Risiko/Aggregation: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Zeile 11: Zeile 11:


== Allgemeines ==
== Allgemeines ==
Die Risikoaggregation verfolgt das Ziel, auf Grundlage der [[Risikoidentifikation|identifizierten]], [[Risikoanalyse|analysierten]] und [[Risikobewertung|bewerteten]] Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen.<ref>[https://books.google.de/books?id=o--0DwAAQBAJ&pg=PA117&dq=Risikoaggregation&hl=de&sa=X&ved=0ahUKEwjmitfUtabnAhVEKewKHTeyBUwQ6AEISTAE#v=onepage&q=Risikoaggregation&f=false Karin Exner/Raoul Ruthner, ''Corporate Risk Management'', 2019, S. 117]</ref> Die innerhalb der Risikoaggregation vorzunehmende [[Risikoklassifizierung]] stellt die [[Schnittstelle]] zwischen [[Risikobewertung]] und [[Risikobewältigung]] dar.<ref>[https://books.google.de/books?id=vzrXBcsemsgC&pg=PA22&dq=Risikobeurteilung+Risikobewertung&hl=de&sa=X&ved=0ahUKEwjE5Y2wtrDnAhWHLlAKHazDD-AQ6AEIMDAB#v=onepage&q=Risikobeurteilung&f=false Bruno Wiederkehr/Rita-Maria Züger, ''Risikomanagementsystem im Unternehmen'', 2010, S. 37 f.]</ref> Auf Basis von verlässlichen aggregierten [[Daten]] kann die Risikosituation eines Unternehmens übergreifend erfasst und optimiert werden.<ref>[https://books.google.de/books?id=Fhj541YbC8sC&pg=PA199&dq=Risikoaggregation&hl=de&sa=X&ved=0ahUKEwjmitfUtabnAhVEKewKHTeyBUwQ6AEIOzAC#v=onepage&q=Risikoaggregation&f=false Leonhard von Metzler, ''Risikoaggregation im industriellen Controlling'', 2004, S. 199]</ref>
Die Risikoaggregation verfolgt das Ziel, auf Grundlage der [[Risikoidentifikation|identifizierten]], [[Risikoanalyse|analysierten]] und [[Risikobewertung|bewerteten]] Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen. Die innerhalb der Risikoaggregation vorzunehmende [[Risikoklassifizierung]] stellt die [[Schnittstelle]] zwischen [[Risikobewertung]] und [[Risikobewältigung]] dar. Auf Basis von verlässlichen aggregierten [[Daten]] kann die Risikosituation eines Unternehmens übergreifend erfasst und optimiert werden.


Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die [[Risikotragfähigkeit]] eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in {{§|91|aktg|juris}} [[Aktiengesetz (Deutschland)|AktG]] sowie § 1 StaRUG gefordert wird). Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.<ref name=":0">{{Literatur |Autor=Werner Gleißner, Frank Lienhard, Matthias Kühne |Titel=Neue gesetzliche Anforderungen an das Krisen- und Risikofrüherkennungssystem: Implikationen des StaRUG |Sammelwerk=Zeitschrift für Risikomanagement |Nummer=2/2021 |Datum=2021 |Seiten=32-40}}</ref> Es wird untersucht, mit welcher [[Wahrscheinlichkeit]] es zu Überschuldung oder [[Illiquidität]] (infolge von Verletzungen von Mindestanforderungen an das [[Rating]] oder von [[Kreditvertrag|Kreditverträgen]]) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.
Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die [[Risikotragfähigkeit]] eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in {{§|91|aktg|juris}} [[Aktiengesetz (Deutschland)|AktG]] sowie § 1 StaRUG gefordert wird). Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.Es wird untersucht, mit welcher [[Wahrscheinlichkeit]] es zu Überschuldung oder [[Illiquidität]] (infolge von Verletzungen von Mindestanforderungen an das [[Rating]] oder von [[Kreditvertrag|Kreditverträgen]]) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.


