Auf dem Papier haben viele Unternehmen ein hervorragendes Risikomanagement. Ein genauer Blick hinter die Kulissen zeigt, dass weniger als die Hälfte der Unternehmen ein ganzheitliches Risikomanagement einsetzen. Vielmehr ist ein siloartiges Risikodenken noch weit verbreitet. Man wundert sich: in etwa jedem vierten Unternehmen werden nicht einmal die isoliert definierten Risiken wirklich konsequent beobachtet, zeigen unsere Erfahrungen. Diese Tatsache birgt den großen Nachteil, dass das große Ganze außer Acht gelassen und das Risikomanagement isoliert vom Gesamtkontext gedacht wird.
In der Corona-Krise wird das Fehlen eines umfassenden Risikomanagements besonders deutlich. Dieses böte die Instrumente, um das Unternehmen erfolgreich durch Extremszenarien zu navigieren – stattdessen taumeln viele Unternehmen ohne adäquates Risikomanagement im Blindflug durch die Krise. Dies wird zusätzlich durch den Umstand verstärkt, dass viele Unternehmen Risikomanagement weiterhin in manuellen Excel-Listen durchführen und durch fehlende Automatisierung und Professionalisierung weitere Chancen verspielen.
Dabei sollte die Sache eigentlich klar sein: Ein Risiko ist die Wahrscheinlichkeit, im negativen Sinne von einem Plan abzuweichen – oder eben im Umkehrschluss die Chance, den Plan positiv zu beeinflussen. In der Realität verwenden die Unternehmen häufig viel Technologie und Manpower darauf, möglichst genaue Plandaten zu sammeln, um Umsätze, Gewinne, Material etc. zu prognostizieren. Welche Steuerungsmechanismen umgehend greifen müssten, wenn es zu Abweichungen vom Plan kommt, ist dagegen nicht hinterlegt. Führungskräfte und Aufsichtsgremien erhalten Reports zu Risiken aus einzelnen Bereichen, die nicht im Einklang miteinander stehen. Diese bruchstückhaften Risikoinformationen führen somit mehr zu Verwirrung, als dass sie einen Lösungsweg vorgeben.
Doch was können Unternehmen tun, um für die nächste Krise gewappnet zu sein? Hierbei hilft es, die Entwicklungsstufen auf dem Weg zu einem integrierten Risikomanagement zu skizzieren, um besser zu verstehen, welchen Wertbeitrag das Risikomanagement für das gesamte Unternehmen liefern kann.
1. Initiales Risikomanagement – Compliance als Ausgangspunkt
Die erste Ausprägungsstufe des Risikomanagements (vgl. Abb. 01) zeichnet sich in erster Linie durch die Erfüllung regulatorischer Vorgaben aus und ist daher in den meisten größeren Unternehmen anzutreffen. Die eingesetzten Risikomanagementsysteme fokussieren sich im Wesentlichen auf Risikoidentifikation und Berichterstattung. Die Bewertung erfolgt weitestgehend qualitativ und wird lediglich in den Bereichen, in denen Daten vorliegen, in quantitativer Form erhoben. Außen vor bleibt die Ableitung und Identifikation von Chancen.
Abb. 01: Vom initialen zum integrierten und steuerungsrelevanten Risikomanagement
2. Quantifizierung und Mitigation von Risiken als zentrale Entwicklungsfaktoren
In der zweiten Ausprägungsstufe (vgl. Abb. 01) versuchen Unternehmen vornehmlich die Bewertungslogiken für Risiken zu vereinheitlichen und in der gesamten Organisation gleichmäßige Risikostrukturen zu verankern. Die einheitlichen Methoden der Risikobewertung führen zu einer größeren Menge an Risikodaten – vor allem der Anteil an quantitativen Daten steigt deutlich an. Durch die erhöhte Datenqualität kann sich das Unternehmen auf neue Ziele fokussieren. Zum einen können nachhaltige Risikoanalysen erstellt werden, welche es ermöglichen, Risiken im Detail zu verstehen. Zum anderen kann diese Information genutzt werden, um gezielte Maßnahmen zur Risikomitigation abzuleiten.
Selbstverständlich ist die Umsetzung der definierten Maßnahmen nicht kostenfrei. Das Ziel ist es daher, die Wirksamkeit der Maßnahmen zu messen und in Relation zu den Umsetzungskosten zu setzen. Führungskräften wird es somit ermöglicht, eine strukturierte Kosten-Nutzen-Entscheidung zu den umzusetzenden Maßnahmen zu treffen. In diesem Stadium gewinnt das Risikomanagement an Professionalität, Umfang und Qualität. Erste steuerungsrelevante Entscheidungen können auf Basis einer quantitativen Datenlage getroffen werden. Das Risikomanagement wird mehr und mehr zum Kompass, welcher als Instrument in der Unternehmenssteuerung verankert wird.
3. Integration von Steuerung, Planung und Risikomanagement
Der nächste Entwicklungsschritt zur Integration des Risikomanagement ist die Verknüpfung von Steuerungsinstrumenten (vgl. Abb. 01). Im ersten Schritt werden operative Steuergrößen (KPIs) mit steuerungsrelevanten Risikoindikatoren (KRIs) verbunden. Dabei muss jede, für den Unternehmenserfolg entscheidende Steuergröße messbar gemacht und mit der zugehörigen Risikoinformation verknüpft werden. Die relevanten KPIs können dabei von klassischen Finanzkennzahlen wie EBIT bis hin zu geschäftsspezifischen Kennzahlen reichen. Wichtig ist, dass es sich um performance-relevante Steuerungsgrößen handelt. In der Praxis werden aber genau diese nicht-finanziellen Risikoindikatoren oft vernachlässigt. Dabei entscheiden aber in vielen Fällen Kennzahlen wie zum Beispiel die Kundenbindung (als eine KPI), welche durch einen schlechten Innovationsindex (als eine KRI) negativ beeinflusst wird, über Wohl und Wehe eines Unternehmens.
