Risikoaggregation

Risikoaggregation (englisch risk aggregation) ist im Rahmen des Risikomanagements von Unternehmen oder Projekten die Aggregation aller Risiken mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.

Allgemeines

Die Risikoaggregation verfolgt das Ziel, auf Grundlage der identifizierten, analysierten und bewerteten Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen.[1] Die innerhalb der Risikoaggregation vorzunehmende Risikoklassifizierung stellt die Schnittstelle zwischen Risikobewertung und Risikobewältigung dar.[2] Auf Basis von verlässlichen aggregierten Daten kann die Risikosituation eines Unternehmens übergreifend erfasst und optimiert werden.[3]

Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die Risikotragfähigkeit eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in § 91 AktG sowie § 1 StaRUG gefordert wird). Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.[4] Es wird untersucht, mit welcher Wahrscheinlichkeit es zu Überschuldung oder Illiquidität (infolge von Verletzungen von Mindestanforderungen an das Rating oder von Kreditverträgen) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.

Prozessablauf

Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie Risikoquantifizierung umfasst. Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten. Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der Insolvenz durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.[5]

Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht. Unabhängige Risiken beeinflussen einander nicht. Risikointerdependenz dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind. Positiv korrelierte Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten. Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist.[6] Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.[7] Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines Korrelationskoeffizienten quantifiziert. Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.

Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen.

In einem ersten Schritt der Risikoaggregation können drei von Werner Gleißner aufgestellte heuristische Regeln angewendet werden:[8]

  • Ursachenaggregation: Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
  • Wirkungsaggregation: Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
  • Ausschlussregel: Risiken, welche nicht zusammen eintreten können, werden bei der Risikoaggregation nicht gleichzeitig zugelassen.

Diese heuristischen Regeln ersetzten jedoch keine simulationsbasierte Risikoaggregation. Bei der anschließenden simulationsbasierten Risikoaggregation (vorzugsweise Monte-Carlo-Simulation) ist es bedeutsam, die tatsächlichen stochastischen Abhängigkeiten auf der Ursachen- und Wirkungsebene verschiedener Einzelrisiken adäquat zu berücksichtigen.

Der Risikoaggregation folgt im Prozessablauf die Risikobeurteilung.

Monte-Carlo-Simulation

Ein numerisches Verfahren zur Risikoaggregation ist die Risikosimulation mit Hilfe der Monte-Carlo-Simulation.[9] Hierdurch wird das komplexe Problem der analytischen Summierung von einer Vielzahl unterschiedlicher Risiken durch eine numerische Näherungslösung ersetzt. Vorteilhaft ist insbesondere, dass eine beliebige Anzahl an Risiken, die durch beliebige Wahrscheinlichkeitsverteilungen beschrieben wurden, aggregiert werden kann.[10] Für die Aggregation von Risiken mit Bezug auf die Unternehmensplanung (z. B. Plan-Gewinn- und Verlustrechnung), die zur Bestimmung des Gesamtrisikoumfangs und der Bestimmung der Insolvenzwahrscheinlichkeit notwendig ist, gibt es daher keine Alternative zur Monte-Carlo-Simulation.[11]

Um eine aussagekräftige Monte-Carlo-Simulation durchzuführen zu können, ist es notwendig in der vorhergehenden Risikoquantifizierung alle relevanten Risiken zu quantifizieren und mit Hilfe geeigneter Wahrscheinlichkeitsverteilungen zu beschreiben. Dies kann gegebenenfalls auch durch subjektive Annahmen geschehen, insofern diese die besten zur Verfügung stehenden Informationen darstellen. Werden nicht alle relevanten Risiken bei der Risikoaggregation berücksichtigt, so ist dies mit einer Bewertung von Null gleichzusetzen.[10]

Im Rahmen einer Monte-Carlo-Simulation werden die Wirkungen von Einzelrisiken in einem Unternehmensmodell abgebildet und hinsichtlich ihres Einflusses auf die entsprechenden Posten der Gewinn- und Verlustrechnung (GuV) und/oder der Bilanz bewertet. Diese Vorgehensweise verbindet Risikomanagement und „traditionelle“ Unternehmensplanung (insbesondere Controlling). Die Wirkungen von Einzelrisiken auf Positionen in der GuV oder in der Bilanz werden im Modell durch Wahrscheinlichkeitsverteilungen beschrieben (siehe Risikoquantifizierung). In unabhängigen Simulationsläufen wird so zur Bestimmung des Gesamtrisikoumfangs mit Hilfe der Monte-Carlo-Simulation ein Geschäftsjahr mehrere Tausend Mal simuliert und die Wirkung einer zufällig eingetretenen Kombination der potenziellen Risiken auf die GuV und/oder die Bilanz bestimmt. Im Prinzip wird durch diese Simulation eine repräsentative Stichprobe aller möglichen Risiko-Szenarien eines Unternehmens generiert und analysiert.

