In der Praxis erlebe ich immer wieder, dass Risikomanager und zum Teil auch Vorstände behaupten, dass Risiken auch ohne mathematisches Knowhow und statistische Kenntnisse bewertet werden können. Für mich war und ist rein qualitatives Risikomanagement eher "Voodoo" – und diente eher der Nervenberuhigung des Vorstands – im Sinne "wir haben alles im Griff", alle Risiken sind grün. Oder man agiert nach dem Motto "Et hätt noch immer jot jejange!"
Ein wunderbares Praxisbeispiel für die Wirksamkeit von solchen "Voodoo"-Risikomanagementsystemen liefert uns die Insolvenz der Krypto-Börse FTX, die sich seit dem 11. November 2022 in einem Insolvenzverfahren befindet. Die US-Börsenaufsicht SEC hat zivilrechtliche Klagen erhoben. Jetzt muss man wissen, dass FTX mit Derivaten, Optionen, tokenisierten Aktien, fremdfinanzierten Token gehandelt hat und im außerbörslichen Handel und im Prognosemarkt tätig war. In Interviews bestätigte die 28-Jährige"Risikomanagerin" Caroline Ellison zumindest den Verdacht, dass sie von einem wirksamen und quantitativen Risikomanagement nicht viel hält. Sie verwies darauf, dass die Grundrechenarten für das Management der FTX-Risiken völlig ausreichen würden. Und den Beweis hat FTX nun geliefert. Zehn Milliarden US-Dollar sollen die Schulden von FTX schwer sein.
Werner Gleißner: Es gibt hier keinerlei ernsthafte Zweifel. Für ein gesetzeskonformes und ökonomisch nutzenstiftendes Risikomanagement benötigt man adäquate mathematische und statistische Kenntnisse. Zur Beschreibung von Chancen und Gefahren, also Risiken, benötigt man Wahrscheinlichkeitsverteilungen und stochastische Prozesse. Und zur Aggregation von Risiken mit dem notwendigen Bezug auf die Unternehmensplanung benötigt man eine Monte-Carlo-Simulation. Und auch nur mit einer solchen Monte-Carlo-Simulation können Kombinationseffekte von Einzelrisiken sinnvoll ausgewertet werden, um so die Wahrscheinlichkeit einer schweren Krise – "bestandsgefährdende Entwicklungen" genannt – bestimmen zu können. Hierzu sei auch auf die neuen gesetzlichen Anforderungen an das Risikomanagement seit 2021 erinnert, die in § 1 StaRUG Unternehmensstabilisierungs- und -restrukturierungsgesetz – zu finden sind.
Selbstverständlich benötigt man nicht nur Kenntnisse zu Risikoquantifizierungsverfahren, sondern auch über Geschäftsmodelle, beispielsweise zur Identifikation strategischer Risiken, oder über Unternehmensplanung, weil hier alle unsicheren Planannahmen Risiken darstellen. Aber ohne mathematische und statistische Kenntnisse ist ein Risikomanagement nicht realisierbar und nicht einmal die Früherkennung von schweren Krisen gelingt ohne diese Verfahren – FTX ist hier nur ein Beispiel.
Zu den besonderen Herausforderungen des Risikomanagements unter Berücksichtigung von Kryptowährungen, speziell des Bitcoins, die zunehmend mehr Unternehmen betreffen, habe ich übrigens gerade mit meinen Kollegen Behringer und Follert einen kleinen Beitrag veröffentlicht: Behringer, S./Follert, F./Gleißner, W. (2023): Risikocontrolling von Kryptowährungen, in: DStR, Heft 13, S. 720-725.
Frank Romeike: Leider ist FTX keinesfalls ein Einzelfall – sondern möglicherweise eher die Regel als die Ausnahme. Man denke nur an die Pleite des Silicon Valley Bank, Wirecard oder auch die Turbulenzen bei der Credit Suisse. Für eine Bank der Größe und mit dem Geschäftsmodell der Silicon Valley Bank ist es absolut untypisch, dass keine Zinssicherung stattgefunden hat. Insbesondere, wenn keine Fristentransformation gegeben ist. Die "goldene Bilanzregel", wonach langfristige Werte langfristig und kurzfristige Werte kurzfristig refinanziert werden sollten, lernt nicht ohne Grund jeder Bankkaufmann und jeder Wirtschaftsstudent im ersten Semester. Es fällt auf, dass sich Unternehmen oft mit den "Basics" einer guten Unternehmensführung und eines wirksamen Risikomanagements nicht beschäftigen.
