unternehmen wie ITOCHU und Master Foods wechselte er 1997 zur MOL Hungarian Oil and Gas Co. Seit 2001 ist er dort Leiter des Group Risk Managements. Zu seinen Verantwortlichkeiten zählen neben der operativen Durchführung der Risikoberichterstattung an das Senior Management auf Basis eines Cashflow-at-Risk-Modells und der Weiterentwicklung des Risikomanagements auch die Versicherungsstrategie und die Allokation von Risikolimiten. Im Jahre 2002 hat er aktiv an der Entwicklung des ungarischen Gesetzeswerks bezüglich Natural Gas Pricing mitgewirkt. Beata Szoboszlai besitzt einen Master of Science-Abschluss von der Budapest University of Economic Sciences (1998) und einen PostgraduiertenAbschluss in Wirtschaftsrecht (2001). 1998 startete sie ihre Karriere an der Budapest Stock Exchange in der Abteilung für Markt- und Produktentwicklung. Im Jahr 2002 nahm sie am Young Leaders Exchange Program teil, das von der Dräger-Stiftung (Deutschland) und dem Chicago Council of Foreign Relations (USA) organisiert wird. 2003 begann sie eine Tätigkeit im Budapester Büro der Boston Consulting Group, wo sie in Projekten für Unternehmen aus unterschiedlichen Branchen – wie Telekommunikation, Bankwesen und Energiesektor – arbeitete. Parallel erhielt sie ein Humphrey Fellowship-Stipendium von der Fulbright Commission and studierte Strategy and Business Analysis an der School of Management der Boston University (2003/2004). 2006 wechselte sie zur MOL Hungarian Oil & Gas Co. um dort als Risikomanagement-Experte im Enterprise Risk Management zu arbeiten. Carsten Durchholz hat 1996 sein Studium als Diplom-Kaufmann an der TU Berlin abgeschlossen. Sein Berufsleben begann bei der Allianz Lebensversicherung in Stuttgart. Von 1998 bis 2001 hat er für die Bankgesellschaft Berlin in verschiedenen Funktionen und Projekten die Marktrisiken im Investmentbanking überwacht und an der Umgestaltung des Kreditrisikomanagements mitgewirkt. Seit 2001 arbeitet Herr Durchholz für die heutige Vattenfall Europe Gruppe, zunächst als Risikomanager bei der Bewag, seit 2002 als Leiter Risikomanagement Märkte & Finanzen im zentralen Risikomanagement und Risikocontrolling der Vattenfall Europe AG. Die Aufgabe liegt hier in der Sicherstellung des unternehmensweiten Risikomanagementprozesses.
Autorenverzeichnis
235
Dr. Christian Sangiorgio arbeitet seit September 2005 im Corporate Risk Management des Axpo-Konzerns. Er ist mitverantwortlich für den konzernweit quantitativen Risk Prozess, welcher die Identifikation und Bewertung der Risiken und deren Monte Carlo Simulation betrifft. Zusätzlich ist er für die Entwicklung und Umsetzung des Risikokapital-Konzepts und die risikoadjustierte Performancemessung zur Transparenzerhöhung und Entscheidungsunterstützung im Konzern mitverantwortlich. Dr. Sangiorgio ist promovierter Mathematiker an der ETH Zürich. Die Dissertation war im Bereich Statistik zum Thema Zeitreihen-Modellierung mit Hilfe des Kalman Filters und Smoothers mit konkreten Anwendungen im Umweltgebiet bei der Schätzung der Schadstoffemissionen aus dem Verkehr. Susana Aramayo Hottinger hält ein Lizentiat in Betriebswirtschaft der Universität San Fancisco Xavier de Chuquisaca, Bolivien. Im bolivianischen Finanzinstitut Prodem S.A. war sie für die Konzeption und Implementierung eines Total Quality