Brand and Reputation Protection and Management

Betrachtet man beispielsweise die Incentivierung von Mitarbeitern in Handelsunternehmen, die ab einer bestimmten Größenordnung aufgrund des Lieferkettensorgfaltspflichtengesetzes¹ (LkSG), unter anderem Sorgfaltspflichten zur Einhaltung von Menschenrechten in der Lieferkette und dem eigenen Geschäftsbetrieb auferlegt bekommen. Hat nun ein Mitarbeiter keine explizite Incentivierung zur Wahrung von Menschenrechten, dafür aber beispielsweise Ziele, die Produktionskosten zu minimieren, kann dies bei mangelhaften Kontrollmechanismen dazu führen, dass Vorgaben des LkSGs im Rahmen der Möglichkeiten sehr weit ausgelegt werden. Auf gesetzlicher Seite entsteht zwar formal kein Verstoß, ein Bekanntwerden einer solchen weiten Auslegung kann jedoch die Reputation schädigen. Es lassen sich unzählige weitere Beispiele für Geschäftsaktivitäten in diversen Branchen und Geschäftsaktivitäten finden, die aufgrund eines möglichen Fehlverhaltens zu Reputationsschäden führen können. Hierzu zählen beispielsweise die Vergabe von Krediten oder das Tätigen von Investitionen in Unternehmen, die Arbeits- und Sozialstandards oder Umweltvorgaben nicht einhalten. Auch das Beschönigen oder Verfälschen von Herkunfts- und Verbrauchsdaten der eigenen Produkte gegenüber Kunden, Geschäftspartnern und Aufsehern kann die eigene Reputation gefährden, wenn diese Aktivitäten öffentlich bekannt werden. Auch interne Prozesse des laufenden Geschäftsbetriebs, wie der Umgang mit Kundendaten oder die Einhaltung rechtlicher und aufsichtsrechtlicher Vorgaben bieten eine Angriffsfläche für Fehlverhalten und damit Reputationsrisiken. Ebenso Plattformbetreiber, die Produkte von Dritten anbieten, müssen sich damit auseinandersetzen, ob die angebotenen Produkte nicht nur legal, sondern auch legitim sind, das heißt dem öffentlichen Verständnis, was gesellschaftlich akzeptiert ist, entsprechen. Ist dies nicht der Fall, fällt die öffentliche Beurteilung auch auf den Plattformbetreiber negativ zurück. Die vorangegangenen Beispiele spiegeln die Vielfältigkeit der Einflussfaktoren auf die Reputation und Reputationsrisiken von Unternehmen wider. Das Bewusstsein über die Existenz und Vielfältigkeit bestehender Reputationsrisiken ist fundamental, um diese wirksam in das bestehende Risikomanagement integrieren zu können, und entstehende Reputationsschäden frühzeitig erkennen und proaktiv managen zu können.

¹Anzuwenden für Unternehmen, die dem deutschen Recht unterliegende und mehr als 3000 Mitarbeiter (ab 2023) bzw. 1000 MA (ab 2024) beschäftigen.

Ein Ansatz, um das Risikomanagement als Ganzes besser zu verstehen, ist die Einnahme der Impact-Perspektive. Gemäß dieser Taxonomie werden Risikoauswirkungstypen in die folgenden drei Kategorien unterteilt:

• Finanzielle Auswirkungen (zum Beispiel auf GuV und/oder Bilanz)
• Regulatorische Auswirkungen (zum Beispiel zusätzliche regulatorische Anforderungen)
• Auswirkungen auf die Reputation (zum Beispiel Reputationsverlust)

Das Management von finanziellen Risiken ist meist einfacher, ebenso wie die anschließende Definition von Gegenmaßnahmen und Kontrollen. Der Grund hierfür ist, dass in der Regel finanzielle Risiken an Vertragskonstrukte gebunden sind. Bei finanziellen Risiken ist das Exposure bekannt und es besteht die Option, auf nachträgliche Handlungsmöglichkeiten zurückzugreifen. In dieser Konstellation ist die potenzielle finanzielle Auswirkung unmittelbar (das heißt die Höhe des verliehenen Kredits) und die Auswirkungswahrscheinlichkeit kann mithilfe bewährter Bewertungsmodelle systematisch berechnet werden. Unternehmerische Entscheidungen bergen jedoch noch viele andere Risiken. In diesen Fällen ist die Quantifizierung der Auswirkungen schwieriger: Regulatorische und insbesondere Reputationsauswirkungen sind schwer zu quantifizieren. Betrachtet man das Reputationsrisiko aus der Impact-Perspektive, ist es wichtig zu verstehen, dass Reputationsauswirkungen in der Regel Geschäftsentscheidungen inhärent sind. Jede Geschäftsentscheidung kann den Ruf eines Unternehmens sowohl positiv als auch negativ beeinflussen. Ein sogenannter Ex-ante-approach ist nötig, um nicht-finanzielle Risiken zu steuern. Der Ex-ante-approach ermöglicht einen aktiven Steuerungs- und Limitierungsansatz bezogen auf alle inhärenten Risiken und deren mögliche Schäden vor einer unternehmerischen Entscheidung. Auf diese Weise kann das Unternehmen sicherstellen, dass Geschäftsentscheidungen vollständig aus der Impact-Perspektive bewertet werden und somit zu einer positiven Rendite-Risiko-Bilanz führen. Das Ergebnis dieser wirkungsbasierten Analyse, das heißt, ob eine Geschäftsentscheidung aus Risiko-Rendite-Perspektive vorteilhaft ist, sollte der Hauptindikator für das Unternehmen sein, ob es ein Geschäft abschließt oder nicht. Dies steht im Gegensatz zur jährlichen Risikobewertung (Ex-post) bei finanziellen Risiken.

