Reputationsrisikomanagement
Reputationsrisikomanagement ist ein Teil des Risikomanagements, der sich mit der Steuerung und Begrenzung des Reputationsrisikos beschäftigt.
Das Reputationsrisiko ist Teil des Unternehmensrisikos und muss durch das Risikomanagement, das sowohl aus betriebswirtschaftlicher als auch aus rechtlicher Sicht benötigt wird, abgedeckt werden.
In den 2009 bis 2015 gültigen Aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen (MaRisk VA) wurde das Reputationsrisiko als eigenständige Risikokategorie gesehen. Es ist definiert als das „Risiko, das sich aus einer möglichen Beschädigung des Rufes des Unternehmens infolge einer negativen Wahrnehmung in der Öffentlichkeit (z. B. bei Kunden, Geschäftspartnern, Aktionären, Behörden) ergibt.“[1]
In den Aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement von Banken (MaRisk BA) ist das Reputationsrisiko (noch) nicht als eigenständige Risikokategorie festgelegt, jedoch findet es im Rahmen der allgemeinen Anforderungen an die Steuerung von Liquiditätsrisiken (BTR 3.1 Nr. 2) Erwähnung. Demnach sind „Auswirkungen anderer Risiken [...] (z. B. Reputationsrisiken) [...] zu berücksichtigen.“[2]
Bedeutung des Reputationsrisikomanagements
Gemäß der Studie „Risk of Risks“ der Economist Intelligence Unit, gilt das Reputationsrisiko unter den Risikomanagern als das bedeutsamste und gleichzeitig am schwierigsten zu handhabende Risiko.[3] Das Reputationsrisikomanagement eines Unternehmens hat zu gewährleisten, dass die bestehenden Reputationsrisiken auf der Grundlage einer Reputationsrisikostrategie mittels einer systematischen und kontinuierlichen Vorgehensweise frühzeitig identifiziert, bewertet und aggregiert werden. Zum Reputationsrisikomanagement gehören ferner die Erfüllung der Dokumentationspflichten gemäß IDW PS 340 und die Überwachung des Reputationsrisikomanagementsystems.
Reputationsrisikostrategie und -ziele
Dem eigentlichen Reputationsrisikomanagementprozess vorgelagert ist die Reputationsrisikostrategie, die die grundsätzliche risikopolitische Ausrichtung des Unternehmens hinsichtlich Reputationsrisiken enthält. Aus diesem Grund wird die Reputationsrisikostrategie auch als die reputationsrisikopolitischen Grundsätze – „reputational risk management framework“ – des Unternehmens bezeichnet. Sie dokumentieren die Verpflichtung und das Engagement der Unternehmensleitung, den kritischen und bewussten Umgang mit Reputationsrisiken zu forcieren (sog. „commitment“).
Reputationsrisikomanagementprozess
Der Reputationsrisikomanagementprozess besteht aus einer Abfolge von Prozessschritten, die in verschiedenen Publikationen zum Risikomanagement unterschiedlich benannt sind. Die nachfolgende Bezeichnung der einzelnen Prozessschritte stellt demnach nur eine Möglichkeit dar. Wichtig ist vielmehr, dass es sich um einen kontinuierlich ablaufenden Prozess handelt, der nicht nach einem Durchlauf beendet ist, sondern immer wieder erneut durchlaufen werden muss.
Reputationsrisikoidentifikation
Ziel der Identifikationsphase ist das vollständige und systematische Erkennen potenzieller Reputationsrisiken als Primär- und Folgerisiken. Ferner sollten in der Identifikationsphase die Reputationsrisiken in Primär- und Folgerisiken differenziert werden.
Mit Hilfe von Monitoring- und Frühwarnsystemen werden Unternehmen alarmiert, sofern deren Kommunikation sich in einer Gefahrenzone bewegt. Derartige Aufgaben können Social Media Monitoring, Medienresonanzanalysen oder Reputationsrisikoradare übernehmen.
Als Ergebnis dieser Phase werden die identifizierten Reputationsrisiken – systematisiert nach Kategorien – in einem Reputationsrisikokatalog dokumentiert.
Reputationsrisikobewertung
Ziel dieser Phase ist die qualitative bzw. quantitative Bewertung der Reputationsrisiken und deren Folgerisiken sowie die Einordnung in Risikoklassen, wobei Wechselwirkungen (Korrelationen) oder (einseitige) Abhängigkeiten sowie die Aggregation der Reputationsrisiken berücksichtigt werden sollten.
Beim Unternehmensrisikomanagement werden alle Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer Schadenshöhe / Auswirkung bewertet. Um die Forderung nach der Anschlussfähigkeit des Reputationsrisikomanagements an das Unternehmensrisikomanagement erfüllen zu können, müssen alle Reputationsrisiken nach derselben Logik bewertet werden. Durch die Multiplikation von Eintrittswahrscheinlichkeit und Schadenshöhe kann der sog. Schadenserwartungswert ermittelt werden.
Auf Basis der Bewertung der Reputationsrisiken unter Verwendung einer vier- bis fünfstufige Relevanzsystematik ist das Ausmaß der Reputationsrisiken zu ermitteln (= Relevanzsystematik bzw. Risikoklassen), z. B. unbedeutende, mittlere, bedeutende, schwerwiegende und bestandsgefährdende Risiken. Die letzte Kategorie ist besonders wichtig, um die Anforderung des § 91 Abs. 2 AktG erfüllen zu können. Dieser fordert, dass „die den Fortbestand der Gesellschaft gefährdende Entwicklungen rechtzeitig erkannt werden können.“ Aus der Klassifizierung der Reputationsrisiken muss ebenso erkennbar sein, ab wann von einer Krise gesprochen wird und das Instrumentarium der Krisenkommunikation greift.