Management Modells zuständig. Nach erfolgreichem Abschluss dieses Projektes hat sie ihre Ausbildung in der Schweiz weitergeführt. Sie schloss ihr Studium an der Universität Bern im August 2007 mit dem Master of Science in Business Administration mit Schwerpunkt Finanz- und Risikomanagement ab. Zwischen August 2006 und März 2007 absolvierte sie ein Praktikum im Corporate Risk Management des Axpo-Konzerns. Bernhard Brodbeck hält sowohl ein Executive MBA in General Management von der Universität St. Gallen als auch einen Master als Maschineningenieur der ETH Zürich. Er ist Senior Job Manager in der Corporate Risk Consulting Practice von Oliver Wyman mit besonderem Fokus auf die Beratung von Energieunternehmen. Herr Brodbeck hat mehrere Projekte im Bereich strategisches und quantitatives Risikomanagement, Entwicklung und Einführung von Risikokapital-Konzepten für die risikoadjustierte Performancemessung und Limitensetzung sowie die strategische Positionierung zukünftiger Handelsaktivitäten großer Europäischer Energieunternehmen unterstützt und geleitet. Aufgrund seiner früheren, mehrjährigen Funktion als Leiter Corporate Risk Management im Axpo-Konzern verfügt er über fundierte praktische Erfahrungen im Bereich Corporate Governance und dem Umgang mit Risikoinformationen für die Transparenzerhöhung und Entscheidungsunterstützung. Thilo Enders, Dipl.-Physiker, ist seit 2002 in der Abteilung Kraftwerkswirtschaft der EnBW Kraftwerke AG (KWG) tätig. Diese ist eine 100prozentige Tochter der Energie Baden-Württemberg AG (EnBW). Neben der kraftwerkswirtschaftlichen Bewertung von Projekten zur Anlagener-
236
Autorenverzeichnis
weiterung und -verbesserung gehört unter anderem die Erfassung und Bereitstellung von Daten zur Verfügbarkeit der Kraftwerke der KWG an der Schnittstelle zur Energiehandelsgesellschaft der EnBW zu seinen Aufgabenfeldern. Thomas Vetter ist seit 2001 in der Abteilung Kraftwerkswirtschaft der EnBW Kraftwerke AG (KWG) tätig. Er betreut die Erzeugungsanlagen der KWG aus kraftwerkswirtschaftlicher Sicht. Hierunter fallen unter anderem die Bewertung von Anlagenerweiterungen und -verbesserungen sowie die Betreuung der Schnittstelle zur Energiehandelsgesellschaft der EnBW. Davor hat Herr Vetter bei den Neckarwerken Stuttgart AG und dem Vorgängerunternehmen, den Technischen Werken der Stadt Stuttgart AG, verschiedene Aufgaben im Bereich der Strom- und Fernwärmeerzeugung wahrgenommen. Er war u.a. Projektleiter beim Aufbau und der Errichtung eines Energiemanagementsystems zur Kraftwerksüberwachung, Kraftwerksführung und Einsatzplanung. Dr. Uwe Wagner arbeitete nach dem Abschluss seines Mathematikstudiums an der TH Darmstadt mehrere Jahre als quantitativer Analyst im Aktien-Fondmanagement. Nach Abschluss einer akademischen Phase an der TH Karlsruhe ist er seit dem Jahr 2004 für die Energie BadenWürttemberg AG tätig. Hier arbeitete er zunächst im Risikomanagement des Konzerns und war für Fragestellungen aus den Bereichen des Stromhandels und der Stromnetze zuständig. Inzwischen ist er für die mathematische Modellierung europäischer Strommärkte verantwortlich. Andreas Lackner hat 1993 sein Studium als Diplom-Kaufmann an der Ludwig-Maximilians-Universität in München abgeschlossen. Seit dieser Zeit ist er in verschiedenen Positionen im Finanzbereich