== Prozessablauf ==
== Prozessablauf ==
Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie [[Risikoquantifizierung]] umfasst. Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten. Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der [[Insolvenz]] durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.<ref>[https://books.google.de/books?id=c8z8V6JhUdIC&pg=PA159&dq=Risikoaggregation&hl=de&sa=X&ved=0ahUKEwje7_rP86jnAhVLuqQKHdG3Bl04ChDoAQg0MAE#v=onepage&q=Risikoaggregation&f=false Werner Gleißner, ''Grundlagen des Risikomanagements im Unternehmen'', 2011, S. 159]</ref>
Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie [[Risikoquantifizierung]] umfasst. Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten. Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der [[Insolvenz]] durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.


Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht. ''Unabhängige Risiken'' beeinflussen einander nicht. ''Risikointerdependenz'' dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind. Positiv [[Korrelation|korrelierte]] Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten. Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist.<ref>[https://books.google.de/books?id=VWQkBAAAQBAJ&pg=PT146&dq=risikobewertung&hl=de&sa=X&ved=0ahUKEwj95p6H7qbnAhVQ-6QKHYh8AOM4HhDoAQhFMAQ#v=onepage&q=risikobewertung&f=false Fabian Ahrendts/Anita Marton, ''IT-Risikomanagement leben'', 2008, S.&nbsp;24]</ref> Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.<ref name=":1">{{Literatur |Autor=Anne Nickert, Cornelius Nickert |Titel=Früherkennungssystem als Instrument zur Krisenfrüherkennung nach dem StaRUG |Sammelwerk=GmbH-Rundschau |Nummer=8 |Datum=2021 |Seiten=401-413}}</ref> Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines [[Korrelationskoeffizient]]en quantifiziert. Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.
Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht. ''Unabhängige Risiken'' beeinflussen einander nicht. ''Risikointerdependenz'' dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind. Positiv [[Korrelation|korrelierte]] Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten. Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist. Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines [[Korrelationskoeffizient]]en quantifiziert. Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.


Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen.
Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen.


In einem ersten Schritt der Risikoaggregation können drei von [[Werner Gleißner]] aufgestellte heuristische Regeln angewendet werden:<ref>Werner Gleißner, ''Quantifizierung komplexer Risiken – Fallbeispiel Projektrisiken'', in: ''Risiko-Manager'' Heft 22, Bank-Verlag/Köln, 2014, S. 1, 7–10</ref>
In einem ersten Schritt der Risikoaggregation können drei von [[Werner Gleißner]] aufgestellte heuristische Regeln angewendet werden:
* ''Ursachenaggregation'': Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
* ''Ursachenaggregation'': Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
* ''Wirkungsaggregation'': Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
* ''Wirkungsaggregation'': Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
Zeile 34: Zeile 34:


== Anwendung in der Praxis ==
== Anwendung in der Praxis ==
Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den [[IDW PS 340|IDW-Prüfungsstandard 340]] und den [[DIIR Revisionsstandard Nr. 2]] zum Risikomanagement von 2018). Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten. Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.<ref name=":0" /><ref name=":5">{{Literatur |Autor=DIIR- und RMA-Arbeitskreis "Interne Revision und Risikomanagement" |Titel=Der neue DIIR Revisionsstandard Nr. 2 zur Prüfung des Risikomanagementsystems: Implikationen von FISG und StaRUG für die Interne Revision |Datum=2022}}</ref> Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat<ref name=":5" />
Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den [[IDW PS 340|IDW-Prüfungsstandard 340]] und den [[DIIR Revisionsstandard Nr. 2]] zum Risikomanagement von 2018). Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten. Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat


Die Risikoaggregation ist Grundlage für die Messung von [[Risikotragfähigkeit]] und [[Risikotoleranz]] (siehe [[IDW PS 981]]).
Die Risikoaggregation ist Grundlage für die Messung von [[Risikotragfähigkeit]] und [[Risikotoleranz]] (siehe [[IDW PS 981]]).


