Wenn die Unternehmensleitung den Risiko-Wald vor lauter Bäumen nicht mehr sieht, fällt ihr auch das strategische Entscheiden schwer. Ein neuer Denkansatz der Universität Siegen rückt den vorausschauenden systematischen Rundumblick auf Risiken in den Mittelpunkt.
Was ist allgemein ein "Risiko"? Der Volksmund würde sagen "etwas Gefährliches", der Betriebswirt drückt es als "negative Abweichung vom Erwartungswert" aus. Generell gilt: Was wir tun, ist riskant. Was wir nicht tun, ist es auch! Und klar ist, sollte das Risiko tatsächlich eintreten, so kommt nicht das Ergebnis heraus, was man sich vorgestellt hat, und Enttäuschung und Ärger sind vorprogrammiert.
Beginnen wir unternehmensintern: Die Risiken reihen sich bereits entlang der Wertschöpfungskette des Unternehmens auf. So lauern überall in den operativen Prozessen Fehlerquellen, die Produktivität und Qualität der Unternehmensleistung angreifen, sei es in der Beschaffung von Materialien, in der Produktion oder Dienstleistungserstellung, im Vertrieb. Man rechnet falsch, wendet Modelle nicht korrekt an, übersieht Wichtiges, kontrolliert unzureichend. Hinzu kommen Risiken, die mit den Mitarbeitern zusammenhängen: Führungskräfte schöpfen ihre Potenziale in der Führung nicht aus, Mitarbeiter sind nicht so motiviert, wie das Unternehmen es erwartet, und sind für "Minderleistung" verantwortlich.
Die vielen Bäume des Risiko-Waldes
Dies geht nahtlos in die unternehmensexternen Risiken über. Hier spiegeln die Märkte die unternehmensinternen Risiken wider: Der Beschaffungsmarkt (benötigte Waren sind nicht beziehungsweise zu teuer verfügbar), der Absatzmarkt (die prognostizierten Verkaufszahlen lassen sich nicht realisieren), der Finanzmarkt (Zins- und Währungsrisiken sind nur einige der Stichworte) und der Arbeitsmarkt (wo die Nichtverfügbarkeit benötigter Fachkräfte ebenso ein Risiko ist wie das Abwerben von Mitarbeitern durch starke Konkurrenzarbeitgeber).
Speziell für die Unternehmensleitung wird es hier noch relevanter: Denn sie ist an der Schnittstelle des Unternehmens zu seiner Außenwelt für das reibungslose Funktionieren aller Unternehmensaktivitäten zuständig. Hier wollen zahlreiche Anspruchsgruppen ("Stakeholder") ihre Interessen berücksichtigt sehen: Kunden, Gewerkschaften, Geldgeber, Eigentümer, die Öffentlichkeit, der Staat und viele mehr. Risiken werden durch mangelnde Qualität der Unternehmensführung, Regelinkonformität des Handelns, Intransparenz der Kommunikation und fehlende Nachhaltigkeit ausgelöst und werden dann rechtliche Risiken, Legitimationsrisiko und Reputationsrisiko genannt.
Unternehmensrisiken heute
Komplexität: über viele Ecken vernetzt
Selbstverstärkung: Risiken aggregieren sich
Echtzeit: bedingt durch soziale Medien ohne Vorwarnzeit
Tsunami-Gefahr: wer nicht rechtzeitig handelt, wird überrollt
Schließlich auf einer übergeordneten Ebene: Das Risiko liegt möglicherweise in der Risikosteuerung selbst. Wenn das Unternehmen es nicht schafft, diese Risikovielfalt samt ihrer Komplexität, Selbstverstärkung und Echtzeitdynamik im Griff zu behalten, unterliegt es der "Tsunami-Gefahr": Wer nicht rechtzeitig handelt, wird überrollt. Dabei reicht es nicht aus, alle Bäume des Risiko-Waldes zu sehen, sondern idealerweise sollte das Unternehmen schon heute wissen, wie der Risiko-Wald morgen aussehen wird. Und dann entsprechend "proaktiv", also vorausschauend und antizipativ, mit den Risiken umgehen.
Dabei ist es selbstredend klar, dass ein Unternehmen nicht alle Risiken vermeiden oder absichern kann, soll und will: "Ohne Risiko keine Chance" gilt auch hier. Neben der Risikotragfähigkeit eines Unternehmens gerät als Gegenpol das Risiko-Ertrags-Verhältnis in den Blick. Es geht darum, beides miteinander zu verbinden und zu optimieren: Risikominimierung erhöht die Sicherheit, aber erst die wohldosierte Risikoübernahme eröffnet Geschäftschancen. Dies alles ist unter der Maßgabe zu bewältigen, dass die rechtlichen Anforderungen eingehalten werden, dass Machbarkeit und effiziente Kosten-Nutzen-Relationen der Risikosteuerung bestehen und dass alle Beteiligten hieran im Sinne einer Risikokultur mitwirken.
Genau an dieser Stelle setzt "Risk Governance" an.
Was ist das Problem?
Arnd Wiedemann | Volker Stein: Wir sehen ein fatales Dilemma der traditionellen Risikosteuerung in Unternehmen. Auf der operativen Seite der Leistungserstellung steht das eher mechanistische Risikomanagement – es wendet standardisierte Risikomodelle und Risikomanagementprozesse auf vorselektierte Standardrisiken an. Und nationale wie auch internationale Standards für das Risikomanagement gibt es viele, zum Beispiel ISO 31000 oder COSO ERM. Auf der strategischen Seite der Unternehmensleitung steht die Corporate Governance – die allerdings nur ansatzweise auf eine ganzheitliche Risikosteuerung ausgerichtet ist. Beides hoch qualifizierte Spezialfunktionen, aber zunehmend voneinander isoliert. Im Ergebnis fallen unternehmensbedrohende Risiken durchs Raster, die an der Schnittstelle des Unternehmens zu seiner Umwelt entstehen, immer stärker vernetzt sind und Eigendynamiken entwickeln.
