Das Risikomanagementsystem

Einleitung

Jedes Unternehmen agiert unter Unsicherheit. Die Herausforderung für das Management besteht darin, zu entscheiden, wie groß die Unsicherheit im Rahmen der unternehmerischen Tätigkeit werden darf bzw. wie viel Risiko das Unternehmen bereit ist einzugehen. Der Unternehmenswert kann folglich durch unternehmerische Entscheidungen sowohl vermehrt als auch vermindert werden.

Der Umgang mit solchen Risiken erfolgt über das Risikomanagement:[1]

Risikomanagement Strukturierter Umgang mit Chancen und Risiken im Unternehmen.
Risikomanagementsystem Gesamtheit aller Regelungen, die einen strukturierten Umgang mit Risiken oder mit Chancen und Risiken im Unternehmen bzw. Konzern sicherstellen.

Aus der heutigen Perspektive kann Risikomanagement nur durch eine unternehmensweite, ganzheitliche und antizipative Betrachtung sämtlicher Risiken in einem bereichsübergreifenden Prozess sinnvoll und effektiv betrieben werden. Die Risiken werden nicht mehr isoliert betrachtet, sondern werden im Unternehmenskontext global analysiert. Der mit dieser Zielsetzung ausgerichtete Risikomanagementprozess wird auch als Enterprise Risk Management (ERM) bezeichnet.

Unter Corporate Governance Gesichtspunkten fließen die betriebswirtschaftlichen Anforderungen an das Risikomanagement in verschiedene Gesetze ein. Für Versicherungsunternehmen sind hier das Aktien- und das Aufsichtsrecht entscheidend.

Nach § 26 Abs. 1 S. 1 VAG müssen Versicherungsunternehmen über ein wirksames Risikomanagementsystem verfügen, das gut in die Organisationsstruktur und die Entscheidungsprozesse des Unternehmens integriert ist und dabei die Informationsbedürfnisse der Personen, die das Unternehmen tatsächlich leiten oder andere Schlüsselfunktionen innehaben, durch eine angemessene interne Berichterstattung gebührend berücksichtigt.

Der Risikomanagementprozess

Ausgangspunkt sind die von der Geschäftsführung formulierten zentralen Unternehmensziele als definiertes Ambitionsniveau im Hinblick auf

  • Gewinn,
  • Wachstum,
  • Sicherheit und
  • Steigerung des Unternehmenswertes.

Die so vorgegebenen Unternehmensziele werden über eine Gesamtplanung mit aufeinander aufbauenden Teilplänen als konkrete Geschäftsstrategie umgesetzt.

Die Geschäftsstrategie, deren Festlegung durch die Geschäftsleitung erfolgt und auf keinen gesetzlichen Vorgaben beruht, beschreibt die geschäftspolitische Ausrichtung (z. B. Art des Geschäftes), die Zielsetzungen (z. B. Beitragsvolumen, Gewinnerwartung, Kosten) sowie Planungen des Versicherungsunternehmens unter Beachtung der nachhaltigen Geschäftserwartungen über einen angemessenen Zeithorizont. Die Geschäftsstrategie ist regelmäßig (oder ad hoc) zu überprüfen und entsprechend anzupassen.[2]

Die Geschäftsstrategie bildet somit die Grundlage für das gesamte Risikomanagement im Unternehmen. Das Risikomanagementsystem muss dazu nach § 26 Abs. 1 S. 2 VAG die Strategien, Prozesse und internen Meldeverfahren umfassen, die erforderlich sind, um Risiken, denen das Unternehmen tatsächlich oder möglicherweise ausgesetzt ist, zu identifizieren, zu bewerten, zu überwachen und zu steuern sowie aussagefähig über diese Risiken zu berichten.

Zur Unternehmenssteuerung kann der Aufbau eines Risikomanagementprozesses verschiedenartig skizziert und beschrieben werden.[3]

Risikomanagementsystem

Risikomanagementprozess

Zum klassischen Aufbau eines Risikomanagementprozesses gehören die Prozessschritte der Risikoanalyse, der Risikosteuerung sowie der Risikokontrolle und Berichterstattung. Die Risikoanalyse beinhaltet die Identifizierung, Beurteilung und Bewertung von Risiken sowie deren Aggregation.