tätig gewesen. Bei der ASL Auto-Service Leasing GmbH (ASL) leitete er acht Jahre den Bereich Finance & Risk und war u.a. für das unternehmensweite Risikomanagement zuständig. Nach dem Verkauf der ASL an General Electric zu Beginn des Jahres 2007 ist er für den Bereich Asset Management verantwortlich. Die Hauptaufgabe liegt hier in der fairen Einstufung von Restwerten, um so das Verwertungsrisiko der Fahrzeugrückläufer zu begrenzen. Dr. Gerrit Jan van den Brink ist als Partner der Finecs Business Consulting GmbH und Geschäftsführer der ValueData7 GmbH tätig. Er hat an der Erasmus Universität Rotterdam promoviert und ist Wirtschaftsprüfer. Von 2001 bis 2006 war er Head of Operational Risk Control bei der Dresdner Bank AG und verantwortete die Entwicklung und Implementierung der
Autorenverzeichnis
237
Operational-Risk-Methodologie und des internen Risikokapitalmodells. In früheren Funktionen war er bei zeb/rolfes.schierenbeck.associates für den Aufbau des Bereiches Operational Risk zuständig. Bei der Rabobank war er in der internen Revision, im Controlling, IT- und Operations Management tätig. Zuletzt war das Management des Operational Risk eine seiner wesentlichen Aufgaben. Er ist Autor des Buches „Operational Risk, the new challenge for banks“ und hat mehrere Bücher und Artikel zu den Themen Operations Management, Corporate Governance und Operational Risk Management veröffentlicht. Dr. van den Brink ist Lehrbeauftragter an der Johann-Wolfgang Goethe Universität in Frankfurt am Main, an der Hochschule für Bankwirtschaft und an der Nyenrode University in den Niederlanden. Neben Jan Offerhaus, Mario Hempel und Dr. Dirk Metzger haben bei der Erstellung des Buches im Review Board auch Dr. Agatha Kalhoff und Bert Stahlmann mitgewirkt. Dr. Agatha Kalhoff ist Geschäftsführerin des Unternehmens Dr. Kalhoff BII. Nach dem Studium der Mathematik und einer Tätigkeit als wissenschaftliche Angestellte war Frau Dr. Kalhoff zunächst als Projektleiterin bei der Zentrale der Deutschen Bundesbank in Frankfurt am Main tätig. Nach einem Wechsel in den Handelsbereich einer Geschäftsbank übernahm sie bei dieser Bank später die Leitung des Bereichs Risikocontrolling. Nach Aufbau und Leitung der deutschen „Capital Markets Group“ einer der vier großen Wirtschaftsprüfungsgesellschaften wechselte sie zum Finanzkonzern „Zurich Financial Services“ in die Schweiz, wo sie als Managing Director bei einer Tochterfirma die Leitung der Beratungstätigkeiten für Unternehmen in Kontinentaleuropa innehatte. Bert Stahlmann, Dipl.-Kfm., MBA, ist Leiter der Abteilung Versicherungsverbriefung bei der Commerzbank AG in Frankfurt am Main. Nach dem Studium der Wirtschaftswissenschaften an der Universität Mannheim und der University of Hartford war Herr Stahlmann zunächst als Assistent des Vorsitzenden der Geschäftsführung im Finanzbereich der DaimlerBenz Inter Services (debis) AG in Stuttgart und Berlin tätig. Danach folgte die Übernahme der Industry Practice Automotive bei der Swiss Re in Zürich. Der Schwerpunkt lag dort auf der Strukturierung und Platzierung von innovativen Risikofinanzierungslösungen für Automobilhersteller und deren Zulieferer. Im Anschluss daran setzte Herr Stahlmann derartige Lösungen branchenübergreifend für Marsh & McLennan Companies in Kontinentaleuropa um.
