Risk Disclosure and Related Assurance Services

Gauch, Kevin (2024)
Risk Disclosure and Related Assurance Services.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00028838
Ph.D. Thesis, Primary publication, Publisher's Version

Text
Dissertation_Kevin_Gauch_2024.pdf
Copyright Information: CC BY-NC-SA 4.0 International - Creative Commons, Attribution NonCommercial, ShareAlike.
Download (13MB)

Item Type:

Ph.D. Thesis

Type of entry:

Primary publication

Title:

Risk Disclosure and Related Assurance Services

Language:

English

Referees:

Quick, Prof. Dr. Reiner ; Ahsen, Prof. Dr. Anette

Date:

11 December 2024

Place of Publication:

Darmstadt

Collation:

XXV, 65 Seiten

Date of oral examination:

29 November 2024

DOI:

10.26083/tuprints-00028838

Abstract:

Companies are exposed to various risks in their day-to-day business that can affect their financial performance, competitiveness, and long-term profitability. Trends such as globalization and rapid technological development are changing the dynamics of and uncertainties faced by companies and increasing the likelihood of crises. The COVID-19 pandemic, the Wirecard scandal, and cyberattacks are just a few recent examples. Therefore, companies must deal with risks in a structured manner using a risk management system. However, the approaches used are not standardized. Although risk management standards guide how to structure them, they still need to be customized for each company. Common risk strategies range from risk reduction and risk transfer to the avoidance of certain business activities. For example, a risk can be transferred to insurance companies or reduced by voluntary assurance of the risk management system. With the introduction of the Financial Market Integrity Strengthening Act, risk management systems have become mandatory for listed companies in Germany. In the United States, a risk management system is not mandatory, although this is the case for an internal control system for financial reporting. Due to the high relevance of risk management systems, companies can voluntarily implement risk management system assurance to verify the effectiveness and appropriateness of the system. This can ensure that risks are adequately managed, while also sending a positive signal to stakeholders. However, it is not the mere implementation of the risk management system that is crucial, but also the communication of the risks and measures that the company intends to take to manage them. By disclosing risk-related information, managers can demonstrate their risk management capabilities and thus reduce information asymmetries between the company and its stakeholders. In addition, risk-related information is of major interest to stakeholders, as it enables them to more effectively assess the company’s risk exposure. In addition to mandatory risk disclosure and risk-related information, companies tend to supplement this with voluntary information. Given the relevance of risk disclosure and related assurance services, this dissertation deals with these topics in two main chapters. The first five studies deal with the spectrum of risk disclosure, whereas the last two address the impact of assurance services. The first study examines risk disclosure in the German capital market. For this purpose, the annual reports of HDAX companies from the 2018, 2019, and 2020 fiscal years were examined, using qualitative content analysis. The study focused on the volume of disclosure, the reported risk categories and individual risks over the period mentioned. The results indicate that the number of individual risks published increased significantly. Currency and cyber risks in particular were discussed frequently. Companies and stakeholders can use the results to identify best practices in risk disclosure. For legislators, the results offer guidance for further statutory regulation. The second study examines the determinants of risk disclosure using regression analysis. Again, the annual reports of HDAX companies between 2018 and 2020 were used as the data base. The determinants were identified for the volume of risk disclosure, individual risks, and risk management measures. The results contribute to recognizing the influencing factors, which can help investors make informed decisions. The third study examines textual dissimilarity in risk disclosures and its determinants in the US capital market from 2005 to 2022, with a sample of 29,070 company-year observations. The results provide empirical evidence that risk disclosure is regularly updated only to a limited extent, except for unforeseen events such as the financial crisis or the COVID-19 pandemic. Concerning the determinants, it is evident that risk variables and audit-specific variables, in particular, influence textual dissimilarity. The fourth study describes a qualitative content analysis of HDAX companies for the 2019 fiscal year regarding disclosures on risk management systems. The results indicate rather heterogeneous reporting. An average of 6.52 of 8 basic components of the IDW assurance standard IDW AsS 981 were reported. However, only a few companies disclose that they have oriented towards a risk management standard. Notably, only four companies state that they have voluntarily assured their risk management system. Although the results indicate high reporting quality, best practices for reporting can also be identified, which also provides indications for statutory regulations. The fifth study is dedicated to the disclosure of IT risks. Due to increasing digitalization and technological trends, considering new types of risks, such as IT risks, is of particular interest. A qualitative content analysis was used to evaluate the 2020 annual reports of DAX and MDAX companies. The results also demonstrate heterogeneous reporting. Notably, only 25 of the 90 companies follow international standards, while only twelve have been certified. Cyber insurance is rarely mentioned. This study also indicates best practices in reporting on IT risks and can serve as a basis for the regulator to initiate further standardization of risk disclosure. The sixth study examines the voluntary assurance of risk management systems with an experiment. For this purpose, 145 German bankers were asked whether or not they trust in the risk management system, loan granting, willingness to invest, and to recommend investing in a hypothetical company. For this purpose, the assurance itself, the assurance providers, and the assurance level were manipulated. The results indicate that voluntary assurance significantly increases trust in the risk management system, the probability of a loan being granted, and the willingness to invest and investment recommendations. However, neither the auditor provider nor the assurance level play a decisive role in the participants’ decision, so it can be stated that the mere presence of an assurance is sufficient. From a regulatory perspective, introducing a mandatory assurance of risk management systems could be considered. In addition, our results show that companies can benefit directly from voluntary assurance, as this can increase the chances of obtaining financing. Also using an experiment, the seventh study examines voluntary cybersecurity assurance and the purchase of cyber risk insurance. For this purpose, 100 non-professional investors were asked about their willingness to invest. The presence of assurance and the presence of cyber insurance were manipulated. An additional experiment varied the assurance provider. The experimental results indicate positive perceptions of a voluntary cybersecurity audit and cyber insurance. Non-professional investors are more willing to invest in a company if it has engaged an assurance or has purchased insurance against cyber risks. In contrast, the specific assurance provider is irrelevant to our participants, revealing that the mere existence of the assurance is considered sufficient. From a regulatory perspective, introducing a mandatory cybersecurity assurance and/or mandatory cyber risk insurance could be considered, due to the high relevance of cyber risks. The results also demonstrate that companies can benefit directly from voluntary assurance, as this could increase equity financing.