Aus den in den einzelnen Simulationsläufen ermittelten Realisationen der Zielgrößen ergeben sich aggregierte Häufigkeitsverteilungen („Bandbreitenplanung“). Aus diesen können Erwartungswerte von Cashflow und Gewinn sowie der zugehörige Value at Risk (VaR) als ein realistischer Höchstschaden, der mit beispielsweise 95%iger oder 99%iger Wahrscheinlichkeit nicht überschritten wird, abgeleitet werden. Dies ermöglicht unter anderem auch die Ermittlung einer angemessenen Eigenkapitalausstattung,.[10] sowie risikoadjustierter Kapitalkostensätze (englisch Risk Adjusted Profitability/Performance Measure, RAPM)[12]

Um mögliche „bestandsgefährdende Entwicklungen“ erkennen zu können, werden die Auswirkungen der Risiken auf Covenants und das zukünftige Rating analysiert. Ergebnis ist immer ein Grad der Bestandsgefährdungen, da es kein Unternehmen ohne mögliche „bestandsgefährdende Entwicklungen“ gibt.[7] Eine Simulation über mehrere Planjahre ist sinnvoll, da „bestandsgefährdende Entwicklungen“ meist nicht bereits nach einem Jahr mit eingetretenen Risiken entstehen[11] (siehe den IDW Prüfungsstandard 340 und Grundsätze ordnungsgemäßer Planung).

Risikoaggregation in die Unternehmensplanung


Die folgende Grafik zeigt die Häufigkeitsverteilung der Eigenkapitalquote, die sich in der Simulation aus der Konsolidierung von Gewinnen und Verlusten mit dem Eigenkapital ergibt. Mit dieser Verteilungsfunktion ist es unmittelbar möglich, die Angemessenheit der Eigenkapitalausstattung eines Unternehmens (bei gegebenem Risiko) zu beurteilen. In dem Beispiel zeigt sich, dass das Eigenkapital (unter Berücksichtigung der betrachteten Risiken des Unternehmens) in 3,2 % aller Fälle negativ wird; das Unternehmen also in diesen Fällen überschuldet wäre. So kann basierend auf der Unternehmensplanung und der Risikoanalyse auf ein angemessenes Ratingurteil geschlossen werden, und es können Ratingprognosen erstellt werden.

Verteilung der Eigenkapitalquote.

Anwendung in der Praxis

Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den IDW-Prüfungsstandard 340 und den DIIR Revisionsstandard Nr. 2 zum Risikomanagement von 2018). Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten. Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.[4][13] Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat[13]

Die Risikoaggregation ist Grundlage für die Messung von Risikotragfähigkeit und Risikotoleranz (siehe IDW PS 981).

IDW Prüfungsstandard (PS) 340 n.F.

Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen. Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont. Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.[11] An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte. Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert. Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können.[14] Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen[11]

DIIR Revisionsstandard Nr. 2

Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält. Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert. Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist. Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.[13]

Umsetzung der gesetzlichen Anforderungen

Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig. In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt. Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten. Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt. Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.[12][11]

