Risikomanagement nach KonTraG

Risikomanagement Ergebnisverteilung

Die Energiewirtschaft hatte in den letzten Jahren flächendeckend mit sinkenden Ergebnissen, in Einzelfällen mit ungeplanten hohen Verlusten oder gar Insolvenzen zu kämpfen. Schuld waren in der Regel Risiken der Energieerzeugung. Das traditionelle Lieblingsthema der Risikomanager – Marktrisiken der Energiebeschaffung und des Energiehandels – hatte dabei in der Regel wenig Bedeutung.

Es ist somit wichtig, dass das Risikomanagement eines Energieversorgers die Managementaufmerksamkeit auf unternehmensgefährdende Risiken in der Reihenfolge ihrer Wesentlichkeit richtet und sich nicht ausschließlich oder vorrangig auf das Energiebeschaffungs- oder Energiehandelsgeschäft konzentriert, weil hier zufällig durch den Bankensektor und die Finanzmathematik eine Vielzahl probater Methoden bereitgestellt werden.

Risikomanagement nach KonTraG

Wesentliche rechtliche Grundlage für das Risikomanagement im Unternehmen ist das KonTraG-Gesetz, ein Artikel-Gesetz, in Kraft getreten am 1. Mai 1998. Es verpflichtet

  • den Vorstand „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§91 Abs.2 AktG).
  • Abschlussprüfer, das Risikomanagementsystem und die zugehörigen Maßnahmen im Bereich der internen Revision zu prüfen und zum Bestandteil des Prüfungsberichtes zu machen (§ 317 Abs. 4 HGB).

Auch Kommanditgesellschaften auf Aktien (KGaA) und GmbHs unterliegen dem KonTraG (Ausstrahlungswirkung).

Ein Artikelgesetz besteht, wie die obigen Zitate und ein Klick auf den Link zeigen, aus einer Auflistung von Änderungen zahlreicher anderer Gesetze. Das bedeutet, dass ein Artikelgesetz nur schwer lesbar ist. Umsetzungshilfe geben vor diesem Hintergrund die folgenden Leitfäden:

Auch die Verantwortung des Geschäftsführers für angemessene IT-Sicherheitsstandards wird oftmals aus dem KonTraG abgeleitet. Umsetzungshilfe bietet der

Revisionssichere Risikomanagementsysteme

Der Standard des Deutschen Instituts für Interne Revision e.V konkretisiert  Anforderungen an ein Risikomanagementsystem nach KonTraG in folgenden Themenbereichen:

  • Aufbauorganisation / Managementverantwortung
  • Dokumentation des Risikomanagementsystems
  • Risikoidentifikation und -erfassung
  • Risikoanalyse und -bewertung
  • Risikosteuerung und -überwachung
  • Risikoberichterstattung und -kommunikation

Der Geschäftsführung obliegt die Definition der Risikostrategie und die Implementierung einer Risikomanagement-Organisation. Die tatsächliche Identifikation, Bewertung, Steuerung, Überwachung sowie die Kommunikation der Risiken ist Aufgabe des Managements.

Das Risikomanagementssystem muss in einem Risikomanagementhandbuch dokumentiert werden.

Handbücher müssen versioniert werden, Änderungen sind mit Freigabeprozessen verbunden. Die Inhalte verpflichten Mitarbeiter und sind somit arbeitsrechtlich relevant. Die aktuelle Version sollte allen Mitarbeitern stets zur Verfügung stehen. Es kann somit zweckmäßig sein, solche Dokumente in einem Unternehmens-Wiki zu führen, das Versionierung und Benachrichtigungs- und Freigabeprozesse unterstützt.

Risikoinventur

Sämtliche Einzelrisiken des Unternehmens müssen über eine regelmäßige Risikoinventur in einem Risikokatalog erfasst werden.

Der Risikomanagementprozess nach KonTraG beinhaltet dabei:

  • Risikoidentifikation und -erfassung
  • Risikoanalyse und -bewertung
  • Risikosteuerung und -überwachung
  • Risikoberichterstattung und -kommunikation

Somit sieht der KonTraG-Risikoprozess wie folgt aus:

Risikomanagement KontraG Prozess

Nach Durchführung des Prozesses verfügt das Unternehmen über einen aktualisierten Risikokatalog mit Einzelrisiken und zugehörigen Informationen zu jedem Risiko wie:

  • Risikobezeichnung
  • Beschreibung des Risikos
  • Schadensausmaß
  • Eintrittswahrscheinlichkeit
  • Risikoklasse (hoch / mittel / niedrig)
  • Risikoverantwortlicher
  • Steuerungsmaßnahmen
  • Frühwarnindikatoren

Der Risikokatalog kann durchaus umfangreich ausfallen, da er alle Einzelrisiken auflisten soll.

