Das Risikomanagement in der Tourismusbranche. Risikoprozess, -prüfung und -toleranz der TUI Group

Inhaltsverzeichnis

Abbildungsverzeichnis

1. Einleitung

2. Vorstellung der TUI Group

3. Risikomanagementprozess und Risikotoleranz

4. Prüfung des Risikomanagements
4.1. Risikoidentifikation
4.2. Risikobewertung
4.3. Risikosteuerung und -überwachung
4.4. Kommunikation der Risiken

5. Die derzeitige Lage in der Tourismusbranche und ihre Auswirkungen auf das Risikomanagement

6. Schlussfolgerung

Literaturverzeichnis

Internetquellen-Verzeichnis

Abbildungsverzeichnis

Abbildung 1: Risikomanagementprozess

Abbildung 2: Auswirkungen der Risiken nach der TUI Group

Abbildung 3: Eintrittswahrscheinlichkeit der Risiken nach der TUI Group

Abbildung 4: RBB-Matrix der TUI Group

Abbildung 5: Risikosteuerung in der Praxis

1. Einleitung

Das Ziel eines jeden Unternehmers ist es, wirtschaftlich zu handeln. Die Herausforderungen für die Konzerne, heute möglichst effizient auf dem Weltmarkt zu bestehen, wachsen beständig. Doch unternehmerische Tätigkeit bringt auch Unsicherheiten mit sich. Vor allem in der Tourismusbranche, in der Fehlentscheidungen nicht nur den finanziellen Ruin, sondern auch im schlimmsten Fall den Tod eines Menschen bedeuten können, ist ein sorgsam strukturiertes und überlegtes Risikomanagement essenziell. Die wirtschaftlichen und auch politischen Gegebenheiten in vielen Ländern Europas und der Welt stellen die Tourismusunternehmen vor große Herausforderungen. In dieser dynamischen Branche lassen sich Risiken teilweise nur schlecht voraussagen und einmal eingetretene Katastrophen haben jahrelangen Einfluss auf die Wertsteigerung des Unternehmens.^[1]

Die interne Revision setzt sich mit der zielgerichteten Bewertung und Verbesserung der Effektivität der Risikomanagement-, Kontroll- und der Führungs- und Prüfprozesse eines Unternehmens auseinander.^[2] Als unabhängiger und objektiver Prüfer berät der Revisor die Geschäftsführung bezüglich der Verbesserung ihrer Geschäftsprozesse.

Im Rahmen dieser Hausarbeit soll der Fokus auf das Risikomanagement gelegt werden. Nach der Vorstellung der TUI Group werden zunächst die theoretischen Überlegungen zum Risikomanagement dargelegt. Anschließend wird der Prozess des Risikomanagements am Beispiel des Tourismuskonzerns TUI unter der Verwendung verschiedener Modelle und Abbildungen erläutert. Im Folgenden wird – um den vorher erläuterten Ablauf des Risikomanagementprozesses zu übertragen – auf die derzeitigen Gegebenheiten auf dem internationalen Reisemarkt eingegangen. Das abschließende Fazit wird im Punkt Schlussfolgerungen zusammengefasst.

2. Vorstellung der TUI Group

Mit einem Umsatz von 20,01 Milliarden Euro im Geschäftsjahr 2014/15 und rund 76.000 Mitarbeitern präsentiert sich die TUI Group als führender Touristikkonzern der Welt. Er nennt über 1.800 Reisebüros, verschiedene Online-Portale, sechs Airlines, zwölf Kreuzfahrtschiffe sowie unzählige Zielgebietsagenturen und Hotels sein Eigen.^[3]

Mit rund 30 Millionen Kunden weist das Unternehmen eine extrem hohe Bekanntheit und einen beträchtlichen Kundenstamm auf. Zudem sorgen die 180 Zielgebiete überall auf der Welt für ein breites Produktprogramm, aber auch einen hohen organisatorischen sowie planerischen Aufwand. Das touristische Geschäft von TUI ist in die drei Regionen Nord (Großbritannien & Irland, die skandinavischen Länder, Kanada und Russland), Zentral (Deutschland, Österreich, Schweiz und Polen) sowie West (Belgien, Niederlande, Frankreich) unterteilt.^[4] Zu den weiteren Geschäftsfeldern des Konzerns gehören unter anderem die Hotelbeds Group und die Specialist Group, die aufgrund von unterschiedlichen Geschäftsmodellen separat gesteuert werden.^[5]

