Nicht nur Unternehmen der Finanzindustrie, sondern aller Branchen sehen sich mit immer schneller ändernden Marktbedingungen konfrontiert. Zusammen mit der rapide steigenden Komplexität ergeben sich viele Risiken. Wie meistert man die stetig zunehmenden regulatorischen Anforderungen, ohne das Geschäft abzuwürgen? Wie erhält man beispielsweise rechtzeitig Informationen über neue Markttrends, Kundenverhalten, Digitalisierungstrends? Wie über Probleme beim Personal, Ressourcenknappheit oder in der IT? Und dies am besten noch so, dass die Risikoinformationen an den richtigen Adressaten gehen und die jeweiligen Abhängigkeiten aufgezeigt werden?
Das Risikomanagement hat in der Finanzindustrie eine lange Historie. Insbesondere Markt-, Kredit- und Liquiditätsrisiken werden umfassend gemanagt. Aber vor allem nicht-finanzielle Risiken, wie Einhaltung der komplexen regulatorischen Vorschriften, Integritäts- und Verhaltensrisiken oder IT-Risiken, spielen eine immer wichtigere Rolle. Darüber hinaus muss auch eine vorausschauende Perspektive etabliert werden, um sogenannte "emerging risks" rechtzeitig zu erkennen und zu mitigieren. Für eine langfristig erfolgreiche Steuerung von Unternehmen ist es also erforderlich, eine möglichst hohe Transparenz über Chancen und Risiken im gesamten Konzern sicherzustellen.
Eine Marktstudie von EY aus dem Jahr 2015 zeigt, dass sich Unternehmen mit einem ausgereiften umfassenden Risikomanagement bedeutende Wettbewerbsvorteile sichern können. Der Markterfolg eines Unternehmens ist demnach eng mit der intelligenten Nutzung von Risikomanagementmethoden und der passenden Governance verbunden. Während die meisten Unternehmen mit den bekannten und regulatorisch vorgeschriebenen Elementen des Risikomanagements arbeiten, haben die Top-Performer diese um wesentliche Treiber zur Performancesteigerung erweitert. Diese Unternehmen überwinden organisatorische und Risikomanagement-Silos, um das Unternehmen vor Risiken zu schützen, aber umso mehr zur Realisierung von Chancen.
Ein proaktives, flexibles und ganzheitliches Risikomanagement ist folglich unerlässlich für die Realisierung nachhaltiger Wettbewerbsvorteile. Aber wie genau können Unternehmen ihre Organisation durch ein integriertes Risikomanagement besser steuern?
Ansatz für umfassendes, integriertes Risikomanagement
In der Unternehmenspraxis erfolgreiche Ansätze für ein integriertes und ganzheitliches Risikomanagement zeichnen sich durch eine ausgewogene Kombination von drei Elementen (siehe Abb. 01) aus:
- Geeignete Methoden unter Berücksichtigung der digitalen Agenda;
- Umfassende Governance und Risikomanagementorganisation;
- Berücksichtigung des Faktors Mensch und der Risikokultur.
Abb. 01: Drei Elemente des integrierten Risikomanagements
Diese drei Elemente ergänzen und verstärken sich gegenseitig und gelten als gleichwertig im integrierten Risikomanagement-Ansatz. Die optimale Vorgehensweise muss auf die genauen Bedürfnisse und die jeweilige Situation des Unternehmens angepasst werden.
Ad 1: Methoden / Digital Agenda: Die bekannten Methoden des Risikomanagements im Finanzsektor unter Verantwortung der CRO müssen durch zusätzliche Methoden ergänzt werden, um die strategischen, operativen und externen Risiken zu managen. Die Methoden müssen leicht verständlich und anwendbar und sowohl vom Topmanagement als auch vom lokalen Management in den Funktionen und Bereichen als Managementinstrumente akzeptiert sein. Dies gewährleistet, dass sie im Tagesgeschäft und zur operativen Entscheidungsfindung genutzt werden können. Entscheidend ist die Darstellung der aktuellen Chancen/Risikolage sowohl aus Sicht des Gesamtunternehmens als auch auf Ebene des individuellen Entscheidungsträgers. Hierzu kann ein Risiko-Cockpit über alle Unternehmensbereiche verwendet werden. Hierdurch wird eine integrierte und ganzheitliche Betrachtung des gesamten Unternehmens unterstützt.
Die Chancen und Risiken können über interne als auch externe Signale identifiziert werden. Während interne Signale innerhalb der Organisation selbst auftauchen und durch die Mitarbeiter kommuniziert werden, findet man externe Signale beispielsweise in den Medien.
Ad 2: Governance / Risikomanagementorganisation: Ein erfolgreiches Risikomanagement erfordert zunächst die eindeutige Festlegung von Rollen und Verantwortlichkeiten. Dies ist unerlässlich, um trotz komplexer Unternehmensstrukturen nicht in die "organisierte Verantwortungslosigkeit" abzugleiten. Über sämtliche organisatorischen Schnittstellen hinweg, die miteinander interagieren und Informationen austauschen, muss klar definiert sein, wer für die Steuerung der jeweiligen Risiken verantwortlich ist. Jedoch ist dies leider oft nicht der Fall: Die mangelnde Einsatzbereitschaft einer kleinen, lokalen IT-Anwendung, deren Ausfall Einfluss auf die Betriebsfähigkeit einer zentralen Kundenanwendung hat, wird nicht weitergegeben, weil die Zusammenhänge auf lokaler Ebene nicht bekannt sind. Das bedeutet, dass der Vorstand, bei dem alle Informationen über alle Unternehmenssilos hinweg zusammen kommen, zu spät informiert wird und nicht mehr agieren kann, sondern reagieren muss.
