Reputationsrisikomanagement

Aus ControllingWiki

Wechseln zu: Navigation, Suche
Achtung. Sie nutzen eine nicht mehr unterstützte Version des Internet Explorer. Es kann zu Darstellungsfehlern kommen. Bitte ziehen Sie einen Wechsel zu einer neueren Version des Internet Explorer in Erwägung oder wechseln Sie zu einer freien Alternative wie Firefox.

Prüfsiegel gültig bis Januar 2020

Ausgangssituation

Ein Unternehmen braucht viele Jahre, um einen guten Ruf, d.h. eine positive Reputation aufzubauen. Dieser kann jedoch innerhalb weniger Minuten durch negative Medienberichterstattung vernichtet werden:

  • Menschen- und Arbeitsrechtsverletzungen bei Wal-Mart und Kik
  • Explodierende Akkus von Sony in Laptops von Dell
  • Umfallende A-Klasse-Fahrzeuge beim Elchtest von Daimler
  • Hoch spekulatives Verhalten von Banken und Versicherungsunternehmen vor der Finanzkrise
  • Von Spekulanten gestreute Gerüchte über angebliche Finanzprobleme der Großbank HBOS
  • Durch BP verursachte Ölpest im Golf von Mexiko

Aufgrund der zunehmenden Beobachtung von Unternehmen durch die Medien ist eine systematische Identifikation, Bewertung und Steuerung von Reputationsrisiken (diese werden in der Sprache von Kommunikatoren auch als „Issues“ bezeichnet) zwingend erforderlich.

Definitionen

Das Reputationsrisiko ist Teil des Unternehmensrisikos und muss durch das Risikomanagement, das sowohl aus betriebswirtschaftlicher als auch aus rechtlicher Sicht benötigt wird, abgedeckt werden.

In den Aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen (MaRisk VA) wird das Reputationsrisiko als eigenständige Risikokategorie gesehen. Es ist definiert als das „Risiko, das sich aus einer möglichen Beschädigung des Rufes des Unternehmens infolge einer negativen Wahrnehmung in der Öffentlichkeit (z.B. bei Kunden, Geschäftspartnern, Aktionären, Behörden) ergibt.“1

In den Aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement von Banken (MaRisk BA) ist das Reputationsrisiko (noch) nicht als eigenständige Risikokategorie festgelegt, jedoch findet es im Rahmen der Anforderungen an die Steuerung von Liquiditätsrisiken (BTR3 Nr. 3) Erwähnung. Demnach sind „Auswirkungen anderer Risiken (z.B. Reputationsrisiken) zu berücksichtigen.“2

Bedeutung des Reputationsrisikomanagements

Nach der Studie „Risk of Risks“ der Economist Intelligence Unit gilt das Reputationsrisiko unter den Risikomanagern als das bedeutsamste und gleichzeitig am schwierigsten zu handhabende Risiko.3 Trotz dieser Schwierigkeit und der Tatsache, dass in vielen Unternehmen institutionalisierte Schnittstellen zum „klassischen“ Unternehmensrisikomanagement (Enterprise Risk Management – ERM) fehlen, soll keine „stand-alone“ Lösung für das Reputationsrisikomanagement geschaffen, sondern eine Integration in die bestehenden Risikomanagementprozesse erreicht werden.

Das Reputationsrisikomanagement eines Unternehmens hat zu gewährleisten, dass die bestehenden Reputationsrisiken auf der Grundlage einer Reputationsrisikostrategie mittels einer systematischen und kontinuierlichen Vorgehensweise frühzeitig identifiziert, bewertet und aggregiert werden. Zum Reputationsrisikomanagement gehören ferner die Erfüllung der Dokumentationspflichten gem. IDW PS 340 und die Überwachung des Reputationsrisikomanagementsystems.

Reputationsrisikostrategie und -ziele

Dem eigentlichen Reputationsrisikomanagementprozesse vorgelagert ist die Reputationsrisikostrategie, die die grundsätzliche risikopolitische Ausrichtung des Unternehmens hinsichtlich Reputationsrisiken enthält. Aus diesem Grund wird die Reputationsrisikostrategie auch als die reputationsrisikopolitischen Grundsätze - „reputational risk management framework“ - des Unternehmens bezeichnet. Sie dokumentieren die Verpflichtung und das Engagement der Unternehmensleitung, den kritischen und bewussten Umgang mit Reputationsrisiken zu forcieren (sog. „commitment“).

