Ganzheitliche Digitalisierungsinitiativen

Risikomanagement im Kontext Digitalisierung 


Risikomanagement im Kontext Digitalisierung: Ganzheitliche Digitalisierungsinitiativen Kolumne

Finanzdienstleister haben einen großen Vorteil: Was das Risikomanagement angeht, werden sie durch die strengen regulatorischen Vorgaben vielfach zu ihrem Glück gezwungen. Im Zusammenhang mit der Digitalisierung werden die Synergien mit dem Risikomanagement allerdings häufig unterschätzt. Dies liegt sicherlich auch daran, dass die regulatorischen Vorgaben für die Digitalisierung bisher eher schwammig sind. Auch und insbesondere, weil Digitalisierung häufig sehr unscharf abgegrenzt wird. Aus diesem Grund schlug die Medientheoretikerin und Journalistin Kathrin Passig auf der Cebit 2016 vor, das Wort "Digitalisierung" durch "Gulaschsuppe" zu ersetzen. Dies sei genauso aussagekräftig. Im Folgenden werden ausgewählte Fokusbereiche quer durch die Digitalisierungslandschaft vieler Finanzdienstleister (aber nicht begrenzt auf diese) dargestellt.

Digitalisierung als die vierte industrielle Revolution

In diesem Beitrag wird der Begriff Digitalisierung ganzheitlich als vierte industrielle Revolution verstanden. Sie umfasst nicht nur die digitale Abbildung von Prozessen, sondern den grundlegenden Wandel der gesamten Unternehmenswelt durch die Etablierung neuer Technologien auf Basis des Internets mit weitreichenden Auswirkungen auf die gesamte Gesellschaft (in Anlehnung an PWC 2013). Sie ist dabei aber auch viel mehr als nur der Einsatz neuer Technologien, sondern verändert Mitarbeiterführung, Rollen und Verantwortungen in der Gesellschaft, Geschäftsmodelle sowie Prozesse und jahr(zehnt)elange Routinen.

Stresstest für das Geschäftsmodell

Die Digitalisierung wirkt auch im Hinblick auf die Geschäftsmodelle in vielerlei Hinsicht als "Gamechanger". Das erfolgreichste Taxiunternehmen der Welt ist Uber – es besitzt allerdings selbst kein einziges Taxi, dafür jede Menge IT-Infrastruktur. Das größte Medienunternehmen der Welt ist Facebook. Es hat keinen eigenen Content, sondern vermittelt Inhalte zwischen passenden Nutzerprofilen. Der größte Übernachtungskonzern heißt Airbnb und er besitzt keine eigenen Immobilien. Was alle genannten Unternehmen gemein haben: Sie haben ihre Geschäftsmodelle auf die Digitalisierung und insbesondere die intelligente Nutzung von Daten ausgerichtet.

Viele alteingesessene Unternehmen sind immer noch der Meinung, dass ihr Geschäftsmodell in den nächsten Jahrzehnten gleichbleiben muss und sich die Digitalisierung lediglich auf den Onlineauftritt in Form einer ansprechenden Homepage beschränkt. Dies ist allerdings ein gewaltiger Trugschluss!

Ziehen Sie doch einmal ein Business Model Canvas heran und versuchen Sie in einem Workshop aus dem Blickwinkel eines möglichen neuen Wettbewerbers radikal neu zu denken. Eine disruptive Transformation Ihres Marktes hervorzurufen! Insbesondere "Digital Natives" sind hier nach vorheriger Instruktion häufig eine sehr wertvolle Quelle. Ansatzpunkte gibt es zur Genüge: beispielsweise Lösungen wie Smart Contracts in der Blockchain, die sämtliche Intermediäre wie Notar, Grundbuchamt oder auch Banken überflüssig macht etc.

Auch der Einstieg von branchenfremden Playern kann zu einem "Gamechanger" werden. Was wäre beispielsweise, wenn Amazon oder Apple in das Bankenumfeld einsteigt? Bräuchte der Kunde dann noch eine Hausbank oder gilt dann das alte Bill Gates-Zitat "Banking is essential, banks are not"? Was passiert, wenn Facebook mit seiner Digitalwährung Libra durchstartet oder wenn Alibaba und Tencent/Whatsapp auch den europäischen Markt erschließen?

Solche Szenarien stellen wahrhafte Stresstests dar. Nicht nur eine leichte Erhöhung der Ausfallquoten oder möglicherweise schlechtere Refinanzierungsbedingungen, sondern grundlegende geschäftsmodellbezogene Risiken. Je frühzeitiger Sie sich damit auseinandersetzen im Sinne einer "Healthy Paranoia", umso besser sind Sie darauf vorbereitet!