Der risikoorientierte Prüfansatz der Internen Revision beinhaltet die risikoorientierte Prüfungsplanung, die Auswahl der Prüfungshandlungen, die Berichterstattung sowie das Follow-up. Diese Beurteilung wird einmal jährlich durchgeführt.^[6]

Das Risikomanagement der TUI Group wird beständig weiterentwickelt. So wurde während des Geschäftsjahres 2014/15 eine Beurteilung von Entwicklungsgrad und Risikokultur durch die Risk Champions und dem Group Risk-Team durchgeführt. Zudem wurde erstmals seit dem Unternehmenszusammenschluss eine konzernweite Mitarbeiterbefragung durchgeführt, dessen Ergebnisse ebenfalls im vierteljährlichen Risikoberichtserstattungspaket berücksichtigt werden.

3. Risikomanagementprozess und Risikotoleranz

Aktiengesellschaften wie die TUI Group sind durch § 91 Abs. 2 AktG als zentrales Element des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gesetzlich zu der Einrichtung eines Risikomanagements verpflichtet.^[7] Um ein effektives Risikomanagement aufzubauen und leiten zu können, ist zunächst einmal die Ausarbeitung eines Risikomanagementprozesses notwendig.

Die zentralen Zielsetzungen des Risikomanagementprozesses sind die Risikoidentifizierung auf Basis der Geschäftsstrategien, die Festlegung eines akzeptablen Risikoniveaus, die anschließende Konzeption und Umsetzung der Maßnahmen zur Risikobegrenzung sowie die laufende Überwachung der Systeme (siehe Abbildung 1).^[8] Zuletzt spielt auch die regelmäßige Berichterstattung an das Überwachungsorgan, die Unternehmensleitung und das Management eine tragende Rolle.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Risikomanagementprozess^[9]

Bei der Überprüfung des Risikomanagements werden die Komponenten des Risikomanagementprozesses hinsichtlich ihrer Angemessenheit und Effektivität bewertet.^[10] Dazu gehört unter anderem die Beantwortung der Frage, ob die tatsächlichen Abläufe im Unternehmen dem definierten System entsprechen und ob die Maßnahmen auch wirklich umgesetzt werden. Zudem müssen beim mentalen Experimentieren von unvorhersehbaren Ereignissen auch die eigenen Handlungen kritisch überdacht werden.^[11] Die durch das Risikomanagement reduzierten Schwankungen bzw. Abweichungen vom gewünschten Referenzwert erhöhen die Planbarkeit und auch die Steuerbarkeit des Unternehmens. Eine stabile Gewinnentwicklung bringt viele positive Effekte mit sich; zum einen wirkt es sich positiv auf das Ergebnis der Ratingagenturen aus und zum anderen ist man in der Lage, langfristig eine gute Lieferantenbeziehung aufzubauen und qualifizierte Mitarbeiter zu gewinnen oder zu halten. Zudem wird das Risiko vermindert, unerwartet auf teure externe Finanzierungsquellen angewiesen zu sein.

Im Bereich der Internen Revision rückt auch die Corporate Social Responsibility (CSR), also die Miteinbeziehung von Nachhaltigkeitsfaktoren bei der Prozessplanung mehr in den Vordergrund.^[12] Die CSR geht dabei Hand in Hand mit der Unternehmensmission und spielt dementsprechend auch bei der Entwicklung eines Risikomanagementprozesses eine wichtige Rolle. Neben der Reputation können die Gründe dafür unter anderem ethnischer, ökologischer, sozialer, aber auch ökonomischer Natur sein.

