Risiko/Aggregation
Risikoaggregation (risk aggregation) -
- im Rahmen des Risikomanagements
- von Unternehmen oder Projekten
- Aggregation aller Risiken
- mit dem Ziel der Bestimmung des Gesamtrisikoumfangs
- wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.
Beschreibung[Bearbeiten | Quelltext bearbeiten]
Risikoaggregation (risk aggregation) ist im Rahmen des Risikomanagements von Unternehmen oder Projekten die Aggregation aller Risiken mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.
- Ziel
Die Risikoaggregation verfolgt das Ziel, auf Grundlage der identifizierten, analysierten und bewerteten Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen.
- Die innerhalb der Risikoaggregation vorzunehmende Risikoklassifizierung stellt die Schnittstelle zwischen Risikobewertung und Risikobewältigung dar.
- Auf Basis von verlässlichen aggregierten Daten kann die Risikosituation eines Unternehmens übergreifend erfasst und optimiert werden.
- Notwendigkeit
Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die Risikotragfähigkeit eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in Vorlage:§ AktG sowie § 1 StaRUG gefordert wird).
- Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.Es wird untersucht, mit welcher Wahrscheinlichkeit es zu Überschuldung oder Illiquidität (infolge von Verletzungen von Mindestanforderungen an das Rating oder von Kreditverträgen) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.
Prozessablauf[Bearbeiten | Quelltext bearbeiten]
- Vorarbeiten
Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie Risikoquantifizierung umfasst.
- Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten.
- Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der Insolvenz durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.
- Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht.
Unabhängige Risiken beeinflussen einander nicht. Risikointerdependenz dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind.
- Positiv korrelierte Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten.
- Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist.
- Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines Korrelationskoeffizienten quantifiziert.
- Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.
- Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen
- In einem ersten Schritt der Risikoaggregation können drei von Werner Gleißner aufgestellte heuristische Regeln angewendet werden
- Ursachenaggregation: Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
- Wirkungsaggregation: Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
- Ausschlussregel: Risiken, welche nicht zusammen eintreten können, werden bei der Risikoaggregation nicht gleichzeitig zugelassen.
- Diese heuristischen Regeln ersetzten jedoch keine simulationsbasierte Risikoaggregation
- Bei der anschließenden simulationsbasierten Risikoaggregation (vorzugsweise Monte-Carlo-Simulation) ist es bedeutsam, die tatsächlichen stochastischen Abhängigkeiten auf der Ursachen- und Wirkungsebene verschiedener Einzelrisiken adäquat zu berücksichtigen.
- Der Risikoaggregation folgt im Prozessablauf die Risikobeurteilung
Monte-Carlo-Simulation[Bearbeiten | Quelltext bearbeiten]
Anwendung[Bearbeiten | Quelltext bearbeiten]
- Anwendung in der Praxis
Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den IDW-Prüfungsstandard 340 und den DIIR Revisionsstandard Nr. 2 zum Risikomanagement von 2018).
- Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten.
- Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat
Die Risikoaggregation ist Grundlage für die Messung von Risikotragfähigkeit und Risikotoleranz (siehe IDW PS 981).
IDW Prüfungsstandard[Bearbeiten | Quelltext bearbeiten]
- IDW Prüfungsstandard (PS) 340 n.F.
- Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen.
- Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont.
- Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.
- An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte.
- Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert.
- Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können.
- Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen
DIIR[Bearbeiten | Quelltext bearbeiten]
- DIIR Revisionsstandard Nr. 2
Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält.
- Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert.
- Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist.
- Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.
Gesetzlicher Anforderungen[Bearbeiten | Quelltext bearbeiten]
- Umsetzung gesetzlicher Anforderungen
Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig.
- In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt.
- Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten.
- Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt.
- Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.