=== IDW Prüfungsstandard (PS) 340 n.F. ===
=== IDW Prüfungsstandard (PS) 340 n.F. ===
Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen. Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont. Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.<ref name=":4" /> An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte. Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert. Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können.<ref>{{Literatur |Autor=Alexander Schmidt, Thomas Henschel |Titel=Prüfung des Überwachungssystems gemäß § 91 Abs. 2 AktG: Kritische Analyse der Neufassung des IDW PS 340 |Datum=2021}}</ref> Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen<ref name=":4" />
Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen. Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont. Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.
An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte. Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert. Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können. Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen
 


=== DIIR Revisionsstandard Nr. 2 ===
=== DIIR Revisionsstandard Nr. 2 ===
Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält. Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert. Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist. Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.<ref name=":5" />
Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält. Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert. Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist. Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.


=== Umsetzung der gesetzlichen Anforderungen ===
=== Umsetzung der gesetzlichen Anforderungen ===
Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig. In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt. Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten. Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt. Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.<ref name=":3" /><ref name=":4" />
Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig. In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt. Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten. Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt. Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.


== Weblinks ==
== Weblinks ==

Version vom 31. Oktober 2023, 13:27 Uhr

Risikoaggregation (risk aggregation) -


Beschreibung

Risikoaggregation () ist im Rahmen des Risikomanagements von Unternehmen oder Projekten die Aggregation aller Risiken mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.

Allgemeines

Die Risikoaggregation verfolgt das Ziel, auf Grundlage der identifizierten, analysierten und bewerteten Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen. Die innerhalb der Risikoaggregation vorzunehmende Risikoklassifizierung stellt die Schnittstelle zwischen Risikobewertung und Risikobewältigung dar. Auf Basis von verlässlichen aggregierten Daten kann die Risikosituation eines Unternehmens übergreifend erfasst und optimiert werden.

Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die Risikotragfähigkeit eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in Vorlage:§ AktG sowie § 1 StaRUG gefordert wird). Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.Es wird untersucht, mit welcher Wahrscheinlichkeit es zu Überschuldung oder Illiquidität (infolge von Verletzungen von Mindestanforderungen an das Rating oder von Kreditverträgen) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.

Prozessablauf

Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie Risikoquantifizierung umfasst. Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten. Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der Insolvenz durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.

Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht. Unabhängige Risiken beeinflussen einander nicht. Risikointerdependenz dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind. Positiv korrelierte Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten. Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist. Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines Korrelationskoeffizienten quantifiziert. Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.

Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen.

In einem ersten Schritt der Risikoaggregation können drei von Werner Gleißner aufgestellte heuristische Regeln angewendet werden:

  • Ursachenaggregation: Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
  • Wirkungsaggregation: Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
  • Ausschlussregel: Risiken, welche nicht zusammen eintreten können, werden bei der Risikoaggregation nicht gleichzeitig zugelassen.

Diese heuristischen Regeln ersetzten jedoch keine simulationsbasierte Risikoaggregation. Bei der anschließenden simulationsbasierten Risikoaggregation (vorzugsweise Monte-Carlo-Simulation) ist es bedeutsam, die tatsächlichen stochastischen Abhängigkeiten auf der Ursachen- und Wirkungsebene verschiedener Einzelrisiken adäquat zu berücksichtigen.

Der Risikoaggregation folgt im Prozessablauf die Risikobeurteilung.

Monte-Carlo-Simulation

Monte-Carlo-Simulation

Anwendung in der Praxis

Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den IDW-Prüfungsstandard 340 und den DIIR Revisionsstandard Nr. 2 zum Risikomanagement von 2018). Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten. Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat

Die Risikoaggregation ist Grundlage für die Messung von Risikotragfähigkeit und Risikotoleranz (siehe IDW PS 981).

IDW Prüfungsstandard (PS) 340 n.F.

Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen. Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont. Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG. An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte. Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert. Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können. Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen


DIIR Revisionsstandard Nr. 2

Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält. Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert. Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist. Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.

Umsetzung der gesetzlichen Anforderungen

Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig. In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt. Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten. Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt. Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.

Weblinks


Anhang

Siehe auch

Links

Weblinks
  1. https://de.wikipedia.org/wiki/Risikoaggregation


Abgerufen von „https://wiki.foxtom.de/index.php?title=Risiko/Aggregation&oldid=82580