Die vor wenigen Tagen veröffentlichte Analyse "Global Risks 2014" verdeutlicht, dass die eigentliche Gefahr für Unternehmen darin liegt, dass Risiken hochgradig komplex miteinander verknüpft sind. Diese Abhängigkeiten zwischen Risikoursachen, Risikowirkungen und den eigentlichen Risiken werden oft nicht oder zu spät erkannt. Risiko- und Compliancemanagement erfolgt auf isolierten Inseln ohne einen Blick nach links oder rechts zu werfen. In der Konsequenz kann ein solches Satelliten-Risikomanagement zu einer Dominorallye führen. Risikokategorien dürfen nicht losgelöst voneinander erfasst und analysiert werden, da Risiken durch positive und negative Rückkopplungen miteinander verbunden sind. Sehr häufig ist ein ganzes Bündel von unterschiedlichen Risikoursachen für einen Risikoeintritt oder gar den Zusammenbruch eines Unternehmens verantwortlich. Vor diesem Hintergrund wird auch die Bedeutung einer integrierten Gesamtrisikosteuerung deutlich. Als wesentliche Größe müssen hierbei auch potenzielle Compliance-Risiken berücksichtigt werden.
So zeigt beispielsweise ein Blick auf die komplexe Welt von Supply-Chain-Risiken, dass diese nicht isoliert analysiert werden können. Eine Unterbrechung der Wertschöpfungskette kann in der Konsequenz nicht nur zu einer Betriebsunterbrechung führen, sondern Schadensersatzansprüche und Compliance-Risiken nach sich ziehen oder auch zu einem Reputationsverlust führen. Hierbei muss die komplette Wertschöpfungskette von Vorlieferanten bis zum Kunden analysiert werden. Ein Blick in die Praxis zeigt, dass hier eine fast unbegrenzte Anzahl an Szenarien denkbar ist.
Wie hoch ist der Gesamtrisikoumfang des Unternehmens?
Damit das Risiko- und Compliancemanagement eines Unternehmens dazu beitragen kann, Krisenanfälligkeit und Bestandsbedrohung rechtzeitig zu erkennen, muss der Gesamtrisikoumfang bestimmt werden. Erst die komplexe Verknüpfung von Einzelrisiken ist von besonderer Bedeutung für das Management der Unternehmensrisiken. Daher ist es nur konsequent, dass auch das Institut der Deutschen Wirtschaftsprüfer (IDW) die Quantifizierung und Aggregation von Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert hat. Auch der neue Standard zur Konzernlageberichterstattung (DRS 20) fordert eine zusammenfassende Darstellung der Risiken. Anders als nach dem (alten) DRS 5 sind die dargestellten Einzelrisiken nunmehr zu einem Gesamtbild der Risikolage zusammenzuführen. Was heißt dies nun konkret?
Bereits von Aristoteles wissen wir, dass das Ganze mehr ist als die Summe seiner Teile. Bezogen auf das Risikomanagement im Unternehmen heißt dies, dass es eine große Dummheit wäre, die Summe der Schadenserwartungswerte einzelner Risiken als Gesamtrisikoposition zu betrachten. Dies führt in der Praxis zu einer dramatischen Fehleinschätzung, nämlich einer Unterschätzung des Risikoumfangs. In der Konsequenz kann die tatsächliche Bestandsbedrohung des Unternehmens nicht beurteilt werden. Die Summe der Schadenserwartungswerte zeigt nur die mittlere Ergebnisbelastung resultierend aus den Risiken und informiert nicht darüber, welche realistische Maximalbelastung in denkbaren ungünstigen Zukunftsszenarien – etwas unter Berücksichtigung "grauer" oder "schwarzer Schwäne" – auf die Eigenkapital- und Liquiditätsausstattung des Unternehmens zukommen kann.
Die schmerzhaften Erkenntnisse der jüngsten Finanzkrise
In der Folge der jüngsten Banken- und Finanzkrise hat auch der Baseler Ausschuss für Bankenaufsicht mit dem Dokument "Principles for Effective Risk Data Aggregation and Risk Reporting" (BCBS 239) Anfang 2013 mit insgesamt 14 Grundsätze (Prinzipien) zur zeitnahen automatisierten Erstellung von Risikoberichten auf die Unzulänglichkeiten in der Risikoberichterstattung reagiert. Die Prinzipien müssen bis zum Jahr 2016 in nationales Recht umgesetzt werden.
Nach Ansicht des Baseler Ausschusses besteht eine der wichtigsten Lehren der globalen Finanzkrise darin, dass die Risikomanagement- und Compliance-Systeme zahlreicher Banken für eine integrierte und gesamthafte Steuerung von Risiken nicht geeignet gewesen sind. So seien viele Banken nicht in der Lage gewesen, ihre Risikopositionen zu aggregieren und Risikokonzentrationen auf einer Konzernebene sowie über Geschäftsfelder und Konzerngesellschaften hinweg zeitnah und korrekt zu identifizieren.
Ist die Waage noch in der Balance?
Erst die Beurteilung des Gesamtrisikoumfangs ermöglicht eine Aussage darüber, ob die Risikotragfähigkeit eines Unternehmens ausreichend ist, um den Risikoumfang tatsächlich zu tragen. Sollte der vorhandene Risikoumfang eines Unternehmens gemessen an der Risikotragfähigkeit zu hoch sein, werden Maßnahmen der Risikobewältigung erforderlich. Daneben ist auch die Kenntnis der relativen Bedeutung der Einzelrisiken (etwa durch eine Sensitivitätsanalyse) wichtig, um die Maßnahmen der Risikofinanzierung und -steuerung zu priorisieren.
Insgesamt muss es darum gehen, mehr Zeit und Ressourcen auf das tatsächliche ernsthafte Nachdenken über die wesentlichen kritischen Zukunftsszenarien und Risiken zu lenken. Dies erfordert ein gesamthaftes Verständnis, eine interdisziplinäre Zusammenarbeit und möglicherweise auch eine neue Ausrichtung des Risiko- und Compliancemanagement als Steuerungsinstrument. Risiko- und Compliance-Manager müssen sich auf das konzentrieren, was für das Unternehmen wirklich zu Krisen führen kann.
Thomson Reuters Accelus Compliance & Risk Dialog
Wo? Frankfurter Hof Steigenberger Hotel, Frankfurt am Main
Wann? 6. März 2014
Weitere Informationen finden Sie hier:
info.accelus.thomsonreuters.com/frankfurt
[Bildquelle: © determined - Fotolia.com]
