Reputationsrisikomanagement
Aus ControllingWiki
Inhaltsverzeichnis
- 1 Ausgangssituation
- 2 Definitionen
- 3 Bedeutung des Reputationsrisikomanagements
- 4 Reputationsrisikostrategie und -ziele
- 5 Reputationsrisikomanagementprozess
- 6 Organisation des Reputationsrisikomanagements
- 7 Dokumentation und Prüfung des Reputationsrisikomanagementsystems
- 8 Quellennachweise
- 9 Ersteinstellender Autor
Ausgangssituation
Ein Unternehmen braucht viele Jahre, um einen guten Ruf, d.h. eine positive Reputation aufzubauen. Dieser kann jedoch innerhalb weniger Minuten durch negative Medienberichterstattung vernichtet werden:
- Menschen- und Arbeitsrechtsverletzungen bei Wal-Mart und Kik
- Explodierende Akkus von Sony in Laptops von Dell
- Umfallende A-Klasse-Fahrzeuge beim Elchtest von Daimler
- Hoch spekulatives Verhalten von Banken und Versicherungsunternehmen vor der Finanzkrise
- Von Spekulanten gestreute Gerüchte über angebliche Finanzprobleme der Großbank HBOS
- Durch BP verursachte Ölpest im Golf von Mexiko
Aufgrund der zunehmenden Beobachtung von Unternehmen durch die Medien ist eine systematische Identifikation, Bewertung und Steuerung von Reputationsrisiken (diese werden in der Sprache von Kommunikatoren auch als „Issues“ bezeichnet) zwingend erforderlich.
Definitionen
Das Reputationsrisiko ist Teil des Unternehmensrisikos und muss durch das Risikomanagement, das sowohl aus betriebswirtschaftlicher als auch aus rechtlicher Sicht benötigt wird, abgedeckt werden.
In den Aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen (MaRisk VA) wird das Reputationsrisiko als eigenständige Risikokategorie gesehen. Es ist definiert als das „Risiko, das sich aus einer möglichen Beschädigung des Rufes des Unternehmens infolge einer negativen Wahrnehmung in der Öffentlichkeit (z.B. bei Kunden, Geschäftspartnern, Aktionären, Behörden) ergibt.“1
In den Aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement von Banken (MaRisk BA) ist das Reputationsrisiko (noch) nicht als eigenständige Risikokategorie festgelegt, jedoch findet es im Rahmen der Anforderungen an die Steuerung von Liquiditätsrisiken (BTR3 Nr. 3) Erwähnung. Demnach sind „Auswirkungen anderer Risiken (z.B. Reputationsrisiken) zu berücksichtigen.“2
Bedeutung des Reputationsrisikomanagements
Nach der Studie „Risk of Risks“ der Economist Intelligence Unit gilt das Reputationsrisiko unter den Risikomanagern als das bedeutsamste und gleichzeitig am schwierigsten zu handhabende Risiko.3 Trotz dieser Schwierigkeit und der Tatsache, dass in vielen Unternehmen institutionalisierte Schnittstellen zum „klassischen“ Unternehmensrisikomanagement (Enterprise Risk Management – ERM) fehlen, soll keine „stand-alone“ Lösung für das Reputationsrisikomanagement geschaffen, sondern eine Integration in die bestehenden Risikomanagementprozesse erreicht werden.
Das Reputationsrisikomanagement eines Unternehmens hat zu gewährleisten, dass die bestehenden Reputationsrisiken auf der Grundlage einer Reputationsrisikostrategie mittels einer systematischen und kontinuierlichen Vorgehensweise frühzeitig identifiziert, bewertet und aggregiert werden. Zum Reputationsrisikomanagement gehören ferner die Erfüllung der Dokumentationspflichten gem. IDW PS 340 und die Überwachung des Reputationsrisikomanagementsystems.
Reputationsrisikostrategie und -ziele
Dem eigentlichen Reputationsrisikomanagementprozesse vorgelagert ist die Reputationsrisikostrategie, die die grundsätzliche risikopolitische Ausrichtung des Unternehmens hinsichtlich Reputationsrisiken enthält. Aus diesem Grund wird die Reputationsrisikostrategie auch als die reputationsrisikopolitischen Grundsätze - „reputational risk management framework“ - des Unternehmens bezeichnet. Sie dokumentieren die Verpflichtung und das Engagement der Unternehmensleitung, den kritischen und bewussten Umgang mit Reputationsrisiken zu forcieren (sog. „commitment“).