Alle Risiken müssen außerdem regelmäßig in angemessenem Rhythmus bewertet und gemeldet werden. Die hierbei erzeugten Dokumente müssen ordnungsgemäß archiviert werden und können in einem größeren Unternehmen einen erheblichen Umfang annehmen.  Vor diesem Hintergrund ist es bei einem größeren Unternehmen zweckmäßig, die KonTraG-Prozesse:

  • Risikoidentifikation und -erfassung und
  • Risikoberichterstattung und -kommunikation

in einem datenbank-basierten System mit geeigneten User-Rollen zu erfassen, in dem sowohl Meldung als auch Kenntnisnahme elektronisch dokumentiert wird.

Umgang mit dem Risikokatalog

Wesentlicher Zweck des Kataloges ist es aber, die Managementaufmerksamkeit auf unternehmensgefährdende Risiken zu lenken. Dies sind entweder Risiken, die ein hohes Schadensausmaß aufweisen oder solche bei denen der erwartete Schaden hoch ist.

Es ist nicht ohne Weiteres möglich, aus einem solchen Katalog das Gesamtrisiko abzuleiten, dem das geplante Ergebnis des Unternehmens ausgesetzt ist. Die Risiken können nicht addiert werden, da sie nicht alle gleichzeitig eintreten. Es kann aber ebenfalls nicht einfach angenommen werden, dass die Risiken unkorreliert sind. Der Eintritt eines Risikos kann durchaus bei gewissen Konstellationen andere Risikoeintritte nach sich ziehen. Zum Beispiel sind Marktpreisrisiken und Kreditrisiken im allgemeinen positiv korreliert, weil Marktpreis-Schocks Insolvenzen auslösen können. Im Allgemeinen gibt es keine Möglichkeit, die Korrelation der Risiken sinnvoll zu bestimmen. Zudem wurde die Chancenseite überhaupt nicht betrachtet.

Oftmals kann aber die Planabweichung eines kleinen bis mittelgroßen Unternehmens bereits durch sehr wenige Risiken sehr gut erklärt werden, so dass ganz ohne mathematische Methoden Vorhersagen zur möglichen Planabweichung und zum Eigenkapitalbedarf gemacht werden können.

Risikomeldungen nach KonTraG

Die Berichterstattung an die Geschäftsführung über Ergebnisse der Risikoinventur muss regelmäßig erfolgen. Für viele Risiken wird jedoch eine monatliche oder sogar nur jährliche Evaluierung und Berichterstattung ausreichend erscheinen. Neu in Erscheinung getretene hohe Risiken müssen in Abhängigkeit von vorher definierten Schwellwerten adhoc gemeldet werden.

Die Risikoüberwachung des Energiehandel muss jedoch bei nennenswerter Aktivität auf den Energiehandelsmärkten immer in Echtzeit erfolgen. Tägliche Portfolioberichte werden dabei nicht nur von der Geschäftsführung, sondern in erster Linie und in weit detaillierterer Form von den Händlern und Portfoliomanagern selbst, dann auch vom Risikomanagement benötigt. Risikomanagement für den Energiehandel ist somit ein eigenes Thema.

Detailberichte im Energiehandel sollten jedoch zu der Risikokommunikation im Rahmen der KonTraG-Berichterstattung konsistent sein. D.h. im Rahmen der KonTraG-Berichterstattung gemeldete Handelsrisiken sollten aus der Handelsberichterstattung sinnvoll abgeleitet werden.

Risikomanagement für die Erzeugung

Risiken der Energieerzeugung beschränken sich nicht auf Erzeugungsanlagen mit konventionellen Energieträgern. Auch Investitionen in Erneuerbare sind risikobehaftet. Dies zeigen die in breiten Teilen unauskömmlichen Windparkrenditen, mit denen Werner Daldorf als Mitglied im Bundesvorstand des Bundesverbands WindEnergie e.V. (Vorsitzender Anlegerbeirat) Mitte 2015 an die Öffentlichkeit trat.