Während Schulungen von Risikomanagement-"Profis" bei Wirecard ist mir regelmäßig aufgefallen, dass die "Experten" keinerlei Ahnung von quantitativem Risikomanagement hatten. Und dies habe ich vor dem Hintergrund des Wirecard-Geschäftsmodells nie verstanden. Daher kam die Insolvenz für mich auch nicht überraschend. Überrascht war ich allerdings – sowohl bei Wirecard als auch FTX und vielen anderen Pleiten – darüber, dass weder Regulatoren noch Wirtschaftsprüfer diese fachliche Inkompetenz als Frühwarnindikator wahrgenommen haben. Woran liegt das?
Werner Gleißner: Tatsächlich ist FTX kein Einzelfall. Wir haben solche Fälle auch reichlich oft in Deutschland. Das ist besonders überraschend und traurig, weil wir durch das ältere Kontroll- und Transparenzgesetz, kurz KonTraG, und das in den Anforderungen darüber hinaus gehende StaRUG hier sehr klare Anforderungen haben. Alle deutschen Kapitalgesellschaften, nicht nur die Aktiengesellschaften, sind verpflichtet, frühzeitig "bestandsgefährdende Entwicklungen" aufzuzeigen. Und bekanntlich ergeben sich diese meist aus Kombinationseffekten von Einzelrisiken. Die Früherkennung solcher schweren Krisen setzt entsprechend eine systematische Identifikation, sachgerechte Quantifizierung und dann natürlich eine Aggregation der Risiken voraus.
Leider werden die entsprechenden Anforderungen durch die Abschlussprüfer bisher zu wenig betrachtet. Der von den Abschlussprüfern verwendete Prüfungsstandard, der IDW-Prüfungsstandard 340, fordert zwar klar eine Risikoaggregation und auch die Betrachtung von Kombinationseffekten von Risiken, auch im Hinblick auf Rating und Covenants. Der Standard ist aber immer noch zu wenig präzise und vor allen Dingen wird er von vielen Abschlussprüfern oft gar nicht konsequent angewendet.
Zudem ist zu beachten, dass die von mir angesprochenen jüngeren Anforderungen aus § 1 StaRUG im Prüfungsstandard IDW PS 340 überhaupt nicht berücksichtigt werden. Heute ist es notwendig, dass Unternehmen ab einem kritischen Grad der Bestandsgefährdung "geeignete Gegenmaßnahmen" initiieren und den Aufsichtsrat informieren. Leider zeigen Studien regelmäßig, dass die in Unternehmen implementierten Systeme selbst die gesetzlichen Mindestanforderungen, leicht belegbar, nicht erfüllen. Nicht nur bei Wirecard, sondern auch bei Euromicron, Gerry Weber, Ahlers und vielen anderen Unternehmen kann man eines leicht feststellen: Alle hatten keine adäquaten Risikomanagementsysteme zur Früherkennung möglicher bestandsgefährdender Entwicklungen, meist weil die Risikoaggregation und die sachgerechte Risikoquantifizierung nicht erkennbar ist. Und ebenso lässt sich feststellen, dass entgegen der sogenannten Business Judgement Rule, § 93 AktG, auch bei anstehenden "unternehmerischen Entscheidungen" die mit diesen verbundenen Risiken nicht systematisch betrachtet werden.
Klar beschrieben werden diese Anforderungen übrigens im Risikomanagementstandard des Deutschen Instituts für interne Revision, dem DIIR Revisionsstandard Nr. 2.1, der 2022 gerade wegen StaRUG überarbeitet wurde. Bedauerlicherweise lässt sich nur in wenigen Fällen feststellen, dass die Unternehmen die erforderliche Weiterentwicklung des Risikomanagements schon erreicht hätten. StaRUG wird in den meisten Geschäftsberichten börsennotierter Aktiengesellschaften noch nicht einmal erwähnt.
Frank Romeike: "Wir beschuldigen Sam Bankman-Fried, ein Kartenhaus auf Schwindeleien aufgebaut zu haben", verkündete Gary Gensler, der Chef der US-Börsenaufsicht SEC. Ich verstehe nicht, warum die US-Börsenaufsicht erst sehr spät aufgewacht ist. Ist der Börsenaufsicht nie aufgefallen, dass FTX über keinerlei quantitatives und wirksames Risikomanagement verfügte? Haben sie sich nicht zuständig gefühlt? Haben sie nicht erkannt, dass FTX vor allem gut in "PR" war. Warum haben sie nicht erkannt, dass Caroline Ellison auf Tumblr lieber über Geschlechterrollen, Kultur und Gesellschaft philosophierte. Oder ist Gary Gensler nicht ganz unabhängig in seiner Beurteilung. Immerhin war der Vorsitzende der US-Börsenaufsichtsbehörde einmal der Vorgesetzte ihres Vaters, der am Massachusetts Institute of Technology (MIT) tätig war. Der "Chief Regulatory Officer" von FTX, Dan Friedberg, war vor rund zehn Jahren in einen der größten amerikanischen Online-Poker-Betrugsfälle verwickelt. Wie kann das sein? Wieso hat da keiner genauer hingeschaut?
