Die Fähigkeit im Umgang mit Chancen und Gefahren (Risiken) ist ein Erfolgsfaktor, wie eine Vielzahl empirischer Studien belegen [siehe Gleißner 2019 mit einer Übersicht]. Neben ausgeprägter finanzieller Nachhaltigkeit [vgl. Gleißner/Günther/Walkshäusl 2022], einer robusten Strategie [Gleißner 2021 und Schäffer 2020 und Schäffer 2021] ist der Erfolg eines Unternehmens nachhaltig nur zu sichern, wenn die Unternehmensführung in der Lage ist wesentliche Risiken früh zu erkennen und die mit jeder unternehmerischen Entscheidung verbundenen Risiken adäquat im Entscheidungskalkül zu berücksichtigen. Ein insbesondere auf die Unterstützung unternehmerischer Entscheidungen ausgerichtetes Risikomanagement ist notwendigerweise integrativ [Gleißner 2020] und arbeitet zusammen mit dem Controlling an der Erstellung von Vorlagen für unternehmerische Entscheidungen [siehe dazu ICV 2021; Gleißner 2022; Vanini/Leschenko 2017; Gleißner/Stein/Wiedemann 2021].
In der Praxis werden integrative Ansätze des Risikomanagements meist als GRC-Konzepte aufgefasst, also "Governance", "Risk" und "Compliance" verknüpft. Auf dem Weg zu einem integrativen und entscheidungsorientierten Risikomanagement sind solche GRC-Konzepte aber wenig nützlich, sondern oft sogar schädlich. Zunächst ist den GRC-Ansätzen eine entscheidungsorientierte Ausrichtung des Risikomanagements, die in der Zwischenzeit auch in Risikomanagementstandards gefordert wird, weitgehend fremd [siehe dazu Bünis et al. 2022 zum DIIR RS 2 und Hunziker 2019 zur Entscheidungsorientierung im COSO Enterprise Risk Framework]. Problematisch bei GRC-Konzepten ist zudem das häufig vorzufindende (und durch den Ansatz sogar gefördertes) Risikoverständnis und die damit verbundene Risikokultur. Aus der hier oft dominierenden "Compliance-Perspektive" wird Risiko meist lediglich als Gefahr verstanden und das Ziel verfolgt, Risiken zu vermeiden bzw. zu minimieren. Oft wird das Vorliegen eines Risikos gar als Fehler interpretiert. Eine derartige restriktive Risikokultur ist das Gegenteil der erforderlichen offenen Risikokultur, die man für ein modernes integratives und entscheidungsorientiertes Risikomanagement benötigt (siehe Tab. 01 mit einer Gegenüberstellung der wesentlichen Charakteristika).
offene Risikokultur | 1 | 2 | 3 | 4 | 5 | restriktive Risikokultur |
Risiko als mögliche Planungsabweichung | Risiko ist möglicher Schaden | |||||
Ziel ist die Optimierung des Ertrag-Risiko-Profils | Ziel ist Risikominimierung | |||||
Risiken gehören zu jeder geschäftlichen Tätigkeit | Risiko deutet Fehler an | |||||
Transparenz über Risiken & offene Risikokommunikation | intransparente Risiken | |||||
Risikoanalyse als Grundlage von Entscheidungen | keine Risikoanalyse vor Entscheidungen |
Tab. 01: Offene vs. restriktive Risikokultur
Ein entscheidungsorientiertes Risikomanagement muss neben der Früherkennung möglicher "bestandsgefährdender Entwicklungen", die sich meist aus Kombinationseffekten von Einzelrisiken ergeben, in der Lage sein bei anstehenden "unternehmerischen Entscheidungen" (siehe § 93 AktG) die mit diesen verbundenen Risiken aufzuzeigen (siehe die entsprechende Anforderung im DIIR RS 2 von Februar 2022). Um diesem Anspruch gerecht zu werden, benötigt man eine offene Risikokultur, die zunächst akzeptiert, dass jede unternehmerische Tätigkeit – und jede unternehmerische Entscheidung – immer mit Chancen und Gefahren (Risiken) verbunden ist. Für eine sachgerechte Beurteilung verschiedener Handlungsoptionen bei unternehmerischen Entscheidungen müssen zudem die mit diesen verbundenen Gefahren und Chancen betrachtet werden.
Risiko sollte entsprechend als Überbegriff von Chance und Gefahr aufgefasst werden. Grundlage unternehmerischer Entscheidungen ist eine Planung und die Aufgabe der hier ergänzend erforderlichen Risikoanalyse ist das Aufzeigen der Chancen und Gefahren (Risiken), die zu Planabweichungen führen können. Zudem ist es erforderlich zu akzeptieren, dass das Eingehen von Risiken nicht etwa grundsätzlich einen Fehler darstellt und keinesfalls die Minimierung von Risiken sinnvoll ist. Zielsetzung unternehmerischer Entscheidungen ist die Optimierung des Rendite-Risiko-Profils unter Beachtung von Nebenbedingungen, die sich durch das vorhandene Risikodeckungspotenzial ergeben (was durch die Messung der Risikotragfähigkeit beurteilt wird) [zur Berechnung Gleißner 2019].