Risikostrategie

Die Risikostrategie ist dem eigentlichen Risikomanagementprozess vorgelagert und basiert auf der Geschäftsstrategie. Sie ist nach § 26 Abs. 2 VAG aufsichtsrechtlich vorgeschrieben und soll auf die Unternehmenssteuerung abgestimmt sein. Dabei hat sie Art, Umfang und Komplexität des betriebenen Geschäfts und der mit ihm verbundenen Risiken zu berücksichtigen.

Die Aufgabe der Risikostrategie ist es, die Auswirkungen der Geschäftsstrategie auf die Risikosituation des Unternehmens zu beschreiben (Einfluss auf die Wirtschafts-, Finanz- oder Ertragslage). Sie soll den Umgang des Unternehmens mit vorhandenen Risiken wiedergeben und deren Fähigkeit, neu hinzukommende Risiken zu tragen.

Die Risikostrategie soll auf folgende Punkte im Einzelnen eingehen:

  • Art (Welche Risiken sollen überhaupt eingegangen werden?),
  • Risikotoleranz (Welche Höhe des Risikos wird gewählt?),
  • Herkunft (Woher stammt das Risiko?),
  • Zeithorizont (Welche Risiken über welche Zeitperiode werden betrachtet?) ,
  • Risikotragfähigkeit (Wie ist das Risikodeckungspotenzial?).

Bei der Formulierung der Risikostrategie ist dabei besonders auf die Konsistenz dieser zur Geschäftsstrategie zu achten. Genau wie diese sollte die Risikostrategie regelmäßig (bzw. ad hoc) durch die Geschäftsleitung überprüft werden.[4]

Risikoidentifizierung

Risiken ergeben sich aus der Geschäftsstrategie und allen daraus abgeleiteten operativen Tätigkeiten. Um den Umgang mit den Risiken vorgeben zu können, müssen diese zunächst identifiziert werden. Ziel ist dabei die frühzeitige Erkennung von (den Fortbestand der Gesellschaft)[5] gefährdenden Entwicklungen. Dies beinhaltet die möglichst vollständige Erfassung aller Risikobereiche, Risikoursachen und Risikoobjekte.

Risikoidentifizierung beschreibt die Suche und Bestimmung aller Einzelrisiken sowie das Bilden von Risikogruppen und -kategorien. Sie liefert damit Informationen, welche unerlässlich sind, um anschließend Risiken systematisieren, analysieren und bewerten zu können. Denn es können verständlicherweise ausschließlich Risiken bewertet werden, die zuvor identifiziert wurden. Ziel der Risikobewertung ist es, die Ausmaße und Auswirkungen der Risikoarten oder -gruppen zu bestimmen und ihnen eine entsprechende Bedeutung beizumessen. Indem gleichartige Risiken zusammengefasst werden, erhalten Unternehmen einen besseren Überblick hinsichtlich der Risiken und der damit verbundenen Chancen. Eine Risikokategorisierung vereinfacht den gesamten Prozess der Risikoanalyse, insbesondere der Bewertung eines Risikokapitalbedarfs sowie der Erfassung von Diversifikationseffekten. Auch bietet sie den Unternehmen die Möglichkeit, verschiedene Risikoarten mit entsprechend zugeschnittenen Maßnahmen und Instrumentarien zu steuern.

Die Methoden zur Risikoidentifizierung sind vielfältig und können in zwei Bereiche unterteilt werden: Managementmethoden und unterstützende Methoden zur Informationssammlung und -generierung. Unter Managementmethoden werden Analyseansätze verstanden, die im Unternehmen sowohl zur Aufdeckung von Risiken als auch zur Bildung der Geschäfts- und Risikostrategie verwendet werden. Hierzu zählen beispielsweise Wertschöpfungsketten, SWOT-Analysen, Benchmarks, die Balanced Scorecard etc. Um Informationen zu sammeln oder zu generieren, die bei Anwendung der Managementmethoden weiter verarbeitet oder strukturiert werden können, eignen sich dann verschiedene Kollektions- und Suchmethoden wie Checklisten, Dokumentenanalysen, Fehlerbaumanalysen, Brainstorming oder Szenario-Techniken.