Alternative Abstract:

Alternative Abstract

Language

Unternehmen sind in ihrem Tagesgeschäft verschiedenen Risiken ausgesetzt, die ihre finanzielle Leistungsfähigkeit, Wettbewerbsfähigkeit und langfristige Rentabilität beeinträchtigen können. Trends wie die Globalisierung und die rasante technologische Entwicklung verändern die Dynamik und die Unsicherheiten von Unternehmen und erhöhen die Wahrscheinlichkeit von Krisen. Dabei stellen die COVID-19 Pandemie, der Wirecard-Skandal oder Cyberattacken nur einzelne Beispiele solcher Risiken dar. Daher ist ein strukturierter Umgang mit Risiken mittels eines Risikomanagementsystems für Unternehmen unerlässlich. Die Ansätze zur Implementierung solcher Systeme sind jedoch nicht standardisiert. Zwar geben Risikomanagementstandards Empfehlungen zur Ausgestaltung, nichtsdestotrotz muss eine Anpassung an das jeweilige Unternehmen erfolgen. Bekannte Risikostrategien reichen von der Risikoreduktion, über den Risikotransfer hin zur Vermeidung der Geschäftstätigkeit. Ein Risiko bzw. das Schadensausmaß kann z.B. auf Versicherungsgesellschaften übertragen oder durch Sicherstellung funktionierender Managementsysteme durch eine freiwillige Assurance reduziert werden. Seit Inkrafttreten des Finanzmarktintegritätsstärkungsgesetzes sind Risikomanagementsysteme in Deutschland für börsennotierte Unternehmen gesetzlich verpflichtend. In den USA ist ein Risikomanagementsystem nicht zwingend vorgeschrieben, wohl aber ein internes Kontrollsystem für die Finanzberichterstattung. Aufgrund der großen Relevanz von Risikomanagementsystemen für Unternehmen können diese eine freiwillige Assurance beauftragen wodurch die Wirksamkeit und Angemessenheit des Systems testiert werden kann. Dies kann einerseits einen adäquaten Umgang mit Risiken sicherstellen und andererseits ein positives Signal für Stakeholder darbieten. Es ist jedoch nicht nur die bloße Umsetzung des Risikomanagementsystems von Bedeutung, sondern auch die Kommunikation der Risiken und der Maßnahmen, die das Unternehmen zur Bewältigung der Risiken zu ergreifen gedenkt. Durch die Offenlegung risikobezogener Informationen können Manager ihre Risikomanagementfähigkeiten unter Beweis stellen und so Informationsasymmetrien zwischen dem Unternehmen und seinen Stakeholdern abbauen. Daneben sind risikobezogene Informationen für Stakeholder von hohem Interesse, da sie es ermöglichen, die Risikoexposition des Unternehmens besser einschätzen zu können. Neben einer gesetzlich vorgeschriebenen Berichterstattung über Risiken und risikobezogenen Informationen tendieren Unternehmen dazu, diese, um freiwillige Angaben zu ergänzen. Vor dem Hintergrund der Relevanz der Risikoberichterstattung sowie von Assurance Leistungen im Kontext von Risikomanagementsystemen beschäftigt sich diese Dissertation in zwei Hauptkapiteln mit diesen Themen. Die ersten fünf Studien gehen auf das Themenspektrum der Risikoberichterstattung ein, wohingegen die letzten beiden Studien sich mit der Frage hinsichtlich der Auswirkung von Assurance Leistung auseinandersetzen. Die erste Studie untersucht die Risikooffenlegung am deutschen Kapitalmarkt. Hierzu