Ein einheitliches Vorgehen bei der Bewertung von Reputationsrisiken existiert nicht. So werden auch Bewertungsverfahren propagiert, die einen zweistufigen Ansatz verfolgen.[4]
Reputationsrisikosteuerung
Ziel dieser Phase ist die Einleitung von Kommunikationsmaßnahmen zur Prävention des Eintritts von Reputationsrisiken sowie die angemessene Reaktion auf eingetretene Risiken (Krisenkommunikation).
Gegenstand der Reputationsrisikosteuerung ist damit die aktive Beeinflussung der im Rahmen der Identifizierungs- und Bewertungsphase ermittelten Reputationsrisiken durch das Ergreifen von Steuerungsmaßnahmen. Es lassen sich Strategien der Reputationsrisikosteuerung unterscheiden, z. B.
- Risikovermeidung
- Risikominderung
- Risikoüberwälzung
- Risikoakzeptanz
Im Rahmen der Reputationsrisikosteuerung werden Maßnahmen von den dezentral Verantwortlichen definiert und den Reputationsrisikozielen zugeordnet.
Reputationsrisikoreporting
Ziel dieser Phase ist die regelmäßige Erstellung handlungsorientierter Berichte für die Verantwortlichen in den operativen Bereichen, die Unternehmensleitung und die Aufsichtsgremien.
Die Unternehmensleitung hat im Rahmen ihrer Organisationsgewalt sicherzustellen, dass ihr alle relevanten Risiken und damit auch die Reputationsrisiken des Unternehmens im Rahmen einer regelmäßigen Berichterstattung zur Kenntnis gelangen. Es sollte ein Reputationsrisikoreporting mit unterschiedlichen Berichtsformaten und definierten Schwellwerten („Ampelfunktion“) installiert werden, das zwischen regelmäßigen Berichten und Ad-hoc-Berichten unterscheidet.
Reputationsrisikoüberwachung
Ziel dieser Phase ist die regelmäßige Überwachung der eingeleiteten Gegensteuerungsmaßnahmen durch die Unternehmenskommunikation und die Überprüfung der Wirksamkeit dieser hinsichtlich der Erreichung der gesetzten Reputationsrisikoziele.
Bei der Risikoüberwachung ist zu unterscheiden:
a) Risikoüberwachung im engeren Sinne (i. e. S.), d. h. die laufende Überwachung der einzelnen Reputationsrisiken zur Überprüfung der Wirksamkeit der Risikosteuerungsmaßnahmen,
b) Risikoüberwachung im weiteren Sinne (i. w. S.), d. h. die Überwachung des Reputationsrisikomanagementsystems durch eine unabhängige Kontrollinstanz.
Organisation des Reputationsrisikomanagements
Nur durch eine konstruktive Zusammenarbeit von Unternehmenskommunikation, Unternehmensrisikomanagement und den operativen Einheiten (Fachbereiche) kann ein wirkungsvolles und effizient arbeitendes Reputationsrisikomanagement im Unternehmen etabliert werden. Nachfolgende Rollen werden in der Unternehmenspraxis regelmäßig definiert, die jedoch von Unternehmen zu Unternehmen unter-schiedlich bezeichnet werden:
- Mitarbeiter der Unternehmenskommunikation
- Reputationsrisikobeauftragte der Fachbereiche
- Reputationsrisikomanager der Unternehmenskommunikation
- Bereichs- und Abteilungsleiter der Unternehmenskommunikation
- Reputationsrisikoausschuss
- Reputationsrisikocontroller (und Unternehmensrisikocontroller)
- Interne Revision und Abschlussprüfer
Neben den eingesetzten Methoden, der Aufbauorganisation ist auch die Ablauforganisation (Prozesse sowie Teilprozesse) im Reputationsrisikomanagementhandbuch zu dokumentieren. Seitens des ICV wird auch empfohlen, die Prozessleistung des Risikomanagementprozesses auf Basis der Parameter Zeit, Kosten und Qualität zu messen und zu steuern.[5]
Dokumentation und Prüfung des Reputationsrisikomanagementsystems
Das Reputationsrisikomanagementsystem sollte hinsichtlich seiner Funktionsweise und Dokumentation die Anforderungen des Prüfungsstandards (PS) 340 des Instituts der Wirtschaftsprüfer (IDW) erfüllen, sofern das Risikomanagementsystem des Unternehmens nach § 317 Abs. 4 HGB prüfungspflichtig ist. Eine Abstimmung mit dem Abschlussprüfer ist auf jeden Fall empfehlenswert.
Einzelnachweise
- BaFin, Rundschreiben 3/2009, MaRisk VA, Seite 9.
- BaFin, Rundschreiben 11/2010, MaRisk BA, BTR 3.1, Nr. 2.
- Studie „Risk of Risks“ der Economist Intelligence Unit von 2005, Seite 5.
- Vgl. BearingPoint GmbH (Hrsg.), Management von Reputationsrisiken, 2008, Seite 14 ff.; vgl. Schierenbeck, H. / Grüter, M. D. / Kunz, M. J., Management von Reputationsrisiken in Banken, 2004, Seite 21 ff.
- Vgl. Internationaler Controllerverein (ICV), ICV-Statement „Prozessorientiertes Risikomanagement“, Seite 41.