Das Übersehen von Risiken oder deren zu späte Identifizierung kann zu unternehmerischen Gefahren – bis hin zur Existenzgefährdung – führen. Eine spätere Fehlerkorrektur erweist sich häufig als schwierig. Oftmals ist sie mit einem hohen Kostenaufwand verbunden. In der Unternehmenspraxis besteht u. U. aber auch die Gefahr, dass ein späteres Eingreifen nicht mehr möglich ist. Da Unternehmen in der heutigen Zeit einem ständigen Wandel und neuen Rahmenbedingungen ausgesetzt sind, ist eine kontinuierliche und systematische Risikoidentifizierung und -beobachtung unabdingbar.

Das Ergebnis der Risikoidentifizierung ist eine strukturierte Darstellung von allen bestehenden und potenziellen Risiken inklusive ihrer Auswirkungen in einem Risikoinventar (Risikokatalog). Ziel der Risikoidentifizierung ist eine möglichst konsistente und überschneidungsfreie Bestandsaufnahme aller Risiken. Durch den Risikoidentifizierungsprozess wird das Gesamtrisikoprofil eines Unternehmens bestimmt.

Für Versicherungsunternehmen hat nach § 26 Abs. 5 VAG das Risikomanagementsystem sämtliche Risiken des Versicherungsunternehmens zu umfassen und insbesondere die folgenden Bereiche abzudecken:

  1. Zeichnung von Versicherungsrisiken und die Bildung von Rückstellungen,
  2. Aktiv-Passiv-Management,
  3. Kapitalanlagen, insbesondere Derivate und Instrumente von vergleichbarer Komplexität,
  4. Steuerung des Liquiditäts- und des Konzentrationsrisikos,
  5. Steuerung operationeller Risiken,
  6. Rückversicherung und andere Risikominderungstechniken.

Die MaGo spezifizieren dann, dass bestimmte Anforderungen sich nicht auf sämtliche, sondern nur auf wesentliche Risiken beziehen. Zur Bestimmung aller wesentlichen Risiken anhand geeigneter und nachvollziehbarer Kriterien sind angemessene unternehmensindividuelle Wesentlichkeitsgrenzen festzulegen. Separate Wesentlichkeitsgrenzen sind mindestens für die Risikokategorien versicherungstechnisches Risiko, Marktrisiko, Kreditrisiko, Liquiditätsrisiko und operationelles Risiko zu ermitteln.[6]

Risikobewertung

Die Risikobewertung verfolgt das Ziel, das von den identifizierten Risiken ausgehende Gefahrenpotenzial transparent zu machen und deren Wirkung offen zu legen. Dies geschieht durch die Analyse, welche Bedrohungen von den Risiken ausgehen. Basis dieser Analyse ist die Festlegung von Wesentlichkeitsgrenzen, wobei es Risiken gibt, die quantitativ und andere, die lediglich qualitativ beurteilt werden können.

Die Risikobewertung dient dabei einerseits als Grundlage für die Festlegung der Maßnahmen im Rahmen der Risikosteuerung. Andererseits dient sie zur Bestimmung des einzelnen Risikokapitalbedarfs als Basis für die daran anschließende Aggregation zur Ermittlung eines Gesamtrisikokapitalbedarfs.

In dem ersten Schritt der Bewertung können Risiken durch folgende Methoden eingeschätzt werden („Allgemeine Bewertungs-/Beurteilungsmethoden“):

  • Relevanzeinschätzungen,
  • Scoring-Modelle,
  • ABC/XYZ-Analysen,
  • Ratings (Qualitätsstufen).

Durch diese Methoden können die unterschiedlichen Aspekte eines Risikos verdichtet und die Komplexität der realen Gegebenheiten reduziert werden. Dabei besteht auch die Möglichkeit, Risiken in eine Reihenfolge („Ranking“) zu bringen und entsprechend zu analysieren. Des Weiteren können wesentliche von unwesentlichen Risiken getrennt werden, um einen unwirtschaftlichen Mehraufwand im weiteren Bewertungsverfahren zu verhindern.

Infolgedessen werden im zweiten Schritt meist nur Risiken intensiver untersucht und präziser bewertet, die nach erster Einschätzung wesentlich für das Unternehmen sind. Dies geschieht durch eine Quantifizierung, die mit Hilfe statistischer Methoden und unter Zugrundelegung eindeutig definierter Größen Risiken misst und die Auswirkungen im Zusammenspiel mit anderen Risiken beurteilt.