Werner Gleißner: Den angesprochenen Fall FTX kenne ich auch nur aus der Presse. Da ich keine fundierten Informationen habe, möchte ich hier auch keine vorschnelle Beurteilung vornehmen. Ich kann allerdings zumindest festhalten, dass eine zu oberflächliche Prüfung, speziell des Risikomanagements, sicherlich nicht nur ein Problem in Deutschland darstellt.
Frank Romeike: Bei vielen Unternehmenspleiten fällt mir auf, dass die Aufsichtsräte keine besonders rühmliche Rolle gespielt haben und eher durch Risikoblindheit aufgefallen sind. So ist bei den Turbulenzen der Credit Suisse der Verwaltungsratspräsident Urs Rohner in der Vergangenheit weder durch seine tiefgreifenden Kompetenzen im Bereich Banking noch Risikomanagement aufgefallen – eher das Gegenteil. Der vormalige Vorstandsvorsitzende von ProSieben hätte eigentlich die Aktivitäten des CEO Brady Dougan kontrollieren sollen. Stattdessen baute Dougan das Spielcasino des Investment-Banking mit seinen Risiken und seinen Boni weiter aus. Urs Rohner war fünf Jahre in der CS-Konzernleitung und zwölf Jahre im Verwaltungsrat der Credit Suisse. Und in dieser Zeit schlitterte die CS immer tiefer in die Krise. Rohner fiel in der Vergangenheit vor allem dadurch auf, dass er immer jegliche Schuld von sich wies. Als die Credit Suisse im Jahr 2014 in den USA wegen der Beihilfe zur Steuerhinterziehung eine Rekordbuße von 2,6 Milliarden Schweizer Franken zahlen musste, sagt er in einem Interview: "Persönlich haben wir sicher eine weiße Weste. Eine andere Frage ist die der Bank." Während die Bank sich im Sinkflug befand und durch Skandale und Missmanagement auffiel, wurden Boni und hohe Gehälter ausgezahlt.
"In Rohners Dekade bröckelte das Fundament der Bank weg, 2023 ist sie schließlich eingestürzt", so das Resümee der NZZ. Rohner wurde von vielen Seiten attestiert, dass er über alldem zu schweben scheine. Und zwar als Außenstehender, nicht als Mitverantwortlicher. Die NZZ weiter: "Es geht um Verantwortung. Und diese kann man nicht einfach ablegen wie eine durchnässte Regenjacke, die von alleine wieder trocknet." Die von Urs Rohner zu verantwortenden Skandale haben eine längere Historie. So zeigt die Kreditvergabe im Jahr 2013 für eine Thunfisch-Fangflotte und Patrouillenboote in Mosambik, die Unwirksamkeit des Compliance-Management-Systems der Credit Suisse sowie die unzureichende Risikokontrolle. Denn ein Teil der Kredite versickerte bei Mittelsmännern, ein anderer bei korrupten mosambikanischen Regierungsmitgliedern. Und auch drei CS-Banker bereicherten sich mit rund 50 Millionen Schweizer Franken, die direkt in ihren Taschen landeten. Und wie steht es um die Verantwortung von Urs Rohner? Fehlanzeige, der "Schwarze Peter" wurde schnell weitergereicht – schuld war die Tochtergesellschaft in Großbritannien. Und Mosambik rutschte wegen der sogenannten "Tuna Bonds" in eine Schuldenkrise und wurde im Jahr 2017 zahlungsunfähig.
Aus meiner Sicht benötigen wir dringend in den Aufsichtsräten eine fundiertere Ausbildung, damit bestandsbedrohende Entwicklungen rechtzeitig erkannt werden können. Und damit zumindest kritische Fragen – im Rahmen der Kontrolltätigkeit – gestellt werden können. Ein Aufsichtsrat muss hinterfragen, inwieweit ein Risikomanagement überhaupt wirksam sein kein. Wenn er eine hübsche, bunte und qualitative Risk Map präsentiert bekommt, darf er das nicht akzeptieren. Denn daraus kann er rein garnichts über bestandsbedrohende Entwicklungen ableiten.
Ein anderes Muster können wir immer wieder bei Unternehmenspleiten und Betrugsfällen beobachten: Gier frisst Hirn! Bei FTX/Alameda versprach man potenziellen Anlegern in einem Pitch Deck aus dem Jahr 2018 eine Rendite von 15% – bei (angeblich) keinem Risiko. Spätestens hier sollten nicht nur Risikomanager skeptisch werden. Aber wenn kein Risikomanagement existiert, dominiert Risikoblindheit!