wurden die HDAX-Geschäftsberichte aus den Geschäftsjahren 2018, 2019 und 2020 mittels einer qualitativen Inhaltsanalyse ausgewertet. Untersuchungsgegenstand waren das Volumen der Offenlegung, die berichteten Risikokategorien sowie Einzelrisiken über den genannten Zeitraum. Die Ergebnisse deuten darauf hin, dass die Anzahl der publizierten Einzelrisiken signifikant über die Jahre gestiegen ist. Besonders häufig wurden Währungsrisiken und Cyberrisiken thematisiert. Die Ergebnisse können Unternehmen und Stakeholder nutzen, um Best Practices der Risikoberichterstattung zu identifizieren. Dem Gesetzgeber bieten sie Anhaltspunkte für weitere gesetzliche Regulierung. Die zweite Studie untersucht mittels einer Regressionsanalyse die Determinanten der Risikooffenlegung. Als Datengrundlage dienten ebenfalls die Geschäftsberichte der HDAX-Unternehmen zwischen 2018 und 2020. Die Determinanten wurden für das Volumen der Risikoberichterstattung, der Einzelrisiken sowie zu Maßnahmen zur Risikosteuerung ermittelt. Die Ergebnisse tragen dazu bei, die Einflussfaktoren zu erkennen, was wiederum z.B. Anlegern dabei unterstützen kann, fundierte Entscheidungen zu treffen. Die dritte Studie untersucht die Textunähnlichkeit sowie deren Determinanten der Risikobericht-erstattung am US-amerikanischen Kapitalmarkt im Zeitraum von 2005 bis 2022. Die Gesamtstichprobe beträgt 29.070 Unternehmensjahrbeobachtungen. Die Ergebnisse bieten empirische Belege, dass die Risikoberichterstattung nur zu wenigen Teilen regelmäßig angepasst wird, es sei denn es kommt zu unvorhergesehenen Ereignissen wie der Finanzkrise oder der COVID-19 Pandemie. Hinsichtlich der Determinanten zeigt sich, dass insbesondere Risikokennzahlen sowie auditspezifische Kennzahlen die Textunähnlichkeit beeinflussen. Die vierte Studie beschreibt die Ergebnisse einer qualitativen Inhaltsanalyse der Unternehmen im HDAX für das Geschäftsjahr 2019 hinsichtlich der Berichterstattung über Risikomanagementsysteme. Die Ergebnisse deuten auf eine heterogene Berichterstattung hin. Hinsichtlich der Basiselemente des IDW Prüfungsstandards IDW PS 981 zeigt sich, dass durchschnittlich 6,52 von 8 Elemente berichtet werden. Es ist jedoch zu erkennen, dass nur wenige Unternehmen berichten, dass sie sich an einem Risikomanagementstandard orientiert haben. Ebenfalls ausfällig ist, dass ausschließlich vier Unternehmen angeben, ihr Risikomanagementsystem freiwillig geprüft zu haben. Auch wenn die Ergebnisse eine grundsätzlich hohe Berichterstattungsqualität erkennen lassen, können Best Practices für die Berichterstattung identifiziert werden, was ebenfalls Anhaltspunkte für gesetzliche Regulierungen bietet. Die fünfte Studie widmet sich der Berichterstattung von IT-Risiken. Durch zunehmende Digitalisierung und technologische Trends ist die Betrachtung von neuartigen Risken, wie IT-Risiken, von besonderer Relevanz. Mittels einer qualitativen Inhaltsanalyse wurden die Geschäftsberichte des Jahres 2020 der DAX- und MDAX-Unternehmen ausgewertet. Die Ergebnisse zeigen ebenfalls eine heterogene Berichterstattung. Besonders auffällig ist, dass nur 25 der 90 Unternehmen