Dies kann bspw. durch folgende Methoden erreicht werden („Methoden zur Bewertung des Risikoausmaßes“):

  • Ratings (Ausfallwahrscheinlichkeiten),
  • Quantitative Risikomatrix,
  • Wahrscheinlichkeitsverteilungen,
  • Stresstests und Szenariorechnungen.

Da komplexere Bewertungsmethoden fehleranfällig sein können, sind an die Bewertung bestimmte Qualitätsanforderungen zu stellen. Grundsätzlich sind anerkannte Risikobewertungsmethoden zu verwenden. Um eine Willkürlichkeit zu vermeiden, ist ein unternehmensweites einheitliches Sicherheitsniveau zu unterstellen. Die zu schätzenden Parameter sollten so gewählt und bestimmt werden, dass eine Vergleichbarkeit und Transparenz gegeben ist. Dort, wo es die Bewertung zulässt, sollten im Idealfall vorhandene aktuelle Marktdaten zum Einsatz kommen.

Aggregation

Ziel der Aggregation im Rahmen der Bewertung ist es, den gesamten Risikokapitalbedarf eines Unternehmens zu ermitteln, welcher sich auf die Entwicklung von Eigenkapital und Gewinn auswirken kann. Hierfür bedarf es einer allgemein gültigen Definition des Gesamtrisikos auf Basis aller Einzelrisiken. Dabei ist die Aggregation nicht zu verwechseln mit der Summe der Einzelrisiken. Die aggregierten Einzelrisiken sind – sofern keine vollständig positive Korrelation vorliegt – grundsätzlich kleiner als die Summe aller Einzelrisiken. Grund hierfür ist die Diversifikation, bei der der Risikoausgleichseffekt zwischen den Einzelrisiken berücksichtigt wird.

Die Frage, die sich an die Bestimmung des gesamten Risikokapitalbedarfs anschließt, ist, inwiefern dieses Risiko durch das Unternehmen auch getragen werden kann. Weist es ausreichend hohes ökonomisches Eigenkapital aus? Diese Frage nach der Überdeckung wird durch das Maß der Risikotragfähigkeit veranschaulicht. Sie beschreibt die Fähigkeit, Verluste aus Risiken zu absorbieren, ohne dass daraus eine direkte Gefahr für die Existenz des Unternehmens entsteht:

ökonomisches Eigenkapital
Risikotragfähigkeit = –––––––––––––––––––––––––––––––– ≥ 100 %
Gesamtrisikokapitalbedarf

Je nach Rechnungs- und Bilanzierungsgrundlagen kann die Risikotragfähigkeit zu ökonomischen, ratingbezogenen oder aufsichtsrechtlichen Zwecken ermittelt werden.

Risikosteuerung

Nach § 26 Abs. 1 S. 3 VAG muss einzeln und auf aggregierter Basis eine kontinuierliche Risikosteuerung unter Berücksichtigung der zwischen den Risiken bestehenden Interdependenzen ermöglicht werden.

Somit soll die Risikosteuerung sicherstellen, dass der Risikoumfang nicht größer als die angestrebte Risikotragfähigkeit ist. Zudem sollte die derzeitige Risikosituation mit den damit verbundenen Chancen in Relation gesetzt werden. Risiken sollten nur eingegangen werden, sofern ihnen ein angemessenes Ertragspotenzial gegenüber steht. Entspricht das Chancen-Risiko-Verhältnis nicht den Zielvorstellungen des Unternehmens, wird versucht, mittels der Risikosteuerung die Herstellung der geplanten Soll-Risikosituation zu erreichen. Dabei wird das ursprüngliche Bruttorisiko auf ein angemessenes Maß reduziert. Die Risikosteuerung umfasst

  • die Risikovermeidung,
  • die Risikoverminderung,
  • den Risikotransfer.

Das nach den Steuerungsmaßnahmen verbleibende Restrisiko (Netto-Risiko) wird dann vom Unternehmen selbst getragen. Ursache könnte sein, dass man gewisse Ertragspotenziale nutzen will; aber auch aufgrund von mangelnden adäquaten Steuerungsmaßnahmen kann die Selbsttragung zwangläufig notwendig sein.