Im Rahmen des Risikomanagements ist zu beachten, dass die Herangehensweise sehr subjektiv gestaltet werden kann. Manche Unternehmer sind risikofreudiger als andere und werden demzufolge bei der Risikoidentifikation und -bewertung zu einem differenzierten Ergebnis kommen. In diesem Fall greift der Performance Standard 2600, der sich mit der Risikoübernahme durch das Management auseinander setzt.^[13] Die Unternehmenskultur wirkt also ebenfalls auf das Risikomanagement mit ein. Durch das Leben einer effizienten Risikokultur innerhalb des Konzerns möchte die TUI Group seine Mitarbeiter dazu bringen, sich risiko- und kontrollbewusst zu verhalten.^[14]

4. Prüfung des Risikomanagements

Im Rahmen des Risikomanagements gibt es das zentrale und das dezentrale Konzept der Prüfung.^[15] Beim zentralen Konzept ermitteln die Geschäftseinheiten über die jeweiligen Abteilungsleiter einen Katalog aus möglichen Risiken, der schließlich an einen zentralen Risikoleiter weitergegeben wird. Teilweise wird der Prozess aber auch von externen Revisoren koordiniert. Beim dezentralen Konzept ist der Organisationsaufwand höher. Hier unterstützt ein dezentraler Risikomanager (Revisor) das zentrale Risikomanagement und meldet erkannte Risiken in periodischen Abständen.

4.1. Risikoidentifikation

Allgemein kann bei einem Risiko von einer negativen (aber auch positiven) Abweichung von einem Referenzergebnis gesprochen werden. Demzufolge wäre der Schaden das Produkt aus der Eintrittswahrscheinlichkeit und der Konsequenz des Risikos. Der Gesetzgeber hat als Risikobereiche die Strategie, das Marketing, die Finanzen, Recht und Politik, Risiken aus dem Corporate Governance sowie Risiken aus der Wertschöpfungskette definiert.^[16]

Im Rahmen der Risikoidentifikation sollen alle (das Unternehmen betreffende) Entwicklungen mit Zielabweichungspotenzial systematisch festgestellt sowie analysiert werden.^[17] Ziel ist die möglichst lückenlose Aufdeckung aller Störpotenziale und Gefahrenquellen, wobei jedoch angemerkt werden muss, dass ohne das Eingehen von Risiken keine Chancen genutzt werden können und unternehmerisches Handeln mit Risiken verbunden ist.

Zu den Grundmethoden der Risikoidentifikation gehören unter anderem die standardisierte Befragung, das Heranziehen von Unterlagen des Rechnungswesens und anderer Bereiche oder Betriebsbesichtigungen. Häufige Risiken sind z. B. Lawinen, Brände, Unfälle in der Containerschifffahrt, aber auch terroristische Anschläge, Diebstähle und Erpressungen.

Der Vorstand der TUI Group bestimmt zusammen mit dem Aufsichtsrat die Risikolandkarte (Audit Universe) des Konzerns, in der festgehalten wird, welche Risiken für das Unternehmen bestehen und in welchen Ausmaß ein Risiko vertretbar ist. Dafür wird von einer aktualisierten Datenbasis Gebrauch gemacht, die unter anderem die Marktattraktivität, die Wettbewerbsposition und die Geschäftsergebnisse nach den Geschäftsbereichen und Quellmärkten enthält.^[18] Die Verantwortung für das Risikomanagement trägt der Vorstand, während jeder der Risikoverantwortlichen (Risk Owner) die Verantwortung für das angemessene Management seines Risikotyps bzw. seiner Risikokategorie übernimmt. Um die Risikoidentifizierung zu vereinfachen, werden oftmals Risikokategorien heran gezogen, beispielsweise die Aufteilung in Management-Risiken, ökonomischen Risiken, ökologischen Risiken und gesellschaftlichen Risiken. Doch auch Risiken aus Arbeitspraktiken, Risiken bei Menschenrechten sowie Risiken aus der Produktverantwortung finden regelmäßig als Kategorien Anwendung.^[19] Die TUI-Group unterscheidet zwischen folgenden Risikotypen:

längerfristige strategische Gefahren sowie Gefahren aus den Schwellenländern mittelfristige Herausforderungen im Zusammenhang mit Business Change-Programmen kurzfristige Risiken, die durch Veränderungen des externen und regulatorischen Umfelds ausgelöst werden kurzfristige Risiken im Hinblick auf interne Tätigkeiten und Kontrollen^[20]

Zu den Hauptrisiken der Tourismusbranche gehören unter anderem der Eintritt neuer Wettbewerber (die den Konkurrenzkampf intensivieren und den Markt schnelllebiger machen) oder die politischen und wirtschaftlichen Entwicklungen in vielen beliebten Urlaubsregionen, wie z. B. Tunesien, der Türkei oder Griechenland.

4.2. Risikobewertung

Nach der Identifikation der Risiken und einer ausführlichen Beschreibung ihrer Entstehungsarten werden die Risiken der TUI Group anhand ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen bewertet (siehe Abbildungen 2 und 3). Neben der Messung der finanziellen Auswirkungen werden jedoch auch noch die Reputations, Gesundheits- und Sicherheitswirkungen analysiert.^[21] Das Brutto-Risiko stellt dabei das Worst-Case-Szenario dar, d. h. die Auswirkung des Risikoeintritts wenn sämtliche Kontrollsysteme versagen. Es wird geprüft, ob die identifizierten Risiken die Erreichung der Unternehmensziele wirklich gefährden und ob sie überhaupt beeinflussbar sind. Dabei sollte die Bewertung der Risikolage des Konzerns stets unter Berücksichtigung der Abhängigkeiten zwischen den Risiken erfolgen.^[22]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Auswirkungen der Risiken nach der TUI Group^[23]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Eintrittswahrscheinlichkeit der Risiken nach der TUI Group^[24]

[...]

^[1] Vgl. Pechlaner/Glaesser (Risiko und Gefahr im Tourismus), S. 193.

^[2] Vgl. Amling/Bantleon (Handbuch der Internen Revision), S. 44.

^[3] Vgl. Internet-Recherche vom 11.01.2016 (TUI Group im Überblick).

^[4] Vgl. Internet-Recherche vom 2.01.2016 (TUI – Touristik).

^[5] Vgl. Internet-Recherche vom 2.01.2016 (TUI – Weitere Geschäftsfelder).

^[6] Vgl. Amling/Bantleon (Handbuch der Internen Revision), S. 57.

^[7] Vgl. Amling/Bantleon (Praxis der Internen Revision), S. 16 f.

^[8] Vgl. Amling/Bantleon (Handbuch der Internen Revision), S. 125 f.

^[9] Amling/Bantleon (Praxis der Internen Revision), S. 163.

^[10] Vgl. Deutsches Institut für Interne Revision (DIIR-Revisionsstandard Nr. 2), S. 153 f.

^[11] Vgl. Pechlaner/Glaesser (Risiko und Gefahr im Tourismus), S. 193 f.

^[12] Vgl. Amling/Bantleon (Praxis der Internen Revision), S. 444 f.

^[13] Vgl. Freidank/Peemöller (Corporate Governance und Interne Revision), S. 102.

^[14] Vgl. TUI Group (02 Lagebericht), S. 116 f.

^[15] Vgl. Sartor (Risikomanagement kompakt), S. 24 f.

^[16] Vgl. Internet-Recherche vom 12.01.2016 (Risikomanagement).

^[17] Vgl. Wöbking (Handbuch der Internen Revision), S. 9.

^[18] Vgl. Internet-Recherche vom 5.01.2016 (TUI – Risikobericht).

^[19] Vgl. Amling/Bantleon (Praxis der Internen Revision), S. 456 f.

^[20] Internet-Recherche vom 5.01.2016 (TUI – Risikobericht).

^[21] Vgl. TUI Group (02 Lagebericht), S. 120.

^[22] Vgl. Wöbking (Handbuch der Internen Revision), S. 9 f.

^[23] Vgl. TUI Group (02 Lagebericht), S. 119.

^[24] TUI Group (02 Lagebericht), S. 119.