Und nun: Risk Governance in Unternehmen?
Arnd Wiedemann | Volker Stein:Risk Governance – man kennt den Begriff schon aus der Politikberatung, wo systemische Makrorisiken gesteuert werden – ist ein Ausweg aus dem beschriebenen Dilemma: Sie sorgt von übergeordneter Warte für eine proaktive Kontrolle aller Unternehmensrisiken, indem sie eine auf das Gesamtunternehmen und seine Stakeholder bezogene Risikosteuerung als grundlegendes Prinzip für alle Entscheidungen im Unternehmen einführt. Dies entspricht im Übrigen den rechtlichen Vorgaben zur Sorgfaltspflicht, denen Unternehmensleitungen unterliegen, nicht zuletzt aufgrund des "Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG). Der Vorstand einer Aktiengesellschaft beziehungsweise die Geschäftsleitung einer GmbH sind verpflichtet, geeignete Maßnahmen zu ergreifen, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, frühzeitig erkannt werden. Zudem müssen sie Aussagen zu den Risiken des Unternehmens im Lagebericht veröffentlichen und das Bestehen und den Betrieb des Risikofrüherkennungssystems vom Abschlussprüfer prüfen lassen. Risk Governance nimmt sich dieser Anforderungen an.
Definition
Risk Go|ver|nance [rɪsk 'gʌvərnəns] die: Durchdringung des Unternehmens mit stakeholderorientierter Risikosteuerung aus strategischer Sicht
Was heißt das konkret?
Arnd Wiedemann | Volker Stein: Das führt konkret zu vier Aufgaben: Erstens das laufende (Re-)Design von Risikomodellen, damit Risikowahrnehmung, -priorisierung und -aggregation mit den Umweltveränderungen Schritt halten. Zweitens die systematische Bestimmung der Modellrisiken, um fehlerbehaftete Risikomodelle ausschließen zu können. Drittens die Forschung und Entwicklung in Risikothemen, um keine wissenschaftlichen und methodischen Entwicklungen zu verpassen und auch die Chancen-Seite der Risiken zu berücksichtigen. Und viertens die Beratung der Unternehmensleitung in Risikothemen, damit diese ihren risikobehafteten Marktreaktionsprozess beherrscht.
Wie sollten Unternehmen Risk Governance einführen?
Arnd Wiedemann | Volker Stein: Unternehmen brauchen für diese Aufgaben einen Kompetenzträger. Sie können beispielsweise eine Funktion einrichten. Denkbar ist die direkte Geschäftsführungsverantwortung, eine Stabsstelle oder – je nach Größe des Unternehmens – ein Zentralbereich. Damit diese Funktion Gewicht bekommt, muss sie Akzeptanz und Kooperation seitens der Unternehmensleitung erfahren und zudem in das operative Risikomanagement hineinwirken dürfen.
Welche Auswirkungen hat Risk Governance?
Arnd Wiedemann | Volker Stein: Die Risk Governance richtet die Risikosteuerung effizient auf das jeweilige Geschäftsmodell und die Stakeholder – also Kooperationspartner, Kunden, Lieferanten, Mitarbeiter, Öffentlichkeit etc. – hin aus. Zugleich macht sie die Unternehmensleitung kompetenter im Hinblick auf ihre Risikoentscheidungen und implementiert eine nachhaltige Risikokultur im Sinne von Vorsicht, Transparenz und Verantwortlichkeit im Umgang mit Risiken. Nicht zuletzt lassen sich so Risikoquellen, die insbesondere aus Managementversagen herrühren, vermindern.
Ihr Fazit?
Arnd Wiedemann | Volker Stein:Risk Governance will weder die Corporate Governance noch das Risikomanagement ersetzen, sondern beidem ein gemeinsames Dach bieten und sie damit wirksamer machen. Risk Governance leistet einen funktionalen Beitrag zum Erfolg eines Unternehmens, indem sie dessen Nachhaltigkeit und Risikotragfähigkeit unterstützt. Durch eine nachgewiesene Risk Governance zeigt sich, ob ein Unternehmen sein Geschäftsmodell wirklich proaktiv auf alle möglichen Risiken hin abklopft und in wie weit es ihm dabei gelingt, gerade nicht in einen Risikosteuerungs-Routinemodus zu verfallen, sondern vielmehr dauerhaft und immer wieder neu wachsam zu sein.
Wie Risk Governance funktioniert (nach Stein/Wiedemann 2016)
Vertiefende Lektüre:
Stein, Volker/Wiedemann, Arnd, Risk governance: conceptualization, tasks, and research agenda, in: Journal of Business Economics 86 (2016), S. 1-24.
Stein, Volker/Wiedemann, Arnd, Das Risiko liegt im Risikomanagement, in: Frankfurter Allgemeine Zeitung, 04.07.2016, S.18.
Wiedemann, Arnd/Stein, Volker/Quast, Julian, Risk Governance leistet positiven Wertbeitrag, in: Die Bank 56 (9/2016), S. 36-40.
Die Autoren
Univ.-Prof. Dr. Arnd Wiedemann (Inhaber des Lehrstuhls für Finanz- und Bankmanagement) und
Univ.-Prof. Dr. Volker Stein (Inhaber des Lehrstuhls für Personalmanagement und Organisation) an der Universität Siegen sind gemeinsame Gründungsvorstände der Universität Siegen Business School sowie Mitglieder der Siegener Forschergruppe "Risk Governance".