Digitalisierung ist mehr als nur Technologie

Die Digitalisierung ist mehr als nur der Einsatz neuer Technologien. Außerdem ist es wichtig, das richtige Maß herauszufinden. Das heißt, es muss eng an den Kundenbedürfnissen ausgerichtet sein. Nicht das, was technisch möglich ist, sollte gemacht werden, sondern vielmehr das, was ökonomisch sinnvoll ist. Außerdem sollte darauf wertgelegt werden, dass die Alleinstellungsmerkmale, die der Kunde vom eigenen Unternehmen wahrnimmt, erhalten bleiben oder im Idealfall sogar noch ausgebaut werden.

Zwei momentan sehr weit verbreitete Technologien sind Robotic Process Automation (RPA) sowie Cloud-Computing. Viele Unternehmen haben diese Technologien bereits eingeführt oder erwägen eine Einführung. Hierzu ein paar Gedanken unter Einbezug einer Risikoperspektive.

Exkurs: Robotic Process Automation (RPA)

Die Möglichkeiten von RPA sind immens. So unterstützen die Softwareroboter dabei, ganze Geschäftsprozesse oder einzelne Prozessschritte selbstständig automatisiert durchzuführen. Es gibt unterschiedliche Lizenzmodelle und Ausführungsformen, beispielsweise Attended oder Unattended Bots, also eine Durchführung im Vordergrund oder im Hintergrund. Um zu entscheiden, welche Prozesse automatisiert werden sollen und welche Art von Bot eingesetzt wird, müssen vorab einige grundlegende Fragen geklärt werden:

  • Was ist das Ziel des RPA-Einsatzes? Kosteneinsparungen, schnellere Durchlaufzeiten oder gar die Erschließung neuer Geschäftsmöglichkeiten?
  • Welche Prozesse werden RPA-fähig gemacht? (Typischerweise sind dies einfache und homogene Tätigkeiten, ähnlich wie bei einem Excel-Makro, allerdings auch anwendungsübergreifend)
  • In welchen Bereichen dürfen auf keinen Fall RPA-Anwendungen platziert werden oder nur unter erhöhten Sicherheitsmaßnahmen?

Die Vorteile von RPA sind unbestritten. Gleichzeitig entsteht die Gefahr von systematischen Fehlern. Ein Bot fragt nicht nach, wenn es unlogisch erscheint, sondern er führt stupide seine Anweisungen durch. Sicherlich unterlaufen einem Bot keine Leichtsinnsfehler und er ist auch deutlich schneller als ein Mensch, aber das ist gleichzeitig auch ein Problem. Denn ein systematischer Fehler kann schnell mal dazu führen, dass zehntausende Prozesse oder Datensätze korrigiert werden müssen, wenn sich ein systematischer Fehler eingeschlichen hat. Seien es nun Buchungen in der Buchhaltung, Kundendokumente oder auch Eingaben im ERP-System.

Aus diesem Grund ist ein strenger Prüfungs- und Freigabeprozess notwendig. Denn bei diesen vom Enduser, typischerweise ohne Programmierkenntnisse, erstellten Anwendungen, handelt es sich um individuelle Datenverarbeitungen (IDV). Die regulierten Institute im Bankenumfeld kennen sich hierbei schon sehr gut aus, etwa beim Einsatz von Excel-Sheets mit und ohne Makros. Der Nutzen einer präzisen IDV-Inventarisierung ist aber für Unternehmen aller Branchen sehr hoch: auch ein sachverständiger Dritter findet sich schnell zu Recht, ein Mindestmaß an Erklärungen wird mitgeliefert und der Enduser ist gezwungen, einen qualitativen Mindeststandard zu erfüllen.

Vor dem Hintergrund, dass RPA eine Brückentechnologie ist und eigentlich nur als Übergangslösung fungiert, bis die Schnittstellen und/oder Funktionen auch im ERP-System möglich sind, ist eine solche Dokumentation sehr hilfreich. Denn zwei zentrale Vorteile von RPA, die heutzutage noch weitgehend unterschätzt werden, sind insbesondere:

  • Die strukturierte Dokumentation von Prozessänderungen für das Lastenheft bei Anpassungen im ERP-System. Dank RPA können auch system-/modulübergreifende Prozesse präzise dokumentiert werden.
  • Das Testen von Anpassungen im ERP-System. Durch automatisierte RPA-Prozesse können Tests nach Änderungen in ERP-Modulen viel effizienter vorgenommen werden, beispielsweise indem 10.000 oder 100.000 Testfälle mittels RPA-Prozessen automatisiert simuliert werden. Gemäß des Pareto-Prinzips können 80% der Tests automatisiert über RPA und zusätzlich noch 20% individuelle Tests von den Key Usern vorgenommen werden. Dies dürfte die Qualität von Softwareänderungen erhöhen und gleichzeitig die Effizienz steigern!