Reputationsrisikomanagementprozess

Der Reputationsrisikomanagementprozess besteht aus einer Abfolge von Prozessschritten, die in verschiedenen Publikationen zum Risikomanagement unterschiedlich benannt sind. Die nachfolge Bezeichnung der einzelnen Prozessschritte stellt demnach nur eine Möglichkeit dar. Wichtig ist vielmehr, dass es sich um einen kontinuierlich ablaufenden Prozess handelt, der nicht nach einem Durchlauf beendet ist, sondern immer wieder erneut durchlaufen werden muss.

Reputationsrisikoidentifikation Ziel der Identifikationsphase ist das vollständige und systematische Erkennen potenzieller Reputationsrisiken als Primär- und Folgerisiken. Ferner sollten in der Identifikationsphase die Reputationsrisiken in Primär- und Folgerisiken differenziert werden. Mit Hilfe von Monitoring- und Frühwarnsystemen werden Unternehmen alarmiert, sofern deren Kommunikation sich in einer Gefahrenzone bewegt. Derartige Aufgaben können Social Media Monitoring, Medienresonanzanalysen oder Reputationsrisikoradare übernehmen.

Als Ergebnis dieser Phase werden die identifizierten Reputationsrisiken - systematisiert nach Kategorien - in einem Reputationsrisikokatalog dokumentiert.

Reputationsrisikobewertung Ziel dieser Phase ist die qualitative bzw. quantitative Bewertung der Reputationsrisiken und deren Fol-gerisiken sowie die Einordnung in Risikoklassen, wobei Wechselwirkungen (Korrelationen) oder (einseitige) Abhängigkeiten sowie die Aggregation der Reputationsrisiken berücksichtigt werden sollten.

Beim Unternehmensrisikomanagement werden alle Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer Schadenshöhe / Auswirkung bewertet. Um die Forderung nach der Anschlussfähigkeit des Reputationsrisikomanagements an das Unternehmensrisikomanagement erfüllen zu können, müssen alle Reputationsrisiken nach derselben Logik bewertet werden. Durch die Multiplikation von Eintrittswahrscheinlichkeit und Schadenshöhe kann der sog. Schadenserwartungswert ermittelt werden.

Auf Basis der Bewertung der Reputationsrisiken unter Verwendung einer vier- bis fünfstufigen Relevanzsystematik ist das Ausmaß der Reputationsrisiken zu ermitteln (= Relevanzsystematik bzw. Risikoklassen), z.B. unbedeutende, mittlere, bedeutende, schwerwiegende und bestandsgefährende Risiken. Die letzte Kategorie ist besonders wichtig, um die Anforderung des § 91 Abs. 2 AktG erfüllen zu können. Dieser fordert, dass „die den Fortbestand der Gesellschaft gefährdende Entwicklungen rechtzeitig erkannt werden können.“ Aus der Klassifizierung der Reputationsrisiken muss ebenso erkennbar sein, ab wann von einer Krise gesprochen wird und das Instrumentarium der Krisenkommunikation greift.

Ein einheitliches Vorgehen bei der Bewertung von Reputationsrisiken existiert nicht. So werden auch Bewertungsverfahren propagiert, die einen zweistufigen Ansatz verfolgen.4

Reputationsrisikosteuerung Ziel dieser Phase ist die Einleitung von Kommunikationsmaßnahmen zur Prävention des Eintritts von Reputationsrisiken sowie die angemessene Reaktion auf eingetretene Risiken (Krisenkommunikation).

Gegenstand der Reputationsrisikosteuerung ist damit die aktive Beeinflussung der im Rahmen der Identifizierungs- und Bewertungsphase ermittelten Reputationsrisiken durch das Ergreifen von Steuerungsmaßnahmen. Es lassen sich Strategien der Reputationsrisikosteuerung unterscheiden, z.B.

  • Risikovermeidung
  • Risikoverminderung
  • Risikoüberwälzung
  • Risikoakzeptanz

Im Rahmen der Reputationsrisikosteuerung werden Maßnahmen von den dezentral Verantwortlichen definiert und den Reputationsrisikozielen zugeordnet.

Reputationsrisikoreporting Ziel dieser Phase ist die regelmäßige Erstellung handlungsorientierter Berichte für die Verantwortlichen in den operativen Bereichen, die Unternehmensleitung und die Aufsichtsgremien.