Ein solches Verständnis von Risiko als Ursache möglicher Planabweichungen findet man im Controlling. Bekanntlich sind nämlich alle unsicheren Prämissen der Unternehmensplanung immer auch Risiken, bei denen positive wie auch negative Planabweichungen auftreten können. Anders als im Compliance-Management ist es für das Controlling auch klar, dass zur Steigerung des Unternehmenswerts größere Risiken akzeptiert werden können, wenn dementsprechend auch höhere Erträge gegenüberstehen [beispielsweise Günther 1997; Gleißner 2022]. Ein integratives und damit notwendigerweise auch in dem Prozess der Vorbereitung unternehmerischer Entscheidungen eingebundenes Risikomanagement sollte daher eng mit dem Controlling verknüpft sein und Risiko als Ursache für Planabweichungen auffassen.
Möchte man nun ein integratives Risikomanagement im Unternehmen realisieren, und damit auch Risikomanagement und Controlling verknüpfen, gelangt man zu einem erweiterten integrativen Konzept: dem GRC²-Ansatz, also Governance, Risk, Compliance und Controlling.
GRC-Ansätze führen eher in eine Sackgasse
Hier mag nun der Eindruck entstehen, dass nach einem ersten Integrationsschritt – die Realisierung des GRC-Ansatzes – in einem weiteren Schritt das Controlling einbezogen werden sollte. Diese Abfolge ist jedoch meist nicht empfehlenswert. Zunächst ist festzuhalten, dass ein GRC-Konzept, das nicht bei der Vorbereitung unternehmerischer Entscheidungen mitwirkt, die gesetzlichen Mindestanforderungen an das Risikomanagement nicht erfüllt [siehe dazu Gleißner 2018 und Berger et al. 2021 sowie RMA 2019]. Das Risikomanagement hat aufgrund der gesetzlichen Anforderungen aus der Business Judgement Rule (vgl. § 93 AktG) nämlich sicherzustellen, dass Risikoanalysen bei der Vorbereitung unternehmerischer Entscheidungen durchgeführt werden [so nachzulesen im DIIR RS 2 von Februar 2022, siehe Bünis et al. 2022]. Die Verknüpfung von Risikomanagement und Controlling bei der Entscheidungsvorbereitung hat also Priorität (hier ist zu erwähnen, dass auch im neuen § 91 Abs. 3 AktG nur das Risikomanagement, nicht aber das Compliance-Management, als zu implementierendes Managementsystem genannt wird). Pointiert zusammengefasst: Die Mitwirkung des Risikomanagements bei der Vorbereitung unternehmerischer Entscheidungen ist Pflicht, die Verknüpfung von Risk Management mit Compliance dagegen die Kür.
Darüber hinaus lässt sich sogar belegen, dass ein GRC-Ansatz oft kein Schritt auf einem entscheidungsorientierten integrativen Risikomanagement ist, sondern eher eine Sackgasse. Schon seit Jahren zeigt eine Vielzahl von Studien, dass die gebotene entscheidungsorientierte Ausrichtung des Risikomanagements in vielen Unternehmen noch nicht realisiert ist [siehe beispielsweise Köhlbrandt et al. 2020). In kaum einem Unternehmen wird man sehen, dass eine "GRC-Einheit" bei der Erstellung von Entscheidungsvorlagen für die Geschäftsleitung mitwirkt. Die Ursachen dafür wurden kürzlich in einer empirischen Studie untersucht [vgl. Gleißner/Ulrich 2022]. Dabei hat sich gezeigt, dass es gerade kulturelle Hemmnisse sind, die einen integrativen Risikomanagement entgegenstehen. Die oben bereits umrissene "restriktive Risikokultur", die den GRC-Modellen typisch ist, verhindert die entscheidungsorientierte Ausrichtung des Risikomanagements. Wenn in einer "GRC-Welt" mit einer dominierenden Compliance-Perspektive Risiko nur als Gefahr verstanden und eine Risikominimierung angestrebt wird, lassen sich entscheidungsvorbereitende Risikoanalysen kaum mehr realisieren.
Fazit
GRC-Modelle sind aus den genannten Gründen oft eine Sackgasse auf dem Weg zu einem integrativen entscheidungsorientierten Management anzusehen. Daraus ergibt sich eine klare Folgerung: Auf dem Weg zu einem integrativen Risikomanagement ist zunächst eine Verknüpfung von Risikomanagement und Controlling empfehlenswert. Hier ist es wichtig die oben skizzierte "offene Risikokultur" umzusetzen, die auch Chancen betrachten und keinesfalls eine Risikominimierung anstrebt.