Reputationsrisikomanagementprozess
Der Reputationsrisikomanagementprozess besteht aus einer Abfolge von Prozessschritten, die in verschiedenen Publikationen zum Risikomanagement unterschiedlich benannt sind. Die nachfolge Bezeichnung der einzelnen Prozessschritte stellt demnach nur eine Möglichkeit dar. Wichtig ist vielmehr, dass es sich um einen kontinuierlich ablaufenden Prozess handelt, der nicht nach einem Durchlauf beendet ist, sondern immer wieder erneut durchlaufen werden muss.
Reputationsrisikoidentifikation Ziel der Identifikationsphase ist das vollständige und systematische Erkennen potenzieller Reputationsrisiken als Primär- und Folgerisiken. Ferner sollten in der Identifikationsphase die Reputationsrisiken in Primär- und Folgerisiken differenziert werden. Mit Hilfe von Monitoring- und Frühwarnsystemen werden Unternehmen alarmiert, sofern deren Kommunikation sich in einer Gefahrenzone bewegt. Derartige Aufgaben können Social Media Monitoring, Medienresonanzanalysen oder Reputationsrisikoradare übernehmen.
Als Ergebnis dieser Phase werden die identifizierten Reputationsrisiken - systematisiert nach Kategorien - in einem Reputationsrisikokatalog dokumentiert.
Reputationsrisikobewertung Ziel dieser Phase ist die qualitative bzw. quantitative Bewertung der Reputationsrisiken und deren Fol-gerisiken sowie die Einordnung in Risikoklassen, wobei Wechselwirkungen (Korrelationen) oder (einseitige) Abhängigkeiten sowie die Aggregation der Reputationsrisiken berücksichtigt werden sollten.
Beim Unternehmensrisikomanagement werden alle Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer Schadenshöhe / Auswirkung bewertet. Um die Forderung nach der Anschlussfähigkeit des Reputationsrisikomanagements an das Unternehmensrisikomanagement erfüllen zu können, müssen alle Reputationsrisiken nach derselben Logik bewertet werden. Durch die Multiplikation von Eintrittswahrscheinlichkeit und Schadenshöhe kann der sog. Schadenserwartungswert ermittelt werden.
Auf Basis der Bewertung der Reputationsrisiken unter Verwendung einer vier- bis fünfstufigen Relevanzsystematik ist das Ausmaß der Reputationsrisiken zu ermitteln (= Relevanzsystematik bzw. Risikoklassen), z.B. unbedeutende, mittlere, bedeutende, schwerwiegende und bestandsgefährende Risiken. Die letzte Kategorie ist besonders wichtig, um die Anforderung des § 91 Abs. 2 AktG erfüllen zu können. Dieser fordert, dass „die den Fortbestand der Gesellschaft gefährdende Entwicklungen rechtzeitig erkannt werden können.“ Aus der Klassifizierung der Reputationsrisiken muss ebenso erkennbar sein, ab wann von einer Krise gesprochen wird und das Instrumentarium der Krisenkommunikation greift.
Ein einheitliches Vorgehen bei der Bewertung von Reputationsrisiken existiert nicht. So werden auch Bewertungsverfahren propagiert, die einen zweistufigen Ansatz verfolgen.4
Reputationsrisikosteuerung Ziel dieser Phase ist die Einleitung von Kommunikationsmaßnahmen zur Prävention des Eintritts von Reputationsrisiken sowie die angemessene Reaktion auf eingetretene Risiken (Krisenkommunikation).
Gegenstand der Reputationsrisikosteuerung ist damit die aktive Beeinflussung der im Rahmen der Identifizierungs- und Bewertungsphase ermittelten Reputationsrisiken durch das Ergreifen von Steuerungsmaßnahmen. Es lassen sich Strategien der Reputationsrisikosteuerung unterscheiden, z.B.
- Risikovermeidung
- Risikoverminderung
- Risikoüberwälzung
- Risikoakzeptanz
Im Rahmen der Reputationsrisikosteuerung werden Maßnahmen von den dezentral Verantwortlichen definiert und den Reputationsrisikozielen zugeordnet.
Reputationsrisikoreporting Ziel dieser Phase ist die regelmäßige Erstellung handlungsorientierter Berichte für die Verantwortlichen in den operativen Bereichen, die Unternehmensleitung und die Aufsichtsgremien.