Bei der Risikovermeidung wird auf das Eingehen von bestimmten Risiken (prospektiv) gänzlich verzichtet. Dies kann aus Gründen des Risikomanagements sinnvoll sein, wenn die Risiken durch ein unverhältnismäßig hohes Risikopotenzial gekennzeichnet sind. Durch diese Maßnahme werden die Eintrittswahrscheinlichkeit und/oder das Schadenausmaß aus Sicht des Unternehmens vollständig auf null reduziert.

Im Rahmen der Risikoverminderung wird durch die Beeinflussung der Risikostruktur der gesamte Risikogehalt reduziert, aber nicht vollständig eliminiert. Hier steht den Unternehmen eine Vielzahl von Möglichkeiten zur Verfügung, mit Hilfe geeigneter Maßnahmen auf die Eintrittswahrscheinlichkeit und/oder das Schadenausmaß eines Risikos einzuwirken.

Bei der Risikoreduzierung können ursachen- und wirkungsbezogene Maßnahmen unterschieden werden. Ursachenbezogene Strategien zielen darauf ab, die Eintrittswahrscheinlichkeit des Risikos zu vermeiden oder zu vermindern. Wirkungsbezogene Maßnahmen hingegen sollen die Auswirkungen bei Realisation des Risikos verringern.

Zuletzt können Risiken zur Reduzierung der eigenen Risikoexponierung an einen Dritten transferiert werden. Das ursprüngliche Risiko bleibt bestehen, es wird jedoch nicht mehr alleine getragen. Als klassische Form des Risikotransfers gilt die (Rück-)Versicherung. Vorstellbar ist aber auch der Transfer auf den Kapitalmarkt, auf den Kunden oder Lieferanten. Aber auch Outsourcing von Funktionen oder Bereichen kann je nach Gestaltung als Transfer gesehen werden.

Die Abbildung zum Risikomanagementprozess veranschaulicht schematisch, wie das ursprüngliche Brutto-Risiko grundsätzlich durch geeignete Steuerungsmaßnahmen auf das beim Unternehmen verbleibende Netto-Risiko reduziert werden kann.

Neben den identifizierten Risiken besteht trotz umfassender Risikoanalysen die Gefahr, dass Risikopotenziale nicht erkannt werden. Diese nicht identifizierten Risiken können natürlich nicht bewusst gesteuert werden. Sie werden jedoch auch unbewusst durch die Etablierung allgemeiner Steuerungsmaßnahmen vermindert.

Risikokontrolle und Berichterstattung

Die Risikokontrolle beschreibt ein zusammenfassendes und zugleich steuerndes Element innerhalb des gesamten Risikomanagementprozesses. Sie ist zur Beurteilung von Effizienz und Wirksamkeit des Risikomanagements sowie zur Feststellung möglicher Verbesserungspotenziale erforderlich. Kontrolle verlangt auch immer eine Dokumentation bzw. eine Berichterstattung.

Die Versicherungsunternehmen müssen gem. § 26 Abs. 8 VAG eine unabhängige Risikocontrollingfunktion einrichten, die so strukturiert ist, dass sie die Umsetzung des Risikomanagementsystems maßgeblich befördert.

In der Risikoberichterstattung soll über das Risikoprofil des Unternehmens berichtet werden. Sie dient somit der permanenten Überwachung und stellt sicher, dass identifizierte und bewertete Risiken den (internen und externen) Adressaten mitgeteilt werden. Nur eine angemessene Berichterstattung ermöglicht es den verschiedenen Parteien, die in den Risikomanagementprozess eingebunden sind, ihrer Überwachungs- oder Entscheidungsfunktion auf Basis der erhaltenen Informationen nachzukommen.

Versicherungsunternehmen müssen nach § 26 Abs. 1 S. 1 VAG über eine angemessene und aussagefähige interne Risikoberichterstattung verfügen. Es ist Aufgabe des Risikomanagements, die Risikoberichterstattung in Abstimmung mit den verschiedenen Unternehmensbereichen aufzustellen und diese dem Vorstand, den entsprechenden Führungsebenen, anderen Schlüsselfunktionen und dem Aufsichtsrat in regelmäßigen Abständen oder ad-hoc zur Verfügung zu stellen. Dadurch soll sichergestellt werden, dass die Informationsadressaten alle wichtigen Informationen zur Risikosituation erhalten.

