Risikoüberwachung kann verbessert werden
Externe Adressaten von Geschäftsberichten erwarten, dass im Unternehmen ein adäquates System vorhanden ist, um Risiken zu identifizieren, zu bewerten, zu überwachen und zu managen. Investoren, Analysten und Ratingagenturen, aber auch Kunden und Lieferanten verlangen eine umfangreiche Risikoberichterstattung, um die Performance eines Unternehmens besser einschätzen und daraufhin fundierte Entscheidungen treffen zu können. Ihnen ist die zunehmend bedeutsame Rolle eines angemessenen Risikomanagements bewusst, und sie treiben die freiwillige Offenlegung von Risiken im Unternehmen voran.Während viele Rechnungslegungsgrundsätze nur ausgewählte Risikoangaben einfordern (zum Beispiel IFRS 7), ist in Deutschland eine umfassende und zukunftsorientierte Risikoberichterstattung seit 1999 verpflichtend. Kapitalmarktorientierte Unternehmen haben im Lagebericht die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben. Dem Vorstand einer Aktiengesellschaft obliegt darüber hinaus die Verpflichtung zur Einrichtung eines Risikofrüherkennungssystems. Die gesetzlichen Anforderungen werden durch die beiden Deutschen Rechnungslegungsstandards DRS 5 “Risikoberichterstattung” und DRS 15 “Management-Reporting” (heutiger DRS 20) des Deutschen Standardisierungsrats (DSR) ergänzt. Ernüchternde ErgebnisseEin umfassendes Standardrahmenwerk zum Format dieser Berichterstattung ist jedoch bisher nicht vorhanden. Die externe Risikoberichterstattung ist häufig inkonsistent, lückenhaft und schwer vergleichbar – sogar bei Unternehmen, die an den gleichen Märkten oder in der gleichen Branche aktiv sind. Das zeigt eine KPMG-Analyse, für die jetzt exemplarisch die Geschäftsberichte 15 deutscher Maschinen- und Anlagenbauunternehmen aus dem Geschäftsjahr 2011 unter die Lupe genommen wurden. Ziel war es, Leitlinien, Prinzipien und Benchmarks zu entwickeln, die sich auch auf andere Branchen anwenden lassen.Insgesamt wurden die Berichte auf 170 relevante Risiken hin abgeklopft, die sich in vier Cluster teilen lassen: strategische, operative und finanzielle Risiken und jene, die sich aus Governance- und Compliance-Aspekten ergeben. Um es vorwegzunehmen: Das Ergebnis ist ernüchternd. Obwohl in den Geschäftsberichten viele Risikoaspekte angesprochen werden, wird eine hohe Anzahl an Risiken nur unzureichend behandelt; signifikante Risiken werden zum Teil gar nicht oder nur rudimentär angesprochen. Eine detaillierte und aussagekräftige Risikoberichterstattung erfolgt häufig nur im Zuge einer regulativen Kopplung durch gesetzliche Vorgaben. Maschinen- und AnlagenbauerDie Analyse zeigt, dass relevante Themen der Kategorie Strategie Fragen offenlassen. So gehen viele Unternehmen auf die Herausforderungen des Supply-Chain-Managements und des sich wandelnden Wettbewerbsumfelds (steigender Wettbewerbsdruck aus Asien) nur unzureichend ein. Externe Risiken wie External Fraud, Naturgefahren oder Anforderungen an Joint Ventures bergen ebenfalls ein hohes Verbesserungspotenzial. Besonders der Themenkomplex der Nachfrageänderung (“Shift to East”) wird häufig nur indirekt oder zu pauschal abgehandelt. Auf die Berichterstattung über Maßnahmen zur Minimierung und Überwachung dieses Risikos wird häufig verzichtet.Nachholbedarf besteht auch in puncto Nachhaltigkeitsberichterstattung, vor allem, was Umweltrisiken und Klimawandelfolgen sowie Abfallreduzierung und Recycling angeht. Auch Angaben zu nachhaltiger Ressourcenverfügbarkeit und Energieversorgung erfolgen meist nur rudimentär. Die Möglichkeit, durch Zertifizierungen und Sustainability Audits die Nachhaltigkeit des Unternehmens