Literatur

  • Endre Kamaras/Marco Wolfrum: Software für Risikoaggregation: Gängige Lösungen und Fallbeispiel, in: Risikomanagement und Controlling, 2017, S. 289–314
  • Cathérine Grisar/Matthias Meyer, Use of simulation in controlling research: a systematic literature review for German-speaking countries, in: Management Review Quarterly, online erschienen: 26. Oktober 2015, S. 1–41
  • Werner Gleißner: Bandbreitenplanung, Planungssicherheit und Monte-Carlo-Simulation mehrerer Planjahre, in: Controller Magazin, Ausgabe 4, Juli/August 2016, S. 16–23
  • Werner Gleißner/Frank Romeike: Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung. Haufe, 2005, ISBN 3-448-06209-X.
  • Christian Cech: Copula-based top-down approaches in financial risk aggregation. (= Working Paper Series by the University of Applied Sciences of bfi Vienna. No. 32.) (PDF-Datei; 6,04 MB). auf: fh-vie.ac.at, Dezember 2006.
  • Werner Gleißner: Die Aggregation von Risiken im Kontext der Unternehmensplanung. In: Zeitschrift für Controlling & Management. 5/2004, S. 350–359.(PDF auf: werner-gleissner.de)
  • Werner Gleißner: Risikoanalyse, Risikoquantifizierung und Risikoaggregation, in: WiSt, 9/2017, S. 4 – 11 [1] auf: werner-gleissner.de
  • Mario Hempel/Jan Offerhaus,: Risikoaggregation als wichtiger Aspekt des Risikomanagements, in: Deutsche Gesellschaft für Risikomanagement (Hrsg.): Risikoaggregation in der Praxis, 2008, S. 3–13

Weblinks

Einzelnachweise

  1. Karin Exner/Raoul Ruthner, Corporate Risk Management, 2019, S. 117
  2. Bruno Wiederkehr/Rita-Maria Züger, Risikomanagementsystem im Unternehmen, 2010, S. 37 f.
  3. Leonhard von Metzler, Risikoaggregation im industriellen Controlling, 2004, S. 199
  4. a b Werner Gleißner, Frank Lienhard, Matthias Kühne: Neue gesetzliche Anforderungen an das Krisen- und Risikofrüherkennungssystem: Implikationen des StaRUG. In: Zeitschrift für Risikomanagement. Nr. 2/2021, 2021, S. 32–40.
  5. Werner Gleißner, Grundlagen des Risikomanagements im Unternehmen, 2011, S. 159
  6. Fabian Ahrendts/Anita Marton, IT-Risikomanagement leben, 2008, S. 24
  7. a b Anne Nickert, Cornelius Nickert: Früherkennungssystem als Instrument zur Krisenfrüherkennung nach dem StaRUG. In: GmbH-Rundschau. Nr. 8, 2021, S. 401–413.
  8. Werner Gleißner, Quantifizierung komplexer Risiken – Fallbeispiel Projektrisiken, in: Risiko-Manager Heft 22, Bank-Verlag/Köln, 2014, S. 1, 7–10
  9. Werner Gleißner/Marco Wolfrum, Risikoaggregation und Monte-Carlo-Simulation, 2019, S. 2
  10. a b c Werner Gleißner: Cost of capital and probability of default in value-based risk management. In: Management Research Review. Nr. 11/2019, 2019, S. 1243–1258.
  11. a b c d e Thomas Berger, Dietmar Ernst, Werner Gleißner, Kay H. Hofmann, Matthias Meyer, Ottmar Schneck, Patrick Ulrich, Ute Vanini: Die Prüfung von Risikomanagementsystemen und die Defizite des IDW Prüfungsstandards 340. In: Der Betrieb. Nr. 46, 2021, S. 2709–2714.
  12. a b Jasper Köhlbrandt, Werner Gleißner, Thomas W. Günther: Umsetzung gesetzlicher Anforderungen an das Risikomanagement in DAX- und MDAX-Unternehmen: Eine empirische Studie zur Erfüllung der gesetzlichen Anforderungen nach den §§ 91 und 93 AktG. In: Corporate Finance. Nr. 7-8/2020, 2020, S. 248–258.
  13. a b c DIIR- und RMA-Arbeitskreis "Interne Revision und Risikomanagement": Der neue DIIR Revisionsstandard Nr. 2 zur Prüfung des Risikomanagementsystems: Implikationen von FISG und StaRUG für die Interne Revision. 2022.
  14. Alexander Schmidt, Thomas Henschel: Prüfung des Überwachungssystems gemäß § 91 Abs. 2 AktG: Kritische Analyse der Neufassung des IDW PS 340. 2021.

Auf dieser Seite verwendete Medien

Verteilung der Eigenkapitalquote .jpg
Autor/Urheber: RMCE RiskCon GmbH, Lizenz: Attribution
Verteilung der Eigenkapitalquote nach diversen Simulationsläufen mittel der Monte-Carlo-Simulation
Risikoaggregation in die Unternehmensplanung .jpg
Autor/Urheber: RMCE RiskCon GmbH, Lizenz: Attribution
Schema zur Risikoaggregation in die Unternehmensplanung