Abb. 02: Three-Lines-of-Defense-Ansatz (3-LoD)
Um die eindeutige Zuweisung von Rollen und Verantwortlichkeiten strukturell sicherzustellen, hat sich in der Praxis, auch getrieben durch regulatorische Anforderungen, der Three-Lines-of-Defense- Ansatz entwickelt (siehe Abb. 02). Die erste Verteidigungslinie besteht aus den Geschäftseinheiten mit eigener Gewinn- und Verlustrechnung, die durch ihre Tätigkeit am Markt Risiken eingehen und steuern müssen. Die Risiko- und Kontrolleigner werden durch unabhängige Kontrollfunktionen in der zweiten Verteidigungslinie unterstützt. Diese Einheiten, beispielsweise Risikomanagement, Compliance, Controlling, definieren die Rahmenbedingungen für bestimmte ihnen zugewiesene Risikoklassen. So schreibt und kommuniziert beispielsweise Compliance eine AML-Richtlinie, die Prinzipien, Prozesse und Kontrollanforderungen für die Geschäftsprozesse in den Business Units definiert. Für die Umsetzung dieser (Mindest-)Anforderungen ist die 1st LoD verantwortlich, was durch die Kontrollfunktionen überwacht wird. Die tatsächliche Ausübung dieser Aufgaben und das Zusammenspiel der einzelnen Einheiten werden dann unabhängig durch die interne Revision (3rd LoD) überwacht.
Das 3-LoD Modell hat sich zunächst, auch durch regulatorischen Druck, in der Finanzbranche entwickelt. Mittlerweile finden sich aber auch immer mehr Unternehmen im Industrie- und Dienstleistungsbereich, die eine eindeutige Verteilung von Rollen und Verantwortlichkeiten analog zu diesem Modell einrichten.
Daher ist es wichtig, die Unternehmensorganisation in Bezug auf Risikomanagement so anzupassen, dass die internen Probleme ebenfalls die Geschäftsführung erreichen. EY integriert daher zusätzlich einen Ansatz, der es ermöglicht, wichtige Risikoinformationen unterer Unternehmensebenen transparent zu machen. Diese Vorgehensweise kann durch Risikomanager umgesetzt werden (siehe Abb. 03).
Abb. 03: Governance / Organizations
Ad 3: Faktor Mensch und Risikokultur: Um ein erfolgreiches und umfassendes Risikomanagement zu gewährleisten, muss es tief im Unternehmen integriert sein und durch alle Menschen im Unternehmen gelebt werden. Die Risikokultur bildet die Grundlage für ein effektives und effizientes Risikomanagement. Mitarbeiter müssen die Risiken bewusst wahrnehmen, kommunizieren, kontrollieren und steuern. Die (Risiko-)Kultur eines Unternehmens unterstützt die nachhaltige Etablierung eines Risikobewusstseins, und ermöglicht den Mitarbeitern auch intuitiv richtig in Risikosituationen zu reagieren. Insbesondere Verhaltens- und Integritätsrisiken, die sich zumindest teilweise einer formalen Steuerung entziehen, können wirksam durch eine adäquate Risikokultur mitigiert werden. Um eine solche Risikokultur zu erreichen, sind vertrauensbasierte Arbeitsbeziehungen erforderlich, die auch den Teamgedanken fördern. Das gleiche Verständnis von Risiken, der Umgang mit Risiken und die Kommunikation der Risiken sind Teil der Risikokultur und helfen dem Unternehmen, die angestrebten Ziele zu erreichen.
Das integrierte Risikomanagement
Setzen Unternehmen alle drei Elemente gleichwertig und ineinander verzahnt um, profitieren sie von einem ganzheitlichen Risikomanagement. Es können nicht nur finanzielle Einsparungen verwirklicht, sondern auch nachhaltige Wettbewerbsvorteile realisiert werden.
Wie können alle diese Ergebnisse nun in ein integriertes Risikomanagement zusammengefasst werden? Die unterschiedlichen Risikoarten werden über die Signale von den Mitarbeitern einer Organisation identifiziert. Diese unterschiedlichen Risiken werden dann durch die Governance, beziehungsweise Unternehmensorganisation, Top-Down oder Bottom-Up kommuniziert und letztlich im Reporting (beispielsweise Risikocockpit) des Unternehmens ganzheitlich dargestellt. In dieser Vorgehensweise sind alle Kernelemente eines gesamtheitlichen Risikomanagements berücksichtigt.
Abb. 04: Integrierter Risikomanagementansatz
Fazit
Unsere umfassende Praxis-Erfahrung in Bezug auf Risikomanagement hat gezeigt, dass ein integriertes Management der Risiken anhand der drei beschriebenen Elemente Methods/Digital Agenda Governance/Organizations und Human Factor, nicht nur Risiken vermieden, sondern vor allem Wettbewerbsvorteile nachhaltig gesichert werden können. Eine Herausforderung in Bezug auf Risikomanagement stellt die Individualität der Unternehmen dar. Die einzelnen Elemente des Risikomanagements können nicht einfach von einem Unternehmen auf ein anderes übertragen werden, sondern sie müssen individuell gestaltet werden, um effektiv genutzt werden zu können.
Für die Finanzbranche bedeutet dies, dass neben den bekannten finanziellen Risiken in der Zukunft auch die strategischen, operativen und externen Risiken stärker systematisch und integriert gemanagt werden müssen.
Autoren:
Christoph Schwager, Partner, Advisory Services, Ernst & Young
Dr. Erik Lüders, Partner, Advisory EMEIA Financial Services, Ernst & Young
Christian Müller, Executive Director, Advisory EMEIA Financial Services, Ernst & Young
Dr. Kai Brühl, Senior Manager, Advisory EMEIA Financial Services, Ernst & Young
Pia Schmitz, Consultant, Advisory Services, Ernst & Young