Werner Gleißner: Das ist selbstverständlich ein klares Beispiel von Risikoblindheit. Risikoblindheit bedeutet zunächst, dass sich Menschen nicht gerne mit Risiken beschäftigen, sondern lieber nur ein Zukunftsszenario – meist ihr Wunschszenario – betrachten. Das ist hier offenbar der Fall. Offensichtlich bestehen hier ganz erhebliche Risiken und diese wurden quasi ausgeblendet. Ergänzend zu erwähnen ist, dass neben dem Verdrängen der Risiken auch die systematische Fehleinschätzung der Höhe von Risiken ein weiterer Aspekt der Risikoblindheit darstellt. Eine sachgerechte Quantifizierung würde helfen die Bedeutung von Risiken nicht nur "aus dem Bauch", und damit systematisch falsch, einzuschätzen.
Frank Romeike: Seit vielen Jahrzehnten können wir beobachten, dass die Regulierung (auch) im Risikomanagement sehr deutlich zunimmt. Erwähnt sei an dieser Stelle exemplarisch das Stabilisierungs- und Restrukturierungsgesetz, das Gesetz zur Stärkung der Finanzmarktintegrität und das Lieferkettensorgfaltspflichtengesetz. Und gleichzeitig sinkt die Lebenserwartung und die Robustheit der Unternehmen. Ein scheinbares Paradoxon. Regulierung führt mitunter vor allem zu bürokratischen Papiertigern – aber eben gerade nicht zu einem wirksamen Risikomanagement, das spürbar für den Unternehmer einen Mehrwert stiftet.
Werner Gleißner: Auf das Stabilisierungs- und Restrukturierungsgesetz, das StaRUG, habe ich oben schon kurz hingewiesen. Es ist wichtig festzuhalten, dass der Gesetzgeber mit den zuletzt immer weiter verschärften Mindestanforderungen an das Risikomanagement gar nicht mehr fordert als das, was ökonomisch sowieso sinnvoll ist. Unternehmerische Tätigkeit ist immer mit Chancen und Gefahren, also Risiken, verbunden. Es ist kein Fehler Risiken einzugehen. Es ist aber wichtig die mit der unternehmerischen Tätigkeit oder anstehenden Entscheidung, beispielsweise über Investitionen, verbundenen Risiken sachgerecht zu identifizieren, zu quantifizieren und zu aggregieren. Und dann gilt es diese im Entscheidungskalkül zu berücksichtigen, was eine risikogerechte Bewertung erfordert.
Den Nutzen solcher Herangehensweisen belegen eine Vielzahl von Studien. Und die Fähigkeit im Umgang mit Risiken ist entsprechend auch ein wesentliches Kriterium bei der Beurteilung der Zukunftsfähigkeit von Unternehmen, wie sie im QScore-Modell erfolgt. Zukunftsfähigkeit für Unternehmen erfordert finanzielle Nachhaltigkeit, eine robuste Strategie und eben ausgeprägte Fähigkeiten im Umgang mit Chancen und Gefahren. Wie kann es also sein, dass die gerade im letzten Punkt bestehenden Potenziale nicht genutzt werden? Man kann dies nicht rational erklären. Die Begründung liegt wieder in der Psychologie, nämlich bei der schon angesprochenen Risikoblindheit. Menschen mögen sich nicht mit Risiken beschäftigen und können intuitiv nicht gut mit Risiken umgehen. Man muss sich also quasi zwingen dieses für den nachhaltigen Erfolg des Unternehmens so wichtige Thema aktiv anzugehen. Vermutlich sind bei vielen Entscheidungsträgern nun doch die zuletzt erhöhten persönlichen Haftungsrisiken der Anlass, sich mit dem Thema Risikomanagement intensiver zu befassen. Aus Perspektive eines Ökonomen ist dies traurig. Aber besser wir verbessern das Risikomanagement durch solchen Druck als gar nicht.
Prof. Dr. Werner Gleißner, Vorstand der FutureValue Group AG und Honorarprofessor für Betriebswirtschaftslehre, insb. Risikomanagement, an der TU Dresden. Er ist Autor zahlreicher Fachartikel und -bücher, wie beispielsweise Grundlagen des Risikomanagements, 4. Aufl., Vahlen Verlag München, 2022. Weitere Informationen
Frank Romeike ist Gründer und geschäftsführender Gesellschafter des Kompetenzzentrums RiskNET - The Risk Management Network. Er ist Autor zahlreicher Fachartikel und -bücher sowie Dozent für Stochastik und quantitatives Risk Management an verschiedenen Hochschulen. Weitere Informationen