Risikomanagement

Für den Verbund ist ein unternehmensweites Risikomanagementsystem ein wertschaffender Bestandteil der Instrumente zur Unternehmensführung und wird den Erfordernissen entsprechend weiterentwickelt. Verstärktes Augenmerk liegt auf der Entwicklung und Einleitung von Maßnahmen zur Bewältigung und Begrenzung von Risiken.

Neben der Ausweitung des Risikomanagements auf alle Unternehmensbereiche im Konzern beschäftigt sich das zentrale Risikomanagement schwerpunktmäßig mit nachstehenden Bereichen: Finanzbereich, Stromgeschäft und Informatikbereich.

Das zentrale Risikomanagement unterstützt zusammen mit den spezifischen Risk Management Committees in diesen Bereichen den Vorstand bei den grundlegenden Entscheidungen hinsichtlich Risikopolitik. Wesentliche Punkte sind dabei die Grundsätze des Risikomanagements, die Festlegung von Limits für ausgewählte Risiken, die Einführung von Verfahren zur Überwachung der Risiken und die Schaffung eines Risikobewußtseins bei den Mitarbeitern.

Das Risikomanagement des Verbund wird in einem Risikohandbuch dokumentiert. Die Funktionsfähigkeit unseres Risikomanagementsystems wird kontinuierlich durch interne und externe Audits überprüft.

Im Laufe des Jahres 2003 wurde abermals eine umfassende Risikoidentifikation beziehungsweise Risikoaktualisierung auf Konzernebene durchgeführt. Per 31.12.2003 ist keine Entwicklung zu erkennen, die für den Verbund Risiken bedeuten würde, die einzeln oder in Wechselwirkung mit anderen Risiken bestandsgefährdende Auswirkungen verursachen könnten.

Das operative Geschäft sowie Finanzierungstransaktionen des Verbund unterliegen Finanzrisiken. Hierbei handelt es sich um Risiken, die sich insbesondere aus dem Liquiditätsrisiko, Kontrahentenrisiko, Kursrisiko aus Wertpapieren und den Änderungen von Währungen, Zinsen und Rating der Verbundgesellschaft ergeben.

Entsprechend dem Risikomanagementsystem des Verbund, das konzernweit Anwendung findet, wird neben einer Identifizierung, Analyse und Bewertung dieser Risiken auch über den Einsatz von Sicherungsmaßnahmen eine Begrenzung vorgenommen. Beispielsweise konnte durch die ständige Beobachtung der Finanzmärkte und rasche Reaktion auf positive Währungsänderungen mit dem Einsatz von derivativen Finanzinstrumenten das wirtschaftliche Währungsänderungsrisiko beträchtlich gesenkt werden.

Der Umgang mit den finanziellen Risiken ist in Konzernrichtlinien für den Finanzbereich geregelt. Zusätzlich gibt es Positionslimits hinsichtlich Zinsbindung, Währungsverteilung und Duration der Finanzverbindlichkeiten. Eine jederzeit ausreichende Liquidität wird durch eine auf das laufende und darauffolgende Geschäftsjahr ausgerichtete Liquiditätsplanung sichergestellt.

Zur Umsetzung der Richtlinien und für operative Zwecke besteht ein Risk Management Committee- Finanz (RMC-F), bestehend aus Vertretern des Finanz- und des Risikomanagements.

In einer quartalsweisen Berichterstattung an den Konzernvorstand über das "Risikomanagement Finanz", werden Stand und Entwicklung der einzelnen Finanzrisiken näher behandelt, organisatorische Risikomanagement-Maßnahmen und Prognosen der Investmentbanken angeführt und ein Ausblick über beabsichtigte Maßnahmen gegeben.

Im Rahmen der Geschäftstätigkeit des Handels/Vertriebs ist der Verbund vor allem folgenden Risikogruppen ausgesetzt: Marktrisiken, Kontrahentenrisiken und operationalen Risiken.

Der Umgang mit diesen spezifischen Risiken ist bezüglich der Marktrisiken in einem Rule-Book, bezüglich der Kontrahentenrisiken in einer Konzernrichtlinie und bezüglich der operationalen Risiken in einem Prozeßhandbuch geregelt.

Für Zwecke der unabhängigen Überwachung und zur Umsetzung der einzelnen Richtlinien wurde als Schnittstelle ein Risk Management Committee-Strom (RMC-S) eingerichtet, bestehend aus Vertretern der Tochtergesellschaften APT, APC und der Verbundgesellschaft. Die zentrale Aufgabe dieses RMC-S ist die Überwachung der Risikogesamtposition des Handels/Vertriebs und die Gewährleistung, daß alle Risiken erkannt und verstanden werden, sowie die Sicherstellung der Einführung entsprechender Organisations- und Regelstrukturen und der damit verbundenen Systeme.

Die aktuelle Ausnutzung der diversen Limits im Marktrisiko (VaR, Stress-Test, Stop/Loss und Positionslimits) werden zum großen Teil täglich berichtet und überwacht. Der Verlauf dieser Limits, die durchgeführten Maßnahmen im Risikomanagement sowie ein Ausblick über zu tätigende Maßnahmen werden in einem quartalsweisen Bericht über das Risikomanagement Strom näher dargestellt. Im Falle einer Überschreitung von Limits werden außerhalb der jeweiligen Berichtsperiode sofortige Meldungen bezüglich Ursache der Überschreitung, zukünftiger Entwicklung und allfälliger Risikomanagementstrategien erstattet und notfalls auch eine RMC-S Sitzung einberufen.

Im Kontrahentenrisiko gilt der Grundsatz: "Kein Geschäft ohne Kontrahentenlimit". Dieser Grundsatz wird durch eine unabhängige, interne Bonitätsprüfung und Einführung einer automatisierten Limitausnutzungsbewertung überwacht. Dabei werden Geschäfte prinzipiell nur mit Kunden ausreichender Bonität abgeschlossen.

Das operationale Risiko im Stromgeschäft wird durch Umsetzung einer dokumentierten Aufbau- und Ablauforganisation sowie die Erstellung von Notfallplänen für Systemausfälle bearbeitet.

Die Informationstechnologie (IT) ist im Verbund ein wichtiger Produktions- und Erfolgsfaktor und umfaßt alle Einsatzbereiche dieser Technologie – seien sie der Informatik, der Leittechnik, der Telekommunikation oder anderen Fachbereichen zugeordnet. Durch den verstärkten Einsatz weiterer Sicherheitsgremien im Verbund war die Integration der Sicherheitsaspekte in die Geschäftsprozesse sowie der getroffenen Maßnahmen ("Security-Prozeß") im Jahr 2003 erfolgreich möglich.

Zu den Aufgaben des aus Experten zusammengesetzten Risk Management Committee-IT (RMC-IT) zählen vor allem die Umsetzung der im IT-Strategiekreis definierten Sofortmaßnahmen. Weiters umfaßt der Aufgabenbereich die Genehmigung von operativen Risikomanagementrichtlinien und -methoden innerhalb der von der IT-Security Policy festgelegten Vorgaben, die Initiierung und Erarbeitung von IT-Risikoanalysen und des Maßnahmenkatalogs sowie die Steuerung und Koordinierung der IT-Sicherheitsbelange des Verbund.

Da insbesondere die MitarbeiterInnen ein wesentlicher Teil des Security Management-Prozesses sind, wurden im Jahr 2003 weitere Informationsveranstaltungen sowie moderne Medien zur Unterstützung und Fortführung der Awareness-Schulung für ein erhöhtes IT-Sicherheitsbewußtsein eingesetzt.