unter Beweis zu stellen, wird häufig nicht genutzt. Die analysierten Geschäftsberichte der Maschinen- und Anlagenbauunternehmen zeigen ein extrem heterogenes Bewusstsein für operationelle Risiken. Dieses Cluster weist die höchste Streuung der Benchmark-Koeffizienten auf, wobei fast zwei Drittel der Unternehmen unterhalb des Medians liegen. Der Fokus der Berichterstattung innerhalb dieses Clusters liegt bei Innovation und Human Resources, wobei die IT- und Rechtsrisiken gar nicht oder nur selten erwähnt werden. Auf Risiken der F & E-Tätigkeiten wird nur selten ausführlich eingegangen. Beschreibungen eines angemessenen F & E-Managementsystems zur Sicherstellung einer zeitgerechten Entwicklung, Prüfung, Produktion und Markteinführung eines Produkts (Innovations- und Technologiemanagement) sind häufig unzureichend und lückenhaft. Treasury schneidet gut abDie ausgewerteten Geschäftsberichte der Maschinen- und Anlagenbauunternehmen zeigen ein überdurchschnittlich hohes Bewusstsein für finanzielle Risiken. Dabei ist das Risiko-Reporting über Treasury und Marktrisiken am genauesten und detailliertesten dargestellt.Unsere Analyse zeigt jedoch Verbesserungspotenzial beim Kapitalmanagement sowie bei Versicherungen und Kurssicherungsgeschäften (volatile Rohstoffmärkte, Fremdwährungsrisiken). Die Einbindung und Erläuterung von Frühwarnindikatoren zur Erhöhung der Berichterstattungsqualität wird nur selten genutzt. Die Mehrheit der untersuchten Unternehmen zeigt in ihren Geschäftsberichten ein überdurchschnittlich hohes Bewusstsein für Risiken, die sich auf den Bereich Governance und Compliance beziehen. Allerdings werden diese Themen sehr unterschiedlich behandelt und zeigen die größte Varianz aller Kategorien. Festzustellen ist eine mangelhafte Darstellung möglicher Risiken im Compliance-Management-System (Kultur, Reporting, Controlling). Auf das Compliance-Bewusstsein des Top-Managements sowie auf die Zusammensetzung des Aufsichtsrats und dessen Qualifikation beziehungsweise Reputation wird nur stark verkürzt eingegangen.Wie die Analyse zeigt, besteht in vielen Bereichen Optimierungspotenzial. Ganz allgemein sollten Unternehmen die Möglichkeit nutzen, den Prozess der Risikoidentifikation und -bewertung detaillierter zu beschreiben. Darüber hinaus empfiehlt sich eine Erläuterung, wie die Wirksamkeit und Angemessenheit von Risikosteuerung und Management-Tools definiert und gewährleistet wird. Und auch welche Maßnahmen zur Reduzierung von Risiken ergriffen wurden und wie diese Maßnahmen überwacht werden, sollte transparent gemacht werden.Auch die Strategien zur Risikominimierung sollten näher erläutert werden. Diesen Strategien sollte eine Szenarienplanung zugrunde liegen, die auch externe Faktoren (Konjunktur, Wettbewerbsumfeld, Nachfrageveränderung) ausreichend berücksichtigt. Was finanzielle Risiken angeht, sollten die Unternehmen den Berichtsadressaten die verwendeten Konzepte der Risikomessung (Szenario- und Sensitivitätsanalysen, Value at Risk), die installierten Instrumente zur Risikosteuerung (Swaps, Forwards, Futures und Optionen) und die entsprechenden Kontrollinstrumente von bzw. für Risiken ausführlicher erläutern. Auch sollte detaillierter beschrieben werden, wie man gewährleisten will, externe Vorschriften und interne Richtlinien bei allen Geschäftstätigkeiten und in allen Funktionen jederzeit zu erfüllen.Alles in allem nutzen Unternehmen der Maschinen- und Anlagenbaubranche die Chance, mit einer soliden Risikoberichterstattung die Stärke und das Potenzial ihrer Organisation zu vermitteln, noch zu selten und schöpfen den damit verbundenen Mehrwert nicht aus.