Bei der externen Berichterstattung unterscheidet man die handelsrechtliche und die aufsichtsrechtliche Berichterstattung.

Gemäß § 264 Abs. 1 HGB ist der Jahresabschluss, bestehend aus der Bilanz, der Gewinn- und Verlustrechnung und dem Anhang, um einen Lagebericht zu erweitern. Aus Sicht der Risikoberichterstattung ist insbesondere der Lagebericht gemäß § 289 HGB von Bedeutung. Konkretisiert wird die Risikoberichterstattung für den Lagebericht durch den DRS 20, der jedoch für Konzernlageberichte gilt. Die Anwendung des DRS 20 auf den Einzelabschluss ist somit nicht zwingend, sie wird aber empfohlen.[7] Aus diesem Grund kann sie als Rahmenwerk für eine angemessene öffentliche Berichterstattung angesehen werden.

Im Rahmen der aufsichtsrechtlichen Berichterstattung unter Solvency II ergeben sich verschiedene Berichtspflichten:

Der SFCR und ausgewählte QRTs werden der breiten Öffentlichkeit zur Verfügung gestellt; die übrigen Berichtsformate sind ausschließlich für die Aufsichtsbehörden bestimmt.

  • [1] Vgl. DRS 20, Tz. 11; IDW PS 981, Tz. 17.
  • [2] Vgl. Rundschreiben 3/2009 (MaRisk), Nr. 7.1 (aufgehoben).
  • [3] Die ausführliche Darstellung der hier beschriebenen Prozessschritte findet sich bei Rohlfs, Risikomanagement im Versicherungsunternehmen, 2018.
  • [4] Vgl. Rundschreiben 3/2009 (MaRisk), Nr. 7.1 (aufgehoben).
  • [5] Risikofrüherkennungssystem gem. § 91 Abs. 2 AktG als besonderer Aspekt des Risikomanagementsystems.
  • [6] Vgl. Rundschreiben 2/2017 (MaGo), Rn. 17 u. 18.
  • [7] Vgl. DRS 20, Tz. 2.

Quellen

Grundlage für diesen Artikel:

  • Rohlfs, Torsten: Risikomanagement im Versicherungsunternehmen, Verlag Versicherungswirtschaft (VVW), 2018.
  • Rohlfs, Torsten; Mahnke, Alexander: Risikomanagement im Unternehmen, in: Betriebliches Risikomanagement und Industrieversicherung, Rohlfs/Mahnke (Hrsg.), Springer Gabler Verlag, 2020.

Weitere Quellen:

  • Altenähr, Volker; Nguyen, Tristan; Romeike, Frank: Risikomanagement kompakt, Verlag Versicherungswirtschaft (VVW), 2009.
  • Diedrichs, Marc: Risikomanagement und Risikocontrolling, 3. Auflage, Verlag Franz Vahlen GmbH, 2012.
  • Gleißner, Werner; Lienhard, Herbert: Risikomanagement für Versicherungen, Komponenten des Risikomanagements, Euroforum Verlag, 2010.
  • Kremers, Markus: Risikoübernahme in Industrieunternehmen: Der Value-at-Risk als Steuerungsgröße für das industrielle Risikomanagement, dargestellt am Beispiel des Investmentrisikos, Verlag Wissenschaft & Praxis Dr. Brauner GmbH, 2003.
  • Sator, Franz J.; Bourauel, Corinna: Risikomanagement kompakt – In 7 Schritten zum aggregierten Nettorisiko des Unternehmens, 1. Auflage, Oldenbourg Wissenschaftsverlag, 2013.
  • Vanini, Ute: Risikomanagement: Grundlagen, Instrumente, Risikopraxis, Schäffer-Poeschel, 2012.
  • Wagner, Fred: Risk Management im Erstversicherungsunternehmen: Modelle, Strategien, Ziele, Mittel, Verlag Versicherungswirtschaft (VVW), 2000.
  • Wolle, Björn: Risikomanagementsysteme im Versicherungsunternehmen - Von regulatorischen Vorgaben zum nachhaltigen Risikomanagement, Springer Verlag, 2014.