angeben, sich an internationalen Standards zu orientieren, wohingegen sich sogar nur zwölf zertifiziert haben lassen. Eine Cyberversicherung wird ebenfalls nur selten thematisiert. Auch diese Studie bietet Hinweise auf Best Practices der Berichterstattung über IT-Risiken und kann für den Regulator eine Grundlage sein, weitergehende Normierung der Risikoberichterstattung anzustoßen. Auf Basis eines Experiments untersucht die sechste Studie, wie deutsche Banker die freiwillige Prüfung des Risikomanagementsystems wahrnehmen. Dazu wurden 145 Banker zu ihrer Einschätzung hinsichtlich des Vertrauens, der Kreditvergabe, der Investitionsbereitschaft sowie der Anlageempfehlung eines hypothetischen Unternehmens befragt. Hierfür wurden die Prüfung selbst, die Anbieter der Prüfungsleistung sowie das Assurance Level manipuliert. Die Ergebnisse deuten darauf hin, dass eine freiwillige Prüfung das Vertrauen in das Risikomanagementsystem, die Wahrscheinlichkeit zur Gewährleistung eines Kredites sowie die Investitionsbereitschaft und Anlageempfehlung signifikant erhöht. Obgleich scheint bei der Entscheidung der Teilnehmer sowohl der Prüfer sowie das Assurance Level keine entscheidende Rolle zu spielen, so dass konstatiert werden kann, dass das bloße Vorhandensein der Prüfung als hinreichend angesehen wird. Aus regulatorischer Sicht könnte die Einführung einer obligatorischen Prüfung des Risikomanagementsystems in Betracht gezogen werden. Darüber hinaus zeigen die Ergebnisse, dass Unternehmen von der freiwilligen Prüfung direkt profitieren können, da sich dadurch die Chancen auf eine Finanzierung erhöhen können. Die siebte Studie untersucht die freiwillige Prüfung der Cybersecurity sowie den Kauf einer Cyberrisikoversicherung ebenfalls mittels eines Experiments. Hierzu wurden 100 Privatinvestoren hinsichtlich ihrer Aktienkaufwahrscheinlichkeit befragt. Manipuliert wurde das Vorhandensein einer Prüfung sowie das Vorhandensein einer Cyberversicherung. Ein zusätzliches Experiment variierte den Assurance Provider. Die Ergebnisse des Experiments deuten auf eine positive Wahrnehmung einer freiwilligen Cybersecurity Prüfung und Cyberversicherung hin. So sind Privatinvestoren eher geneigt, in geprüfte oder versicherte Unternehmen zu investieren. Dagegen scheint der Assurance Provider für unsere Teilnehmer irrelevant zu sein, so dass das bloße Vorhandensein der Prüfung als hinreichend betrachtet wird. Aus regulatorischer Sicht könnte aufgrund der hohen Relevanz von Cyber-Risiken die Einführung einer obligatorischen Prüfung der Cybersecurity und/oder einer obligatorischen Cyber-Risikoversicherung in Betracht gezogen werden. Außerdem zeigt sich, dass die Unternehmen unmittelbar von der freiwilligen Prüfung profitieren können, da sich dadurch eine Eigenkapitalfinanzierung erhöhen könnte.

German

Status:

Publisher's Version

URN:

urn:nbn:de:tuda-tuprints-288382

Classification DDC:

300 Social sciences > 330 Economics

Divisions:

01 Department of Law and Economics > Betriebswirtschaftliche Fachgebiete > Fachgebiet Rechnungswesen, Controlling und Wirtschaftsprüfung

Date Deposited:

11 Dec 2024 13:09

Last Modified: