Risiko/Aggregation: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Dirkwagner verschob die Seite Risikoaggregation nach Risiko/Aggregation
 
(21 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Risikoaggregation''' (risk aggregation) -  
'''Risikoaggregation''' (risk aggregation) -
* im Rahmen des [[Risikomanagement]]s
* im Rahmen des [[Risikomanagement]]s
* von [[Unternehmen]] oder [[Projekt]]en
* von [[Unternehmen]] oder [[Projekt]]en
Zeile 6: Zeile 6:
* wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.
* wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.


== Beschreibung ==


== Beschreibung ==
'''Risikoaggregation''' (risk aggregation) ist im Rahmen des [[Risikomanagement]]s von [[Unternehmen]] oder [[Projekt]]en die [[Aggregation (Wirtschaft)|Aggregation]] aller [[Risikobericht#Branchenübergreifende Risikoarten|Risiken]] mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.
'''Risikoaggregation''' ({{enS|risk aggregation}}) ist im Rahmen des [[Risikomanagement]]s von [[Unternehmen]] oder [[Projekt]]en die [[Aggregation (Wirtschaft)|Aggregation]] aller [[Risikobericht#Branchenübergreifende Risikoarten|Risiken]] mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.


== Allgemeines ==
; Ziel
Die Risikoaggregation verfolgt das Ziel, auf Grundlage der [[Risikoidentifikation|identifizierten]], [[Risikoanalyse|analysierten]] und [[Risikobewertung|bewerteten]] Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen.<ref>[https://books.google.de/books?id=o--0DwAAQBAJ&pg=PA117&dq=Risikoaggregation&hl=de&sa=X&ved=0ahUKEwjmitfUtabnAhVEKewKHTeyBUwQ6AEISTAE#v=onepage&q=Risikoaggregation&f=false Karin Exner/Raoul Ruthner, ''Corporate Risk Management'', 2019, S. 117]</ref> Die innerhalb der Risikoaggregation vorzunehmende [[Risikoklassifizierung]] stellt die [[Schnittstelle]] zwischen [[Risikobewertung]] und [[Risikobewältigung]] dar.<ref>[https://books.google.de/books?id=vzrXBcsemsgC&pg=PA22&dq=Risikobeurteilung+Risikobewertung&hl=de&sa=X&ved=0ahUKEwjE5Y2wtrDnAhWHLlAKHazDD-AQ6AEIMDAB#v=onepage&q=Risikobeurteilung&f=false Bruno Wiederkehr/Rita-Maria Züger, ''Risikomanagementsystem im Unternehmen'', 2010, S. 37 f.]</ref> Auf Basis von verlässlichen aggregierten [[Daten]] kann die Risikosituation eines Unternehmens übergreifend erfasst und optimiert werden.<ref>[https://books.google.de/books?id=Fhj541YbC8sC&pg=PA199&dq=Risikoaggregation&hl=de&sa=X&ved=0ahUKEwjmitfUtabnAhVEKewKHTeyBUwQ6AEIOzAC#v=onepage&q=Risikoaggregation&f=false Leonhard von Metzler, ''Risikoaggregation im industriellen Controlling'', 2004, S. 199]</ref>
Die Risikoaggregation verfolgt das Ziel, auf Grundlage der [[Risikoidentifikation|identifizierten]], [[Risikoanalyse|analysierten]] und [[Risikobewertung|bewerteten]] Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen.  
* Die innerhalb der Risikoaggregation vorzunehmende [[Risikoklassifizierung]] stellt die [[Schnittstelle]] zwischen [[Risikobewertung]] und [[Risikobewältigung]] dar.  
* Auf Basis von verlässlichen aggregierten [[Daten]] kann die Risikosituation eines Unternehmens übergreifend erfasst und optimiert werden.


Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die [[Risikotragfähigkeit]] eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in {{§|91|aktg|juris}} [[Aktiengesetz (Deutschland)|AktG]] sowie § 1 StaRUG gefordert wird). Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.<ref name=":0">{{Literatur |Autor=Werner Gleißner, Frank Lienhard, Matthias Kühne |Titel=Neue gesetzliche Anforderungen an das Krisen- und Risikofrüherkennungssystem: Implikationen des StaRUG |Sammelwerk=Zeitschrift für Risikomanagement |Nummer=2/2021 |Datum=2021 |Seiten=32-40}}</ref> Es wird untersucht, mit welcher [[Wahrscheinlichkeit]] es zu Überschuldung oder [[Illiquidität]] (infolge von Verletzungen von Mindestanforderungen an das [[Rating]] oder von [[Kreditvertrag|Kreditverträgen]]) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.
; Notwendigkeit
Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die [[Risikotragfähigkeit]] eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in {{§|91|aktg|juris}} [[Aktiengesetz (Deutschland)|AktG]] sowie § 1 StaRUG gefordert wird).  
* Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.Es wird untersucht, mit welcher [[Wahrscheinlichkeit]] es zu Überschuldung oder [[Illiquidität]] (infolge von Verletzungen von Mindestanforderungen an das [[Rating]] oder von [[Kreditvertrag|Kreditverträgen]]) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.


== Prozessablauf ==
== Prozessablauf ==
Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie [[Risikoquantifizierung]] umfasst. Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten. Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der [[Insolvenz]] durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.<ref>[https://books.google.de/books?id=c8z8V6JhUdIC&pg=PA159&dq=Risikoaggregation&hl=de&sa=X&ved=0ahUKEwje7_rP86jnAhVLuqQKHdG3Bl04ChDoAQg0MAE#v=onepage&q=Risikoaggregation&f=false Werner Gleißner, ''Grundlagen des Risikomanagements im Unternehmen'', 2011, S. 159]</ref>
; Vorarbeiten
Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie [[Risikoquantifizierung]] umfasst.  
* Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten.  
* Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der [[Insolvenz]] durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.


Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht. ''Unabhängige Risiken'' beeinflussen einander nicht. ''Risikointerdependenz'' dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind. Positiv [[Korrelation|korrelierte]] Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten. Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist.<ref>[https://books.google.de/books?id=VWQkBAAAQBAJ&pg=PT146&dq=risikobewertung&hl=de&sa=X&ved=0ahUKEwj95p6H7qbnAhVQ-6QKHYh8AOM4HhDoAQhFMAQ#v=onepage&q=risikobewertung&f=false Fabian Ahrendts/Anita Marton, ''IT-Risikomanagement leben'', 2008, S.&nbsp;24]</ref> Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.<ref name=":1">{{Literatur |Autor=Anne Nickert, Cornelius Nickert |Titel=Früherkennungssystem als Instrument zur Krisenfrüherkennung nach dem StaRUG |Sammelwerk=GmbH-Rundschau |Nummer=8 |Datum=2021 |Seiten=401-413}}</ref> Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines [[Korrelationskoeffizient]]en quantifiziert. Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.
; Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht.  
''Unabhängige Risiken'' beeinflussen einander nicht. ''Risikointerdependenz'' dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind.  
* Positiv [[Korrelation|korrelierte]] Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten.  
* Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist.  
* Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines [[Korrelationskoeffizient]]en quantifiziert.  
* Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.


Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen.
; Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen


In einem ersten Schritt der Risikoaggregation können drei von [[Werner Gleißner]] aufgestellte heuristische Regeln angewendet werden:<ref>Werner Gleißner, ''Quantifizierung komplexer Risiken – Fallbeispiel Projektrisiken'', in: ''Risiko-Manager'' Heft 22, Bank-Verlag/Köln, 2014, S. 1, 7–10</ref>
; In einem ersten Schritt der Risikoaggregation können drei von [[Werner Gleißner]] aufgestellte heuristische Regeln angewendet werden:
* ''Ursachenaggregation'': Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
* ''Ursachenaggregation'': Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
* ''Wirkungsaggregation'': Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
* ''Wirkungsaggregation'': Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
* ''Ausschlussregel'': Risiken, welche nicht zusammen eintreten können, werden bei der Risikoaggregation nicht gleichzeitig zugelassen.
* ''Ausschlussregel'': Risiken, welche nicht zusammen eintreten können, werden bei der Risikoaggregation nicht gleichzeitig zugelassen.
Diese heuristischen Regeln ersetzten jedoch keine simulationsbasierte Risikoaggregation. Bei der anschließenden simulationsbasierten Risikoaggregation (vorzugsweise Monte-Carlo-Simulation) ist es bedeutsam, die tatsächlichen stochastischen Abhängigkeiten auf der Ursachen- und Wirkungsebene verschiedener Einzelrisiken adäquat zu berücksichtigen.


Der Risikoaggregation folgt im Prozessablauf die [[Risikobeurteilung]].
; Diese heuristischen Regeln ersetzten jedoch keine simulationsbasierte Risikoaggregation
* Bei der anschließenden simulationsbasierten Risikoaggregation (vorzugsweise Monte-Carlo-Simulation) ist es bedeutsam, die tatsächlichen stochastischen Abhängigkeiten auf der Ursachen- und Wirkungsebene verschiedener Einzelrisiken adäquat zu berücksichtigen.
 