Controlling und Risikomanagement sind dann gemeinsam in der Verantwortung Entscheidungsvorlagen für die Geschäftsleitung zu erstellen, die auch die mit diesen verbundenen Risiken aufzeigen und im Entscheidungskalkül berücksichtigen. Möchte man ausgehend von einem derartigen Konzept eine Integration mit anderen Governance-Funktionen, speziell dem Compliance, erreichen, ist dies natürlich möglich. Das Ziel-Bild ist hier der GRC²-Ansatz. Er basiert auf einer offenen Risikokultur und zielt darauf die Geschäftsleitung bei der Vorbereitung unternehmerischer Entscheidungen zu unterstützen.
Autoren:
Prof. Dr. Werner Gleißner
FutureValue Group AG (Vorstand),
TU Dresden (BWL, insb. Risikomanagement)
Prof. Dr. habil. Patrick Ulrich
Hochschule Aalen / Otto-Friedrich-Universität Bamberg
Quellenverzeichnis und weiterführende Literaturhinweise:
- Berger, Th./Ernst, D./Gleißner, W./Hofmann, K. H./Meyer, M./Schneck, O./Ulrich, P./Vanini, U. (2021): Die Prüfung von Risikomanagementsystemen und die Defizite des IDW Prüfungsstandards 340, in: Der Betrieb, 74. Jg., Heft 46, S. 2709-2714.
- Bünis, M./Disch, O./Gleißner, W./Gutzmer, M./Hadaschik, M./Kempf, A./Kimpel, R. (2022): Die neue Version des DIIR Nr. 2 (2022): Implikationen von FISG und StaRUG für die Interne Revision, in: ZIR (erscheint in Kürze).
- Gleißner, W. (2018): Risikomanagement 20 Jahre nach KonTraG: Auf dem Weg zum entscheidungsorientierten Risikomanagement, in: Der Betrieb vom 16.11.2018, Heft 46, S. 2769-2774.
- Gleißner, W. (2019): Cost of capital and probability of default in value-based risk management, in: Management Research Review, Vol. 42, No. 11, S. 1243-1258.
- Gleißner, W. (2020): Integratives Risikomanagement. Schnittstellen zu Controlling, Compliance und Interner Revision, in: Controlling, 32. Jg., Heft 4/2020, S. 23-29.
- Gleißner, W. (2021): Strategisches Management unter Unsicherheit: Das robuste Unternehmen, in: REthinking Finance, Heft 1 (Februar 2021), S. 33-41.
- Gleißner, W. (2022): Grundlagen des Risikomanagements, 4. Aufl., Vahlen Verlag München.
- Gleißner, W./Günther, Th./Walkshäusl, Ch. (2022): Financial sustainability: measurement and empirical evidence, in: Journal of Business Economics, doi.org/10.1007/s11573-022-01081-0.
- Gleißner, W./Stein, V./Wiedemann, A. (2021): Die Business Judgement Rule als Treiber der Evolution des Risikomanagements, in: Der Betrieb vom 12.07.2021, Heft 27-28, S. 1485-1490.
- Gleißner, W./Ulrich, P. (2022): GRC ist ein Problem – und GRC2 die Lösung: Governance, Risk, Compliance und Controlling (erscheint in Kürze).
- Günther, T. (1997): Unternehmenswertorientiertes Controlling, München.
- Hunziker, S. (2019): Enterprise Risk Management – Modern Approaches to Balancing Risk and Reward. Springer Gabler, Wiesbaden.
- Internationaler Controller Verein e.V. (ICV) (Hrsg.): Entscheidungsvorlagen für die Unternehmensführung. Leitfaden für die Vorbereitung unternehmerischer Entscheidungen (Business Judgement Rule), erarbeitet von Werner Gleißner, Ute Vanini, Thomas Berger, Markus Feldmeier, Tobias Flath, Thomas Günther, Ralf A. Huber, Markus Kottbauer, Robert Rieg, Utz Schäffer, Karl-Heinz Steinke, Marco Wolfrum, Haufe-Lexware GmbH, Freiburg, 2021.
- Köhlbrandt, J./Gleißner, W./Günther, Th. (2020): Umsetzung gesetzlicher Anforderungen an das Risikomanagement in DAX- und MDAX-Unternehmen. Eine empirische Studie zur Erfüllung der gesetzlichen Anforderungen nach den §§ 91 und 93 AktG, in: Corporate Finance, Heft Nr. 07-08, S. 248-258.
- Risk Management Association e. V. (RMA) (Hrsg.): Managemententscheidungen unter Risiko, erarbeitet von Werner Gleißner, Ralf Kimpel, Matthias Kühne, Frank Lienhard, Anne-Gret Nickert und Cornelius Nickert, Erich Schmidt Verlag Berlin, 2019.
- Schäffer, U. (2020a): Levers of Organizational Resilience, in: Controlling & Management Review, 64. Jg., Heft 6-7/2020, S. 8-19.