Literaturverzeichnis
Literaturverzeichnis agens Revisionswelt (ohne Datum) Der Sarbanes-Oxley Act (SOX). http://www2.agens.com/sox_inhalte-site-revwelt.html Bechhofer S (2001) Risiko- und Chancenmanagement in einem Technologieunternehmen. In: Allianz Report 2/2001. S 48–49 Beck A et al. (2006) Copulas im Risikomanagement. In: Zeitschrift für das gesamte Kreditwesen 14/2006. S 29–33 Bessis J (2002) Risk Management in Banking. Wiley Verlag, Weinheim BIS - Bank For International Settlements (2001–2006) Quantitative Impact Studies (QIS): Overview of documents. http://www.bis.org/bcbs/qis Bitz H (2000) Risikomanagement nach KonTraG – Einrichtung von Frühwarnsystemen zur Effizienzsteigerung und zur Vermeidung persönlicher Haftung. Schäffer-Poeschel Verlag, Stuttgart BMJ - Bundesministerium der Justiz (1998) Bundesgesetzblatt 1998 Teil I Nr. 24, ausgegeben zu Bonn am 30. April 1998. Bundesanzeiger Verlagsgesellschaft m.b.H., Bonn, http://www.bgblportal.de/BGBL/bgbl1f/b198024f.pdf Brandt W (2005) Den strategischen Wandel der SAP unterstützen. In: SAP Info September 2005. S 18 f Carol A, Pézier J (2003) On the Aggregation of Market and Credit Risks, ISMA Centre Discussion Papers in Finance 2003-13. University of Reading (UK) Contingency Analysis (2002) Value-at-Risk. http://www.riskglossary.com/articles/value_at_risk.htm
240
Literaturverzeichnis
Contingency Analysis (2005) Stress Testing. http://www.riskglossary.com/articles/stress_testing.htm COSO (2004) Unternehmensweites Risikomanagement – Übergreifendes Rahmenwerk: Zusammenfassung. Jersey City (USA) Denk R, Exner-Merkelt K (2005) Corporate Risk Management – Unternehmensweites Risikomanagement als Führungsaufgabe. Linde, Wien Deutsche Bundesbank (2004) Monatsbericht September 2004: Neue Eigenkapitalanforderungen für Kreditinstitute (Basel II). Frankfurt am Main Deutsches Rechnungslegungs Standards Committee e.V.(2001) Deutscher Rechnungslegungs Standard Nr. 5. Berlin Fachgremium operationelles Risiko (2007) Empfehlung des Fachgremiums OpR zur Berücksichtigung von Korrelationen im AMA. http://www.bundesbank.de Financial Services Authority UK (2002) Consultation Paper 142 – Operational Risk Systems and Controls. http://www.fsa.gov.uk/pubs/cp/cp142.pdf Frey HC, Nießen G (2004) Monte Carlo Simulation. Quantitative Risikoanalyse für die Versicherungsindustrie. Murmann Verlag, Hamburg Gleißner W (2001) Identifikation, Messung und Aggregation von Risiken. In: Gleißner W, Meier G (Hrsg) Wertorientiertes Risiko-Management für Industrie und Handel. Gabler Verlag, Wiesbaden Gleißner W (2003) Balanced Scorecard und Risikomanagement als Bausteine eines integrierten Managementsystems. In: Romeike F, Finke R (Hrsg) Erfolgsfaktor Risiko-Management. Gabler Verlag, Wiesbaden Gleißner W (2004a) Auf nach Monte Carlo – Simulationsverfahren zur Risikoaggregation. In: RiskNews 1/2004. S 31–37 Gleißner W (2004b) Die Aggregation von Risiken im Kontext der Unternehmensplanung. In: ZfCM Zeitschrift für Controlling und Management 5/2004. S 350–359
Literaturverzeichnis
241
Gleißner W, Wolfrum M (2006) Risk-Map und Risiko-Portfolio: Eine kritische Betrachtung. In: ZfV Zeitschrift für Versicherungswesen 5/2006. S 149–153 Heiden K, Weiss CP (Hrsg) (2002) Kommentierung des §91 AktG (Organisation; Buchführung). In: Küting, Weber Handbuch der Rechnungslegung - Einzelabschluss, 5. Aufl., Schäffer-Poeschel Verlag, Stuttgart Hofmann G (Hrsg) (2007) Basel II und MaRisk: Regulatorische Vorgaben, bankinterne Verfahren, Risikomanagement. Bankakademie-Verlag, Frankfurt am Main Hofmann M (2002) Identifizierung, Quantifizierung und Steuerung operationeller Risiken in Kreditinstituten. Bankakademie-Verlag, Frankfurt am Main Institut der Wirtschaftsprüfer (2000) Prüfungsstandard IDW PS 340. In: WPg Die Wirtschaftsprüfung 