; Der Risikoaggregation folgt im Prozessablauf die [[Risikobeurteilung]]


== Monte-Carlo-Simulation ==
== Monte-Carlo-Simulation ==
{{Hauptartikel|Monte-Carlo-Simulation}}
[[Monte-Carlo-Simulation]]
Ein numerisches Verfahren zur Risikoaggregation ist die Risikosimulation mit Hilfe der [[Monte-Carlo-Simulation]].<ref>[https://books.google.de/books?id=uW9_DwAAQBAJ&printsec=frontcover&dq=Risikoaggregation+monte+carlo&hl=de&sa=X&ved=0ahUKEwimtrrY8KjnAhUDzaQKHRX-ArgQ6AEIKzAA#v=onepage&q=Risikoaggregation%20monte%20carlo&f=false Werner Gleißner/Marco Wolfrum, ''Risikoaggregation und Monte-Carlo-Simulation'', 2019, S. 2]</ref> Hierdurch wird das komplexe Problem der analytischen Summierung von einer Vielzahl unterschiedlicher Risiken durch eine numerische Näherungslösung ersetzt. Vorteilhaft ist insbesondere, dass eine beliebige Anzahl an Risiken, die durch beliebige [[Wahrscheinlichkeitsverteilung]]en beschrieben wurden, aggregiert werden kann.<ref name=":2">{{Literatur |Autor=Werner Gleißner |Titel=Cost of capital and probability of default in value-based risk management |Sammelwerk=Management Research Review |Nummer=11/2019 |Datum=2019 |Seiten=1243-1258}}</ref> Für die Aggregation von Risiken mit Bezug auf die Unternehmensplanung (z.&nbsp;B. Plan-Gewinn- und Verlustrechnung), die zur Bestimmung des Gesamtrisikoumfangs und der Bestimmung der Insolvenzwahrscheinlichkeit notwendig ist, gibt es daher keine Alternative zur Monte-Carlo-Simulation.<ref name=":4" />


Um eine aussagekräftige Monte-Carlo-Simulation durchzuführen zu können, ist es notwendig in der vorhergehenden Risikoquantifizierung alle relevanten Risiken zu quantifizieren und mit Hilfe geeigneter Wahrscheinlichkeitsverteilungen zu beschreiben. Dies kann gegebenenfalls auch durch subjektive Annahmen geschehen, insofern diese die besten zur Verfügung stehenden Informationen darstellen. Werden nicht alle relevanten Risiken bei der Risikoaggregation berücksichtigt, so ist dies mit einer Bewertung von Null gleichzusetzen.<ref name=":2" />
== Anwendung ==
 
; Anwendung in der Praxis
Im Rahmen einer Monte-Carlo-Simulation werden die Wirkungen von Einzelrisiken in einem Unternehmensmodell abgebildet und hinsichtlich ihres Einflusses auf die entsprechenden Posten der Gewinn- und Verlustrechnung (GuV) und/oder der [[Bilanz]] bewertet. Diese Vorgehensweise verbindet Risikomanagement und „traditionelle“ Unternehmensplanung (insbesondere Controlling). Die Wirkungen von Einzelrisiken auf Positionen in der GuV oder in der Bilanz werden im Modell durch Wahrscheinlichkeitsverteilungen beschrieben (siehe [[Risikoquantifizierung]]). In unabhängigen Simulationsläufen wird so zur Bestimmung des Gesamtrisikoumfangs mit Hilfe der Monte-Carlo-Simulation ein [[Geschäftsjahr]] mehrere Tausend Mal simuliert und die Wirkung einer zufällig eingetretenen Kombination der potenziellen Risiken auf die GuV und/oder die Bilanz bestimmt. Im Prinzip wird durch diese Simulation eine repräsentative Stichprobe aller möglichen Risiko-Szenarien eines Unternehmens generiert und analysiert.
Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den [[IDW PS 340|IDW-Prüfungsstandard 340]] und den [[DIIR Revisionsstandard Nr. 2]] zum Risikomanagement von 2018).  
 
* Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten.  
Aus den in den einzelnen Simulationsläufen ermittelten Realisationen der Zielgrößen ergeben sich aggregierte [[Häufigkeitsverteilung]]en („Bandbreitenplanung“). Aus diesen können [[Erwartungswert]]e von Cashflow und Gewinn sowie der zugehörige [[Value at Risk]] (VaR) als ein realistischer Höchstschaden, der mit beispielsweise 95%iger oder 99%iger Wahrscheinlichkeit nicht überschritten wird, abgeleitet werden. Dies ermöglicht unter anderem auch die Ermittlung einer angemessenen Eigenkapitalausstattung,.<ref name=":2" /> sowie risikoadjustierter [[Kapitalkosten]]sätze ({{enS|Risk Adjusted Profitability/Performance Measure}}, RAPM)<ref name=":3">{{Literatur |Autor=Jasper Köhlbrandt, Werner Gleißner, Thomas W. Günther |Titel=Umsetzung gesetzlicher Anforderungen an das Risikomanagement in DAX- und MDAX-Unternehmen: Eine empirische Studie zur Erfüllung der gesetzlichen Anforderungen nach den §§ 91 und 93 AktG |Sammelwerk=Corporate Finance |Nummer=7-8/2020 |Datum=2020 |Seiten=248-258}}</ref>
* Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat
 
Um mögliche „bestandsgefährdende Entwicklungen“ erkennen zu können, werden die Auswirkungen der Risiken auf [[Covenents|Covenants]] und das zukünftige [[Rating]] analysiert. Ergebnis ist immer ein Grad der Bestandsgefährdungen, da es kein Unternehmen ohne mögliche „bestandsgefährdende Entwicklungen“ gibt.<ref name=":1" /> Eine Simulation über mehrere Planjahre ist sinnvoll, da „bestandsgefährdende Entwicklungen“ meist nicht bereits nach einem Jahr mit eingetretenen Risiken entstehen<ref name=":4">{{Literatur |Autor=Thomas Berger, Dietmar Ernst, Werner Gleißner, Kay H. Hofmann, Matthias Meyer, Ottmar Schneck, Patrick Ulrich, Ute Vanini |Titel=Die Prüfung von Risikomanagementsystemen und die Defizite des IDW Prüfungsstandards 340 |Sammelwerk=Der Betrieb |Nummer=46 |Datum=2021 |Seiten=2709-2714}}</ref> (siehe den IDW Prüfungsstandard 340 und [[Grundsätze ordnungsgemäßer Planung]]).
 
[[Datei:Risikoaggregation in die Unternehmensplanung .jpg|mini|zentriert|600px|Risikoaggregation in die Unternehmensplanung]]
 
 
Die folgende Grafik zeigt die Häufigkeitsverteilung der [[Eigenkapitalquote]], die sich in der Simulation aus der Konsolidierung von Gewinnen und Verlusten mit dem Eigenkapital ergibt. Mit dieser [[Verteilungsfunktion]] ist es unmittelbar möglich, die Angemessenheit der Eigenkapitalausstattung eines Unternehmens (bei gegebenem Risiko) zu beurteilen. In dem Beispiel zeigt sich, dass das Eigenkapital (unter Berücksichtigung der betrachteten Risiken des Unternehmens) in 3,2 % aller Fälle negativ wird; das Unternehmen also in diesen Fällen [[Überschuldung|überschuldet]] wäre. So kann basierend auf der Unternehmensplanung und der Risikoanalyse auf ein angemessenes Ratingurteil geschlossen werden, und es können Ratingprognosen erstellt werden.
 
[[Datei:Verteilung der Eigenkapitalquote .jpg|mini|zentriert|600px|Verteilung der Eigenkapitalquote.]]
 
== Anwendung in der Praxis ==
Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den [[IDW PS 340|IDW-Prüfungsstandard 340]] und den [[DIIR Revisionsstandard Nr. 2]] zum Risikomanagement von 2018). Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten. Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.<ref name=":0" /><ref name=":5">{{Literatur |Autor=DIIR- und RMA-Arbeitskreis "Interne Revision und Risikomanagement" |Titel=Der neue DIIR Revisionsstandard Nr. 2 zur Prüfung des Risikomanagementsystems: Implikationen von FISG und StaRUG für die Interne Revision |Datum=2022}}</ref> Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat<ref name=":5" />


Die Risikoaggregation ist Grundlage für die Messung von [[Risikotragfähigkeit]] und [[Risikotoleranz]] (siehe [[IDW PS 981]]).
Die Risikoaggregation ist Grundlage für die Messung von [[Risikotragfähigkeit]] und [[Risikotoleranz]] (siehe [[IDW PS 981]]).


=== IDW Prüfungsstandard (PS) 340 n.F. ===
=== IDW Prüfungsstandard ===
Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen. Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont. Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.<ref name=":4" /> An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte. Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert. Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können.<ref>{{Literatur |Autor=Alexander Schmidt, Thomas Henschel |Titel=Prüfung des Überwachungssystems gemäß § 91 Abs. 2 AktG: Kritische Analyse der Neufassung des IDW PS 340 |Datum=2021}}</ref> Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen<ref name=":4" />
; IDW Prüfungsstandard (PS) 340 n.F.
; Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen.  
* Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont.  
* Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.


