Innert kürzester Zeit sind zahlreiche nationale und supranationale Standards zur Berichterstattung über die Corporate Governance geschaffen worden. Doch das genügt noch nicht. Die Kapitalmärkte fordern von den Unternehmen höhere Transparenz über die eingegangenen Risiken, denn bessere Informationsgrundlagen dienen sowohl den Investoren für ihre Entscheide als auch als Argumentationsbasis für Generalversammlungen und Prozesse.
Unternehmer tun sich schwer, über ihre Geschäftsrisiken zu berichten. Dies hängt primär mit der Wahrung von Geschäftsgeheimnissen wie auch mit der präventiven Reduktion von potenziellen (rechtlichen) Angriffsflächen zusammen. Ein anderes Motiv ist zweifellos, dass komplexe Risiken nicht immer einfach zu erklären und zu kommunizieren sind, womit die Gefahr einer falschen Wahrnehmung durch die Investoren und andere Stakeholder besteht. Zudem sind gewisse Risiken nur schwer quantifizierbar. Finanzinstitute veröffentlichen im Gegensatz zu anderen Unternehmen umfassendere Risiko-Informationen, dies weil der Finanzsektor weit mehr verbindliche Standards und Empfehlungen kennt. Ferner tragen die bisher eher auf Finanzrisiken beschränkten Standards der Tatsache nicht Rechnung, dass die für Unternehmen des Nicht-Finanz-Bereiches bestehenden Schlüsselrisiken tendenziell eher im strategischen und operativen Bereich liegen, während Marktrisiken verhältnismässig unwichtig sein können.
Untersuchungen von Ernst & Young zeigen, dass börsenkotierte Unternehmen bereits heute zahlreiche Informationen über Risiken in ihren Geschäftsbericht integrieren, dies allerdings an verschiedenen Orten. Die Frage an das Management ist somit nicht «Wollen Sie über Risiken rapportieren?», sondern «Wollen Sie über Risiken transparenter und umfassender rapportieren?». Entsprechend müssten allfällige Forderungen der Börse formuliert werden.
Nutzen
Das Risk Reporting in anderen Ländern ist unterschiedlich weit entwickelt und auch unterschiedlich ausgerichtet. Erkennbar ist aber vielfach die Absicht, durch eine Regelung einen Nutzen für Stakeholder wie auch für das Unternehmen zu generieren. Ziel der externen Risikoberichterstattung ist es primär, den Adressaten des Geschäftsberichtes einer börsenkotierten Unternehmung entscheidungsrelevante und verlässliche Informationen zur Verfügung zu stellen. Ein weiteres Ziel besteht darin, dass sich Unternehmen strukturierter mit den Risiken in ihrem Unternehmen befassen und daraus abgeleitet ihre Risikomanagement-Prozesse verbessern. Dies soll die künftigen Cashflows steigern und deren Volatilität verringern helfen. Unter Beachtung von Referenz-Strukturen im Ausland könnten folgende wichtige Aspekte in einen künftigen Schweizer Standard aufgenommen werden:
- Systematisierung der Risiken;
- Berichtspflichtige Risiken;
- Risikoeinschätzung/-quantifizierung;
- Risikobewältigungsmassnahmen;
- Prognosezeitraum;
- Risikomanagement-System;
- Testierung;
- Gültigkeit des Risk-Reporting-Standards.
Mögliche Struktur
Eine Regelung bezüglich Risk Reporting soll in der Schweiz nicht zu einer detaillierten Vorgabe für Einzelrisiken verkommen, weil den industriespezifischen Begebenheiten von Einzelrisiken nicht mit vernünftigem Regelungsumfang begegnet werden kann. Dies führt zwangsläufig zu einer eher generischen Formulierung von Grundsätzen (siehe Kasten), aus welchen aber industriespezifische Reporting-Aspekte abgeleitet werden können. Der Geschäftsbericht könnte künftig eine neue «Risk Reporting Section» mit drei Abschnitten enthalten:
- Risikomanagement-System: Umschreibung von Risikomanagement-Strategie, -Prozess und -Organisation.
- Hinweis bezüglich zukunftsgerichteter Aussagen: Dieser soll die Bemühungen bekräftigen, den Geschäftsbericht mit zukunftsgerichteten Risikoüberlegungen auszugestalten. Gleichzeitig soll er eine Ablehnung oder Nichtübernahme der Verpflichtung zum Ausdruck bringen, zukunftsgerichtete Aussagen des Geschäftsberichtes aufgrund neuer Informationen, künftiger Ereignisse oder anderer Faktoren zu aktualisieren oder abzuändern.