16/1999, S 658 ff Jokisch J (1987) Betriebwirtschaftliche Währungsrisikopolitik und internationales Finanzmanagement. Schäffer-Poeschel Verlag, Stuttgart Jorion P (2007) Value-at-Risk – The New Benchmark for Managing Financial Risk, 3rd edn, McGraw-Hill, New York Kajüter P (2004) Die Regulierung des Risikomanagements im internationalen Vergleich. In: ZfCM Zeitschrift für controlling und Management Sonderheft 3/2004, S 16–19 Kalhoff A, Haas M (2004) The Loss Data Situation. In: GARP Risk Review März/April 2004. S 21–23 Karten W (1972) Die Unsicherheit des Risikobegriffes. In: Braess P, Farny D, Schmidt R (Hrsg) Praxis und Theorie der Versicherungsbetriebslehre. Festgabe für H.L.Müller-Lutz zum 60. Geburtstag. Verlag Versicherungswirtschaft, Karlsruhe, S 147–169 Kull A (2004) Solvency II: Ein neues Aufsichtsmodell für die Versicherungswirtschaft in der EU. Vortragsreihe Finanz- und Versicherungsmathematik. Technische Universität Wien, http://www.converium.com/media/SolvencyII_Conv_20040122.pdf
242
Literaturverzeichnis
Leitermann J (2005) Einbindung des Value@Risk Ansatzes in das operative Risikomanagement der SAP AG. Diplomarbeit Fachhochschule Ludwigshafen am Rhein (unveröffentlicht) Lenzmann B (2007) Management von Operationellen Risiken in Finanzinstituten: Quantitative Verfahren. In: Kaiser T (Hrsg) Wettbewerbsvorteil Risikomanagement – Erfolgreiche Steuerung der Strategie-, Reputations- und operationellen Risiken. Schmidt Verlag, Berlin, S 195– 210 Lischke T, Offerhaus J (2005) Risikomanagement und Früherkennung bestandsgefährdender Entwicklungen. In: Schüppen M, Schaub B (Hrsg) Münchener Anwaltshandbuch Aktienrecht. Beck Juristischer Verlag, München, S 526–538 Markowitz HM (1952) Portfolio Selection. In: Journal of Finance 7/1952. S 77–91 Merbecks A et al. (2004) Intelligentes Risikomanagement. Das Unvorhersehbare meistern. Redline Wirtschaftsverlag, Frankfurt Wien Mina J, Yi Xiao J (2001) Return to RiskMetrics – The Evolution of a Standard. http://www.riskmetrics.com/r2rovv.html Minz KA (2004) Operationelle Risiken in Kreditsinstituten. Bankakademie-Verlag, Frankfurt am Main Mucic L (2004) Die Umsetzung des Sarbanes-Oxley Act bei der SAP AG, Fokus Internes Kontrollsystem (Sec. 404, 302 SOA). In: Menzies C (Hrsg) Sarbanes-Oxley Act Professionelles Management interner Kontrollen. Schäffer-Poeschel Verlag, Stuttgart, S 323 ff Mucic L (2006) Vom Projekt zum Prozess am Beispiel der SAP AG Nachhaltigkeit und Mehrwert der Unternehmensinternen SOXCompliance Anstrengungen sichern. In: Menzies C (Hrsg) SarbanesOxley und Corporate Governance, Nachhaltigkeit, Optimierung, Integration. Schäffer-Poeschel Verlag, Stuttgart, S 450 ff Overbeck L (2006) Integration of Credit and Market Risk. In: Ong MK (Hrsg) Risk Management - A modern Perspective. Academic Press, London (UK)
Literaturverzeichnis
243
Paul S (2002) Basel II im Überblick. In: Hofmann G (Hrsg) Basel II und MaRisk: Regulatorische Vorgaben, bankinterne Verfahren, Risikomanagement. Bankakademie-Verlag, Frankfurt am Main, S 5–44. Pechtl A (2003) Ein Rückblick: Risikomanagement von der Antike bis heute. In: Romeike F, Finke R (Hrsg) Erfolgsfaktor Risiko-Management. Gabler Verlag, Wiesbaden Petry M et al. (2006) Quantifizierung operationeller Risiken. Studie der Fachhochschule für Wiesbaden und Dr. Peter & Company, http://www.pco-ag.de/pco/fileadmin/download/PCo_Studie_OR_ Quantifizierung_10_06.pdf Pfennig M (2000) Shareholder Value durch unternehmensweites Risikomanagement. In: Johanning L, Rudolph B Handbuch Risikomanagement. Bd 2, Uhlenbruch Verlag, Bad Soden/Ts., S 1296–1332 Pfeifer G, Ulrich W, Wimmer K (Hrsg) (2006) MaRisk Umsetzungsleitfaden – Neue Planungs-, Steuerungs- und Reportingpflichten gemäß Mindestanforderungen an das Risikomanagement. Bank-Verlag, Köln