Nach der Festlegung von Ziel, Umfang und Governance für Risikomanagementaktivitäten und der Definition der Risikobereitschaft beginnt der eigentliche Risikomanagementprozess mit der Identifizierung von Risiken. Entscheidend ist in diesem Schritt, dass alle möglichen Risiken umfassend identifiziert, kategorisiert und entlang des Regelwerks und der Kategorien der Unternehmen dokumentiert werden.
Für die qualitative Bewertung identifizierter Risiken hat sich die Verwendung einer wirkungsbasierten Auswirkung-Wahrscheinlichkeit-Matrix bewährt. In diesem Konzept werden die Risiken in den verschiedenen Schadenskategorien (finanzieller Schaden, Reputationsschaden, regulatorischer Schaden) bewertet und einer Eintrittswahrscheinlichkeit gegenübergestellt. Bereits umgesetzte (Gegen-)Maßnahmen fließen zur Ermittlung des Nettorisikos in die Bewertung ein. Die ermittelten Nettorisiken werden hinsichtlich Einhaltung des Risikoappetits geprüft. Diese Aktivität ist die Grundlage für Ex-ante-Risikoakzeptanz-/-ablehnungsentscheidungen sowie für die Definition von (weiteren) Gegenmaßnahmen. Folgende Elemente sind somit entscheidend, um sicherzustellen, dass das Reputationsrisiko angemessen in die Risikomanagementaktivitäten einbezogen wird:

• Gesamtkonsistenz bei der Risikofolgenabschätzung für alle identifizierten Risikoarten in Bezug auf finanzielle, regulatorische und Reputationsauswirkungen (unter Verwendung einer unternehmens- bzw. konzernweit gültigen Taxonomie und Risikobewertungsmethodik), im Gegensatz zu rein qualitativen und inkonsistenten Risikobewertungen
• Umfassende Risikobewertung auf der Grundlage einer gründlichen Ex-ante-Risikoermittlung nach einem streng wirkungsorientierten Ansatz im Gegensatz zu einer Ex-post-Risikoermittlung

Durch die Einbeziehung potenzieller Reputationsschäden in die Risiko-Auswirkungsbewertung kann das Unternehmen sicherstellen, dass Geschäftsentscheidungen umfassend analysiert und potenziell nachgelagerte Risiken korrekt und umfassend in den Risk-Return-Ansatz einbezogen werden.

Bei der näheren Betrachtung von ESG-Risiken deutlich, dass diese stark mit bestehenden Risikoarten interagieren, und eine Nichtberücksichtigung das Reputationsrisiko erhöhen kann. Die sich ergebende Komplexität führt zu der Frage, wie man sich dem Thema strukturiert nähert, geeignete Ansätze zur Risikoidentifikation und -bewertung findet, die auch eine Vergleichbarkeit verschiedener Kunden und Investitionsobjekten ermöglicht, und welche Informationen hierzu von Geschäftspartnern benötigt werden. Was ist zu tun? Zunächst sollte sich ein Unternehmen Transparenz über die eigene Betroffenheit durch ESG-Risiken verschaffen und die identifizierten ESG-Chancen und Risiken durch den Strategieprozess in die Geschäfts- und nachgelagert die Risikostrategie integrieren. Eine Integration in bestehende Strategien kann durch „ESG-Leitplanken“ erfolgen, indem man bestimmte Branchen, Transaktionen oder Geschäftspartner aufgrund der verbundenen Risiken (bspw. Braunkohlebergbau; Fracking) forciert, ausschließt, limitiert oder mit Auflagen, wie beispielsweise dem Einhalten von bestimmten Umweltschutzstandards, versieht. Der Risikoappetit wird um ESG-Risikoaspekte geschärft. Um im Unternehmensalltag den angemessenen Umgang mit ESG-Risiken sicherzustellen, benötigt es zudem die Verteilung klarer Rollen und Verantwortlichkeiten in allen Three Lines of Defence, eine Berücksichtigung in den Organisationsrichtlinien sowie eine Verankerung in den bestehenden Risikomanagementprozessen und -methoden und dem internen Risiko-Reporting. Mit dem von uns entwickelten ESG Scoring Modell begleiten wir bereits erfolgreich Kunden zum Thema ESG-Risikoidentifikation und -bewertung nicht gelisteter Unternehmen. In Kürze: für das ESG Scoring Modell werden segmentspezifische, relevante Metriken für die einzelnen Nachhaltigkeitsaspekte Environment, Social und Governance identifiziert und gewichtet, um die potenziellen ESG-Risiken zu identifizieren und zu bewerten. Hiermit gelingt es uns, eine Vergleichbarkeit der ESG-Risiken auf Ebene einzelner Kunden aber auch auf Portfolioebene zu gewährleisten. Die Ausprägung der Metriken variiert dabei in Abhängigkeit der verfügbaren Daten und Datenqualität und lässt auch Freiraum für Ihr Ambitionsniveau.