Seine Auswertung von 1.620 Jahresabschlüsse aus 2000 – 2014 von 211 Windparks kommt zu dem Ergebnis, dass

  • die Umsatzerlöse im Mittel 13,2 % unter Plan lagen
  • nur 12 % der Windparks 100% der prospektierten Erlöse oder mehr erreichten
  • die tatsächliche Eigenkapitalrendite im Mittel bei 3,5 % statt geplanten 8 % lag

Als Ursachen benennt er:

  • zu hoch angesetzte Windprognosen
  • ungeplante Anlagenstillstände
  • Unterschätzung der Betriebskosten

Bei konventionellen Anlagen sind dagegen vorallem hohe, auf den Commodity-Terminmärkten nicht absicherbare Marktpreisrisiken in den weiter in der Zukunft liegenden Lieferjahren und regulatorische und politische Risiken eingetreten. Letztere sind bei dem stark von Marktdesign und direkter Förderung abhängigen EEG-Geschäft ebenfalls zu berücksichtigen. Somit sind bei der Erzeugung insbesondere die folgenden Risiken zu betrachten:

  • politische und regulatorische Risiken
  • Marktpreisrisiken
  • technische Risiken
  • Adressausfallrisiken von Lieferanten, Produzenten und Anbietern von Wartungsverträgen

Risikomanagement für den Energiehandel

Risiken des Energiehandels sind relativ gut mit Risiken beim Handel mit Finanzinstrumenten vergleichbar. Somit bietet die Bankenregulierung MaRisk (Mindestanforderungen an das Risikomanagement) eine gute Richtlinie zur Steuerung dieser Risiken. Die MaRisk unterscheidet die folgenden wesentlichen Risiken:

  • Adressausfallrisiken
  • Marktpreisrisiken
  • Liquiditätsrisiken und
  • Operative Risiken

Zur Steuerung dieser Risiken stellt die MaRisk Anforderungen an die Aufbau- und Ablauforganisation. Hieraus wird die typische Organisation des Handelsbereiches in Frontoffice, Middleoffice und Backoffice abgeleitet:

Risikomanagement Funktionstrennung MaRisk

In der MaRisk finden sich auch Marktstandards für die Steuerung der genannten wesentlichen Risiken, die auch in der Energiewirtschaft weite Verbreitung gefunden haben.

Risikomanagement im Energievertrieb

Die Arbeitsteilung zwischen Handel oder Beschaffung und dem Vertrieb sieht in der Regel vor, Marktpreisrisiken im Handel zu steuern. Basierend auf den jeweiligen Absatzprognosen des Vertriebs werden Mengen so beschafft und an den Vertrieb verrechnet, dass dieser nach Möglichkeit keinen Marktpreisrisiken unterliegt. Diese Prozesse wirken aber nur soweit als die Absatzprognosen des Vertriebs richtig sind und die prognostizierten Absatzpreise erzielt werden. Im Vertrieb verbleiben somit insbesondere:

  • Mengenrisiken
  • Bindefristrisiken
  • Adressausfallrisiken
  • Operationelle Risiken

Ebenso wie im Energiehandel spielen auch im Energievertrieb IT-unterstützte Standardprozesse eine zentrale Rolle. Somit sind unter den operationellen Risiken insbesondere IT-Risiken zu beachten.

Risikomanagement für das Unternehmen

Auch der Betrieb von Netzen, Fernwärmeversorgung, Geschäftsfelder im Contracting usw. sind mit Risiken verbunden. Die obige exemplarische Aufzählung erhebt auch für die erwähnten Geschäftsfelder keinen Anspruch auf Vollständigkeit. Erfahrung mit den typischen Risiken der Branche und Musterkataloge sind für die Erstellung eines Risikokatalogs hilfreich.

Die Aufstellung zeigt aber auch, dass Risikoaufnahme und Risikosteuerung nur mit dem betroffenen Geschäftsbereich und unter Berücksichtigung von dessen spezifischer Expertise erfolgen können. Welche Risiken in einem Geschäftsfeld im Auge behalten werden müssen, ist typischerweise ein Wertbeitrag von spezifischer professioneller Erfahrung. Daher ist in diesem Zusammenhang auch oft von gezahltem Lehrgeld die Rede.

Das KonTraG sieht immer den risikonehmenden Geschäftsbereich wie auch den institutionellen Risikomanager als risikoverantwortlich. Risikomanagement ist ein Teil des Managements. Es trägt dazu bei, ein Geschäftsfeld zum Erfolg zu führen, indem nur kalkulierte Risiken genommen werden, bei denen die Chancen in einem guten Verhältnis zum Risiko stehen.

Kommentar verfassen