Picot G (2001) Überblick über die Kontrollmechanismen im Unternehmen nach KonTraG. In: Lange KW, Wall F (Hrsg) Risikomanagement nach KonTraG – Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht. Vahlen Verlag, München, S 5–37 Professional Risk Managers’ International Association/SunGard BancWare (2007) Risk Adjusted Performance Measurement, A Tool for the Global Finance Industry – Full Report 3/2007. RMG - RiskMetrics Group (1996) RiskMetrics – Technical Document. http://www.riskmetrics.com/pdf/dnldtechdoc/td4e.pdf Romeike F (2003) Bewertung und Aggregation von Risiken. In: Romeike F, Finke R (Hrsg) Erfolgsfaktor Risiko-Management. Gabler Verlag, Wiesbaden Smith A (1999) The Wealth of Nations. Regnery Gateway, London Todhunter I (1865) A history of the mathematical theory of probability: From the time of Pascal to that of Laplace. MacMillan, Cambridge et al.
244
Literaturverzeichnis
Vogler M, Engelhard S, Gundert M (2000) Risikomanagementsysteme – Stand der Umsetzung. In: DB Der Betrieb 29/2000. S 1425–1431 Van den Brink GJ (2002) Operational Risk, The new challenge for Banks. Palgrave Publishers Ltd, Basingstoke, Hampshire (UK) Van den Brink GJ (2003) Quantifizierung operationeller Risiken und die Einbettung in den Management-Zyklus. In: RiskNews 1/2003. S 26–36 Van den Brink GJ (2004) Alles im Grünen Bereich. In: RiskNews 1/2004. S 39–43 Van den Brink GJ, Ulrich A (2004) Implementing a Basel II ScenarioBased AMA for Operational Risk. In: Ong MK (Hrsg) The Basel Handbook, A Guide for Financial Practitioners, Risk Books. London Von Metzler L (2004) Risikoaggregation im industriellen Controlling. Josef Eul Verlag, Lohmar Weisstein EW (2003) Beta Distribution. In: MathWorld – A Wolfram Web Resource. http://mathworld.wolfram.com/BetaDistribution.html Wittmann E (2001) Risikomanagement als Bestandteil des Planungs- und Kontrollsystems. In: Lange KW, Wall F (Hrsg.) Risikomanagement nach KonTraG – Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht. Vahlen Verlag, München, S 275–276
Abbildungsverzeichnis
Abbildungsverzeichnis Abb. 1. Histogramm für die Ergebnisse einer Handlung...........................21 Abb. 2. Wertveränderungen zweier Portfolios ..........................................23 Abb. 3. Dichtefunktion von N(µ,σ) für verschiedene Parameterpaare (µ,σ) ....................................................................24 Abb. 4. α-Quantil und Value-at-Risk ........................................................26 Abb. 5. Value-at-Risk-Berechnung über die Normalverteilung ................27 Abb. 6. Kumulierte Verteilungsfunktion von POISSON-Verteilungen ....30 Abb. 7. (µ,σ) des Portfolios aus A und B in Abhängigkeit von ρ .............35 Abb. 8. Deterministisches Modell .............................................................40 Abb. 9. Stochastisches Modell...................................................................40 Abb. 10. Erzeugung von normalverteilten Zufallsvariablen......................42 Abb. 11. Latin-Hypercube-Methode..........................................................43 Abb. 12. Die Organisationsstruktur der SAP.............................................53 Abb. 13. Die operationellen Kernrisiken der SAP.....................................55 Abb. 14. Die Risikomanagementorganisation ...........................................57 Abb. 15. Zuordnung von Risikoniveaus ....................................................59 Abb. 16. Aufbauorganisation der BLG LOGISTICS GROUP..................79 Abb. 17. Zusammenwirken der Risiken ....................................................81 Abb. 18. Struktur der Risikokommunikation.............................................83 Abb. 19. Grundsätzliche Vorgehensweise im Risikomanagementprozess 84 Abb. 20. Softwaregestützte