Durch die Verknüpfungen lassen sich Auswirkung der Risiken auf die KPIs analysieren und unterschiedliche Szenarien bestimmen. Das Management hat somit einen Überblick über mögliche Abweichungen von den Planzahlen (sowohl positiv als auch negativ) und kann entscheiden, in welcher Bandbreite es bereit ist, Risiken einzugehen. Dies sollte im Einklang mit der Unternehmensstrategie geschehen. Im Unterschied zur bisherigen Risikobetrachtung nimmt das Risikomanagement jetzt eine zukunftsgerichtete Perspektive ein. Das Unternehmen ist sich seiner Chancen und Risiken bewusst und kann im Krisenfall fundierte, auf Informationen basierende, Entscheidungen treffen.
Digitalisierung für das Risikomanagement nutzen
Und noch weiter in Richtung Zukunft blickend, wird die fortschreitende Digitalisierung auch vor dem Risikomanagement nicht Halt machen. Zum einen wird Risikomanagement gefordert sein, für viele der Fragen im Umfeld der Digitalisierung passende Antworten zu finden. Zum anderen wird das moderne Risikomanagement aber auch ganz entscheidend von dieser Entwicklung profitieren. Die Digitalisierung ermöglicht es, immer größere Mengen an Daten zu generieren. Daten an sich sind noch kein Erfolgsgarant, werden diese jedoch sinnvoll eingesetzt, können Sie das Unternehmen zum Geschäftserfolg führen. Das Risikomanagement kann die Datenmengen insbesondere in Verbindung mit Künstlicher Intelligenz (KI) nutzen, um zielgerichtete Informationen über die Risikosituation des Unternehmens zu generieren. So ermöglicht der Einsatz von KI die Analyseperspektive des Risikomanagements noch weiter in die Zukunft zu verschieben. Detaillierte Informationen zu zukünftigen Szenarien und möglichen Maßnahmen stehen den Managern für bessere Entscheidungsfindung zur Verfügung. Darüber hinaus ist es denkbar, dass selbstlernende Algorithmen in der Zukunft sogar in der Lage sein werden, Situationen zu analysieren und selbstständig bestimmte Entscheidungen zu treffen.
Risikomanagement krisensicher machen
Aber zurück zur Ausgangsfrage: was können Unternehmen tun, um ihr Risikomanagement als wertschöpfendes Steuerungsinstrument auszubauen, um so für die nächste Krise besser gewappnet zu sein?
Abb. 02: Acht Tipps für den Ausbau des Risikomanagements in der Praxis
Dabei helfen folgende acht erprobten Praxistipps:
- Die Risikostrategie unbedingt von der Unternehmensstrategie ableiten.
Dieser Schritt wird oft übergangen und führt somit automatisch zu einem isolierten Risikomanagement. Die Strategie definiert die Zielsetzung des Risikomanagements und beschreibt im Umkehrschluss somit auch, welchen Einfluss das Risikomanagement auf die Unternehmensstrategie und damit die Unternehmenssteuerung hat. - Risikomanagement als Basis der Unternehmensstruktur etablieren.
Das Risikomanagement sollte vertikal und horizontal in der Organisation verankert werden, dabei müssen die Rollen und Verantwortlichkeiten klar festgelegt werden. - Für eine vollständige Risikobewertung ist der Einsatz quantitativer Methoden unausweichlich. Nur wenn Risiken quantitativ bewertet werden, ist es möglich, ihr Zusammenwirken in Form einer Risikoaggregation zu modellieren und ihre Auswirkungen auf die Unternehmenssteuerung in Szenarien zu simulieren.
- Wenn Risiken und damit auch Chancen als Abweichung von Planwerten verstanden werden und diese gemessen, verfolgt und transparent kommuniziert werden – laufend, und nicht nur einmal im Jahr – ist schon viel gewonnen.
- Es sollten nicht nur finanzielle Kennzahlen und Risikoindikatoren angesetzt werden – oftmals geben genau die nicht-finanziellen Steuerungsimpulse den Ausschlag über Erfolg und Misserfolg.
- Kreativität ist auch beim Risikomanagement gefragt, denn jedes Unternehmen benötigt ein individuelles Risikomanagement. Nahezu alles ist messbar – alle verfügbaren Daten und Informationen können genutzt werden, um das Risikomanagement aussagekräftiger zu machen.
- Mit innovativen Big-Data-Technologien kann das Risikomanagement auf eine neue Ebene gehoben werden. Der Initialaufwand mag hoch sein, doch schon mittelfristig wird sich das Investment auszahlen.
- Neues Rollenverständnis: Risikomanagement-Verantwortliche sollten sich als Impulsgeber und Business-Partner der Unternehmensleitung verstehen.
Und zu guter Letzt, gerade Risikomanager wissen: In jeder Krise steckt auch eine Chance – nutzen wir sie!
Autoren:
Klaus Martin Jäck
Partner bei Horváth & Partners
Stephanie Nöth-Zahn
Principal bei Horváth & Partners
Leiterin der Abteilung Compliance Excellence