Die Unternehmensleitung hat im Rahmen ihrer Organisationsgewalt sicherzustellen, dass ihr alle relevanten Risiken und damit auch die Reputationsrisiken des Unternehmens im Rahmen einer regelmäßigen Berichterstattung zur Kenntnis gelangen. Es sollte ein Reputationsrisikoreporting mit unterschiedlichen Berichtsformaten und definierten Schwellwerten („Ampelfunktion“) installiert werden, das zwischen regelmäßigen Berichten und Ad-hoc-Berichten unterscheidet.
Reputationsrisikoüberwachung Ziel dieser Phase ist die regelmäßige Überwachung der eingeleiteten Gegensteuerungsmaßnahmen durch die Unternehmenskommunikation und die Überprüfung der Wirksamkeit dieser hinsichtlich der Erreichung der gesetzten Reputationsrisikoziele.
Bei der Risikoüberwachung ist zu unterscheiden: a) Risikoüberwachung im engeren Sinne (i.e.S.), d.h. die laufende Überwachung der einzelnen Reputationsrisiken zur Überprüfung der Wirksamkeit der Risikosteuerungsmaßnahmen, b) Risikoüberwachung im weiteren Sinne (i.w.S.), d.h. die Überwachung des Reputationsrisikomana-gementsystems durch eine unabhängige Kontrollinstanz.
Organisation des Reputationsrisikomanagements
Nur durch eine konstruktive Zusammenarbeit von Unternehmenskommunikation, Unternehmensrisikomanagement und den operativen Einheiten (Fachbereiche) kann ein wirkungsvolles und effizient arbeitendes Reputationsrisikomanagement im Unternehmen etabliert werden. Nachfolgende Rollen werden in der Unternehmenspraxis regelmäßig definiert, die jedoch von Unternehmen zu Unternehmen unterschiedlich bezeichnet werden:
- Mitarbeiter der Unternehmenskommunikation
- Reputationsrisikobeauftragte der Fachbereiche
- Reputationsrisikomanager der Unternehmenskommunikation
- Bereichs- und Abteilungsleiter der Unternehmenskommunikation
- Reputationsrisikoausschuss
- Reputationsrisikocontroller (und Unternehmensrisikocontroller)
- Interne Revision und Abschlussprüfer
Neben den eingesetzten Methoden, der Aufbauorganisation ist auch die Ablauforganisation (Prozesse sowie Teilprozesse) im Reputationsrisikomanagementhandbuch zu dokumentieren. Seitens des ICV wird auch empfohlen, die Prozessleistung des Risikomanagementprozesses auf Basis der Parameter Zeit, Kosten und Qualität zu messen und zu steuern.5
Dokumentation und Prüfung des Reputationsrisikomanagementsystems
Das Reputationsrisikomanagementsystem sollte hinsichtlich seiner Funktionsweise und Dokumentation die Anforderungen des Prüfungsstandards (PS) 340 des Instituts der Wirtschaftsprüfer (IDW) erfüllen, sofern das Risikomanagementsystem des Unternehmens nach § 317 Abs. 4 HGB prüfungspflichtig ist. Eine Abstimmung mit dem Abschlussprüfer ist auf jeden Fall empfehlenswert.
Quellennachweise
1. BaFin, Rundschreiben 3/2009, MaRisk VA, Seite 9.
2. BaFin, Rundschreiben 15/2009, MaRisk BA, BTR3, Nr. 3.
3. Vgl. Studie „Risk of Risks“ der Economist Intelligence Unit von 2005, Seite 5.
4. Vgl. BearingPoint GmbH (Hrsg.), Management von Reputationsrisiken, 2008, Seite 14 ff.; vgl. Schierenbeck, H. / Grüter, M. D. / Kunz, M. J., Management von Reputationsrisiken in Banken, 2004, Seite 21 ff.
5. Vgl. Internationaler Controllerverein (ICV), ICV-Statement „Prozessorientiertes Risikomanagement“, Seite 41.
Ersteinstellender Autor
Professor Dr. Uwe M. Seidel, ordentlicher Professor für Rechnungswesen, Controlling und Projektmanagement an der Hochschule Regensburg, Direktor am Zentrum für Konflikkostenforschung der HUMBOLDT-VIADRINA School of Governance, Berlin, und Partner bei der IPM United GmbH, München.