Expertenschätzung.........................................86 Abb. 21. Beispiel für gruppierte Risikodarstellung ...................................88 Abb. 22. Integriertes Risikomanagement...................................................97 Abb. 23. Dimensionen des integrierten Risikomanagements ....................98 Abb. 24. Chancen- und Risikofelder bei Fahrzeugprojekten...................102 Abb. 25. Ermittlung des Chancen-/Risikoprofils bei Fahrzeugprojekten 104 Abb. 26. Festlegung des Risikokapitals und der Risikotoleranz..............106 Abb. 27. Überblick konzernweites Risikomanagement...........................113 Abb. 28. ERM befasst sich mit drei zentralen Risikogruppen.................115 Abb. 29. Grundsätzliches Vorgehen zur Quantifizierung der Gesamtrisiken ...........................................................................117 Abb. 30. Prozessschritte der Risikoquantifizierung.................................118
246
Abbildungsverzeichnis
Abb. 31. Quantifizierung von Störfällen in Produktionsanlagen.............120 Abb. 32. Wahrscheinlichkeitsverteilung der Simulationsergebnisse.......121 Abb. 33. Zeitliche Entwicklung der Simulationsergebnisse ....................121 Abb. 34. Aufgliederung strategischer Risiken (Risikopyramide)............122 Abb. 35. Priorisierung wichtiger Maßnahmen zur Risikominderung......125 Abb. 36. Beispiel regelmäßiger Risikoberichte für die Geschäftsführung ......................................................................127 Abb. 37. Portfolioentwicklung auf Konzern- und Geschäftsbereichsebene ............................................................128 Abb. 38. Überblick Risikomanagement und Risikocontrolling...............133 Abb. 39. Risiko = Abweichung vom bzw. Streuung um den Planwert ...137 Abb. 40. Ergebnis einer Monte-Carlo-Simulation mittels Crystal Ball® 138 Abb. 41. Im Zeitverlauf schwankende Korrelation am Beispiel Strom versus CO2................................................................................140 Abb. 42. Die Energie Baden-Württemberg AG.......................................148 Abb. 43. Arbeitsausnutzung ohne Plan-NV deutscher KKW (1994–2004)..............................................................................155 Abb. 44. Häufigkeitsverteilung der historischen Arbeitsausnutzung ohne Plan-NV ....................................................................................156 Abb. 45. Simulierte Verteilung des Deckungsbeitragsverlusts ...............159 Abb. 46. Gesellschaftsstruktur des Axpo-Konzerns ................................161 Abb. 47. Corporate Risk Management im Axpo-Konzern ......................165 Abb. 48. Risikomanagement-Prozess des Axpo-Konzerns .....................167 Abb. 49. Ablauf des Simulationsprozesses..............................................170 Abb. 50. Risikoaggregation .....................................................................172 Abb. 51. Vorgehen zur Evaluation einer neuen GuD-Investition............173 Abb. 52. Risikosteuerung im Axpo-Konzern ..........................................174 Abb. 53. Risikomanagement-Prozess bei ASL........................................180 Abb. 54. Schema Risikoportfolio ............................................................182 Abb. 55. VaR des Verwertungsergebnisses.............................................188 Abb. 56. Risikomanagement als Werttreiber...........................................192 Abb. 57. Basisbegriffe .............................................................................197 Abb. 58. Internes Modell .........................................................................199 Abb. 59. Monte-Carlo-Simulation ...........................................................199 Abb. 60. Effekte der Gruppierung von Schäden aus einem Ereignis ......199 Abb. 61. Korrelationen ............................................................................199 Abb. 62. Aggregation von Risikoindikatoren ..........................................199