Die Unternehmensleitung hat im Rahmen ihrer Organisationsgewalt sicherzustellen, dass ihr alle relevanten Risiken und damit auch die Reputationsrisiken des Unternehmens im Rahmen einer regelmäßigen Berichterstattung zur Kenntnis gelangen. Es sollte ein Reputationsrisikoreporting mit unterschiedlichen Berichtsformaten und definierten Schwellwerten („Ampelfunktion“) installiert werden, das zwischen regelmäßigen Berichten und Ad-hoc-Berichten unterscheidet.

Reputationsrisikoüberwachung Ziel dieser Phase ist die regelmäßige Überwachung der eingeleiteten Gegensteuerungsmaßnahmen durch die Unternehmenskommunikation und die Überprüfung der Wirksamkeit dieser hinsichtlich der Erreichung der gesetzten Reputationsrisikoziele.

Bei der Risikoüberwachung ist zu unterscheiden: a) Risikoüberwachung im engeren Sinne (i.e.S.), d.h. die laufende Überwachung der einzelnen Reputationsrisiken zur Überprüfung der Wirksamkeit der Risikosteuerungsmaßnahmen, b) Risikoüberwachung im weiteren Sinne (i.w.S.), d.h. die Überwachung des Reputationsrisikomana-gementsystems durch eine unabhängige Kontrollinstanz.

Organisation des Reputationsrisikomanagements

Nur durch eine konstruktive Zusammenarbeit von Unternehmenskommunikation, Unternehmensrisikomanagement und den operativen Einheiten (Fachbereiche) kann ein wirkungsvolles und effizient arbeitendes Reputationsrisikomanagement im Unternehmen etabliert werden. Nachfolgende Rollen werden in der Unternehmenspraxis regelmäßig definiert, die jedoch von Unternehmen zu Unternehmen unterschiedlich bezeichnet werden:

  • Mitarbeiter der Unternehmenskommunikation
  • Reputationsrisikobeauftragte der Fachbereiche
  • Reputationsrisikomanager der Unternehmenskommunikation
  • Bereichs- und Abteilungsleiter der Unternehmenskommunikation
  • Reputationsrisikoausschuss
  • Reputationsrisikocontroller (und Unternehmensrisikocontroller)
  • Interne Revision und Abschlussprüfer

Neben den eingesetzten Methoden, der Aufbauorganisation ist auch die Ablauforganisation (Prozesse sowie Teilprozesse) im Reputationsrisikomanagementhandbuch zu dokumentieren. Seitens des ICV wird auch empfohlen, die Prozessleistung des Risikomanagementprozesses auf Basis der Parameter Zeit, Kosten und Qualität zu messen und zu steuern.5

Dokumentation und Prüfung des Reputationsrisikomanagementsystems

Das Reputationsrisikomanagementsystem sollte hinsichtlich seiner Funktionsweise und Dokumentation die Anforderungen des Prüfungsstandards (PS) 340 des Instituts der Wirtschaftsprüfer (IDW) erfüllen, sofern das Risikomanagementsystem des Unternehmens nach § 317 Abs. 4 HGB prüfungspflichtig ist. Eine Abstimmung mit dem Abschlussprüfer ist auf jeden Fall empfehlenswert.

Quellennachweise

1. BaFin, Rundschreiben 3/2009, MaRisk VA, Seite 9.

2. BaFin, Rundschreiben 15/2009, MaRisk BA, BTR3, Nr. 3.

3. Vgl. Studie „Risk of Risks“ der Economist Intelligence Unit von 2005, Seite 5.

4. Vgl. BearingPoint GmbH (Hrsg.), Management von Reputationsrisiken, 2008, Seite 14 ff.; vgl. Schierenbeck, H. / Grüter, M. D. / Kunz, M. J., Management von Reputationsrisiken in Banken, 2004, Seite 21 ff.

5. Vgl. Internationaler Controllerverein (ICV), ICV-Statement „Prozessorientiertes Risikomanagement“, Seite 41.

Ersteinstellender Autor

Professor Dr. Uwe M. Seidel, ordentlicher Professor für Rechnungswesen, Controlling und Projektmanagement an der Hochschule Regensburg, Direktor am Zentrum für Konflikkostenforschung der HUMBOLDT-VIADRINA School of Governance, Berlin, und Partner bei der IPM United GmbH, München.

Mail: uwe.seidel@ipm-united.com