Testierung
Auch die Testierung der Informationen eines Risiko-Reportings steht zur Debatte. Für den Adressaten des Geschäftsberichtes bringt es Sicherheit, wenn er weiss, dass die entscheidungsrelevanten Informationen bezüglich Risikofaktoren (und eventuell das Risikomanagement-System) von einer unabhängigen Stelle durchgesehen wurden und die Informationen zum Zeitpunkt der Veröffentlichung des Geschäftsberichtes als wesentlich, nachvollziehbar und verlässlich eingestuft werden können. Die primäre Rolle des Abschlussprüfers könnte folgendermassen definiert werden: Er macht eine Beurteilung der ihm bekannten Risiken und erstellt eine Zusatzbestätigung, dass die Aussagen des Risiko-Reportings aufgrund seines Wissens als Abschlussprüfer vollständig sind. Zusätzlich eventuell und sekundär führt der Abschlussprüfer eine kritische Begutachtung des Risikomanagement-Systems durch.
In Bezug auf extern zu rapportierende Risikofaktoren könnte der Abschlussprüfer eine Beurteilung der adäquaten Verwendung allgemein verfügbarer Informationen, der Realitätsnähe und Widerspruchsfreiheit aller grundlegenden Annahmen und der Beschreibung der Risikofaktoren im Geschäftsbericht durchführen. Zudem könnte er im Bereich Risikomanagement-Systeme eine Plausibilitätsprüfung bezüglich der korrekten Handhabung der Prognoseverfahren sowie der Zweckmässigkeit des Risikomanagement-Systems machen. Er hat auch festzustellen, ob durch die Massnahmen alle potenziell bestandesgefährdenden Risiken rechtzeitig erfasst und kommuniziert werden, sodass die Unternehmensleitung in geeigneter Weise reagieren kann.
Die Reaktion der Unternehmensleitung auf erkannte Risiken wäre aber nicht Gegenstand der Prüfung. Soweit die Unternehmensleitung geeignete Massnahmen getroffen hat, wären diese nach den allgemeinen Grundsätzen der Systemprüfung in Stichproben auf ihre Wirksamkeit und kontinuierliche Anwendung im zu prüfenden Geschäftsjahr zu prüfen.
Ancillo Canepa, dipl. Wirtschaftsprüfer, ist Mitglied der Geschäftsleitung, Partner und Leiter Wirtschaftsprüfung (AABS Industries), Roger Amhof, lic. rer. pol., Leiter Enterprise Risk Management Services bei Ernst & Young, Zürich.
Risk Reporting
Empfehlungen für Schweizer Risk-Reporting-Grundsätze
Eine mögliche Grundsatzformulierung für das Risk Reporting in der Schweiz könnte in Anlehnung an den deutschen Standard DRS-5 wie folgt lauten:
- Der Detaillierungsgrad der Berichterstattung über Risiken und das Risikomanagementsystem ist zweckmässig festzulegen. Die qualitativen Anforderungen an einen Risk Report richten sich nach den Grundsätzen der Wesentlichkeit, Verlässlichkeit, Vergleichbarkeit und Verständlichkeit.
- Im Zweifelsfall wird empfohlen, einen Sachverhalt offen zu legen, auch wenn die Information nicht ganz verlässlich ist, dabei aber auf die begrenzte Verlässlichkeit der Information hinzuweisen. Vergleichbarkeit und Verständlichkeit von Risikoinformationen ist wünschenswert, aber weniger wichtig als Wesentlichkeit und Verlässlichkeit.
- Im Geschäftsbericht sollen primär Risikofaktoren offen gelegt werden, die unternehmens- oder auch branchenspezifisch sind und explizit auch theoretische Überlegungen darstellen. Unternehmen sollen ermutigt werden, die Risikofaktoren gemäss ihrer Priorität für das Unternehmen aufzulisten. Wenn von Risiken gesprochen wird, sollte nicht nur der «Downside» im Sinne eines absoluten Wertes erläutert werden, sondern auch über Unsicherheit und Volatilität gesprochen werden.
- Das Ziel börsenkotierter Unternehmen ist die Beschaffung von Kapital zu möglichst tiefen Kosten. Dazu sollten deren Geschäftsberichte Informationen über Risiken im weitesten Sinne sowie über Massnahmen, um diese zu managen, wie auch über entsprechende Messgrössen enthalten.
- Aus Gründen der Klarheit hat die Risikoberichterstattung in einer geschlossenen Darstellung zu erfolgen. Die Abschnitte, die in den Geschäftsberichten zum Thema Risiko und Risikomanagement Stellung nehmen, sollen strukturiert werden und die Inhalte ansatzweise aber nicht abschliessend vorgegeben werden.
- Das Risiko-Reporting soll jährlich erfolgen. (ca/am)