=== DIIR Revisionsstandard Nr. 2 ===
;  An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte.  
Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält. Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert. Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist. Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.<ref name=":5" />
* Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert.
* Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können.  
* Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen


=== Umsetzung der gesetzlichen Anforderungen ===
=== DIIR ===
Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig. In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt. Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten. Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt. Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.<ref name=":3" /><ref name=":4" />
; DIIR Revisionsstandard Nr. 2
Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält.
* Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert.
* Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist.  
* Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.


== Weblinks ==
=== Gesetzlicher Anforderungen ===
* {{DNB-Portal|Risikoaggregatgion|TYP=Literatur über}}
; Umsetzung gesetzlicher Anforderungen
* [http://www.risknet.de/typo3conf/ext/bx_elibrary/elibrarydownload.php?&downloaddata=46 ''Simulationsverfahren zur Risikoaggregation.''] auf: ''risknet.de''
Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig.  
* In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt.  
* Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten.
* Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt.
* Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.


[[Kategorie:Risikomanagement]]
<noinclude>


<noinclude>
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
Zeile 77: Zeile 90:
# https://de.wikipedia.org/wiki/Risikoaggregation
# https://de.wikipedia.org/wiki/Risikoaggregation


[[Kategorie:Risikobeurteilung]]
</noinclude>
</noinclude>

Aktuelle Version vom 18. November 2023, 11:07 Uhr

Risikoaggregation (risk aggregation) -

Beschreibung

Risikoaggregation (risk aggregation) ist im Rahmen des Risikomanagements von Unternehmen oder Projekten die Aggregation aller Risiken mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.

Ziel

Die Risikoaggregation verfolgt das Ziel, auf Grundlage der identifizierten, analysierten und bewerteten Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen.

Notwendigkeit

Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die Risikotragfähigkeit eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in Vorlage:§ AktG sowie § 1 StaRUG gefordert wird).

  • Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.Es wird untersucht, mit welcher Wahrscheinlichkeit es zu Überschuldung oder Illiquidität (infolge von Verletzungen von Mindestanforderungen an das Rating oder von Kreditverträgen) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.

Prozessablauf

Vorarbeiten

Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie Risikoquantifizierung umfasst.

  • Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten.
  • Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der Insolvenz durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.
Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht.

Unabhängige Risiken beeinflussen einander nicht. Risikointerdependenz dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind.

  • Positiv korrelierte Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten.
  • Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist.
  • Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines Korrelationskoeffizienten quantifiziert.
  • Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.
Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen
In einem ersten Schritt der Risikoaggregation können drei von Werner Gleißner aufgestellte heuristische Regeln angewendet werden
  • Ursachenaggregation: Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
  • Wirkungsaggregation: Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
  • Ausschlussregel: Risiken, welche nicht zusammen eintreten können, werden bei der Risikoaggregation nicht gleichzeitig zugelassen.
Diese heuristischen Regeln ersetzten jedoch keine simulationsbasierte Risikoaggregation
  • Bei der anschließenden simulationsbasierten Risikoaggregation (vorzugsweise Monte-Carlo-Simulation) ist es bedeutsam, die tatsächlichen stochastischen Abhängigkeiten auf der Ursachen- und Wirkungsebene verschiedener Einzelrisiken adäquat zu berücksichtigen.
Der Risikoaggregation folgt im Prozessablauf die Risikobeurteilung

Monte-Carlo-Simulation

Monte-Carlo-Simulation

Anwendung

Anwendung in der Praxis

Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den IDW-Prüfungsstandard 340 und den DIIR Revisionsstandard Nr. 2 zum Risikomanagement von 2018).

  • Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten.
  • Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat

Die Risikoaggregation ist Grundlage für die Messung von Risikotragfähigkeit und Risikotoleranz (siehe IDW PS 981).

IDW Prüfungsstandard

IDW Prüfungsstandard (PS) 340 n.F.
Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen.
  • Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont.
  • Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.
An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte.
  • Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert.
  • Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können.
  • Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen

DIIR

DIIR Revisionsstandard Nr. 2

Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält.

  • Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert.
  • Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist.
  • Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.

Gesetzlicher Anforderungen

Umsetzung gesetzlicher Anforderungen

Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig.

  • In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt.
  • Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten.
  • Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt.
  • Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.


Anhang

Siehe auch

Links

Weblinks
  1. https://de.wikipedia.org/wiki/Risikoaggregation