Tabellenverzeichnis
Tabelle 1. Ergebnisklassen, absolute und relative Häufigkeiten ...............20 Tabelle 2. Skala der Risikoklassen ............................................................36 Tabelle 3. Schadenswahrscheinlichkeit und Impact ..................................59 Tabelle 4. Priorisierung von Risiken .........................................................60 Tabelle 5. Klassifizierung von Eintrittswahrscheinlichkeiten ...................62 Tabelle 6. Beispielhaftes Risikoprotokoll..................................................70 Tabelle 7. Impact Niveau Matrix ...............................................................72 Tabelle 8. Zuordnung von PxI Werten zu Risikoniveaus ..........................73 Tabelle 9. Risikoartenclusterung .............................................................154 Tabelle 10. Fiktiver Kraftwerkspark........................................................158 Tabelle 11. Jahres-Base und -Peak an der EEX.......................................158 Tabelle 12. Quantile der geschätzten Verteilung.....................................158 Tabelle 13. Einteilung des zu tragenden Risikowertes in Schadenklassen .....................................................................184 Tabelle 14. Bewertung der Eintrittswahrscheinlichkeit...........................184 Tabelle 15. Beispiel für die Aggregation des Ausfall-/Bonitätsrisikos ...186 Tabelle 16. Beispiel für Aggregation Zinsänderungsrisiko .....................186
Sachverzeichnis
Sachverzeichnis Basler Eigenkapitalakkord 5, 6, 196, 210 COSO 8, 149 KonTraG 3, 15, 136 Portfolio-Theorie 35 Risiko 18, 80, 95, 133, 149, 164, 180, 193 Siehe Risiko Einzelrisiko Finanzrisiko 54, 97, 116, 180 Kreditrisiko 116, 165, 194 Liquiditätsrisiko 195 Marktpreisrisiko 194 Marktrisiko 54, 116, 165, 180 operationelles Risiko 53, 116, 118, 165, 194, 221 operatives Risiko 80, 96 Projektrisiko 54, 101, 115, 142 strategisches Risiko 53, 96, 116, 118, 165, 195, 221 Risikoaggregation 15, 62, 84, 100, 119, 135, 151, 169, 186, 193 Copulas 224 Crystal Ball 138, 157, 170 Diversifikation 35, 204 Gesamtrisikoposition 6, 16, 28, 70, 72, 105, 144 Korrelation 67, 119, 139, 204, 222 Monte-Carlo-Simulation 39, 119, 135, 157, 170, 203, 221 Neubewertung auf höherer Ebene 66, 153, 224 Rating 216 Risk Map 88, 183, 214 Scoring 186, 216 Risikoexposure 69, 172 Risikoinventar 56, 183 Risikokapital 12, 105, 196, 198 Risikokapitalallokation 106, 176 Risikomanagement 15, 56, 82, 93, 112, 132, 149, 164, 181, 193 Corporate Risk Management 8, 112, 164
250
Sachverzeichnis
Enterprise Risk Management Siehe Corporate Risk Management integriertes Chancen- und Risikomanagement 94 MIS Riskmanagement 84, 134 Risikoeigner 134, 165, 182 Risikomanagementeinheit 57, 99, 112, 134, 149, 165 Risikomanagementhandbuch 189 Risikomanagementorganisation 56, 82, 98, 134, 165, 181 Risikomanagementprozess 82, 167, 181 Risikoreporting 90, 127, 141, 150, 174, 181 Risikorichtlinie 57, 83 Risikoprofil 103, 119, 197 Risikoquantifizierung 19, 58, 84, 100, 116, 137, 149, 168, 184, 201 Cashflow-at-Risk 103, 219 Datenherkunft 46, 103, 199 Dichtefunktion 24 Eintrittswahrscheinlichkeit 59, 116, 149, 170, 185 Erwartungswert 19, 36, 103, 217 Konfidenzniveau 22, 106, 120, 151, 159, 198 Normalverteilung 24 Siehe Konfidenzniveau Quantil Relevanzklasse 85 Schadenhöhe 21, 149, 185 Standardabweichung 21 Value-at-Risk 6, 23, 70, 137, 151, 188, 218 Varianz-Kovarianz-Verfahren 37 Verteilungsfunktion 26, 170, 203 Wahrscheinlichkeitsverteilung 94, 117, 121, 138 Zufallsvariable 19 Risikotoleranz 106, 196