Exkurs: Cloud-Computing

Sollen die Daten in die Cloud abgelegt werden? Was passiert, wenn es Probleme gibt und wie einfach kann ich die Daten wieder zurückholen? Nimmt mich der Cloud-Anbieter, der typischerweise in den USA beheimatet ist und ein Multi-Milliarden-Unternehmen ist, überhaupt ernst? Wie sicher sind die Daten und was passiert bei einem Datenleck?

Dies sind alles berechtigte Fragen, die in einer strategischen Entscheidung des Unternehmens gewürdigt werden müssen. Hier gibt es keine Blaupause. Vielmehr ist es abhängig von der eigenen strategischen Ausrichtung, der Wichtigkeit von verfügbaren Daten 24/7 und auf allen Devices und insbesondere auch von der Kritikalität der Daten.

Finanzdienstleister haben von der Bankenaufsicht relativ strenge regulatorische Vorgaben, welche Voraussetzungen bei der Nutzung von Cloud-Computing erfüllt werden müssen. Seien es Fragen zur Eignung des Dienstleisters, zum Inhalt des Auslagerungsvertrags bis hin zu Fragen zu Kontroll- und Durchgriffsmöglichkeiten, insbesondere bei Schlechtleistung.

So viel dürfte klar sein: zunehmende Anforderungen auf dem Gebiet der künstlichen Intelligenz (KI), Big Data und die konstant steigende Datenlast durch das Internet der Dinge werden die Bedeutung von Verfügbarkeit und Serverkapazitäten, die auch flexibel zugebucht werden können, erhöhen. Gerade die BigTechs investieren immense Summen, um ihren Vorsprung auf dem Gebiet von KI noch weiter auszubauen. Stand-alone kann hier wohl kein einzelnes Unternehmen mithalten. – Die Ausgangsfrage ist allerdings auch hier wieder, inwiefern die Kunden dies einfordern bzw. ob die maximale KI genutzt werden muss bzw. ob dies vom Kunden auch bezahlt wird oder nicht.

Vor einer Nutzung von Cloud-Dienstleistungen sollte auf jeden Fall ein Anpassungsprozess mit einer gesonderten Risikoanalyse durchlaufen werden, in dem genau die oben gestellten Fragen beantwortet werden können. Nur so werden schon im Zeitpunkt der strategischen Entscheidung in angemessenem Umfang auch Aspekte des Risikomanagements berücksichtigt.

Chancen nutzen und Risiken geringhalten

Die Digitalisierung stellt viele Dinge auf den Kopf. So muss man sich auch darauf einstellen, dass viele Investitionen in die Digitalisierung, etwa beim Aufbau einer KI, Bereichen wie Virtual und Augmented Reality, dem Internet der Dinge etc. nicht sofort einen hohen (wenn überhaupt) Return on Investment erwirtschaften. Obwohl solch strategische Investitionen typischerweise längerfristig ausgelegt sind, sollte dies nicht als Vorwand gelten, dass nie ein Gewinn damit erzielt werden muss. Auch deshalb ist in solchen Fällen ein Business Plan mit einer Wirtschaftlichkeitsprognose regelmäßig zu prüfen und zu aktualisieren.

Neben den harten finanziellen Facts sind es insbesondere auch die Soft Facts, insbesondere im Bereich der Unternehmenskultur, die in einigen Bereichen angepasst oder zumindest auf eine harte Probe gestellt werden. 

Das Manager Magazin hat die Einführung des agilen Arbeitens bei der ING als "radikalsten Laborversuch der deutschen Unternehmenswelt" bezeichnet. Plötzlich werden bestehende Hierarchien aufgelöst und (ehemalige) Führungskräfte finden sich im Großraumbüro wieder. Oder es gibt neue Vorgehensweisen mit unzähligen Anglizismen. Die große Gefahr bei solch radikalen Änderungen ist es, gute Mitarbeiter zu verlieren oder zumindest abzuhängen. Beides ist gleichsam gefährlich!

Auch muss trotz der – vielfach berechtigterweise – gehypten Methoden wie Scrum, Sprint, Agile etc. immer das richtige Maß gefunden werden. Auch ein agiles Projektmanagement mit Scrum-Elementen kommt nicht ohne eine grundlegende Projektdokumentation aus – insbesondere im IT-Umfeld. Und obwohl Open Development mit dem Grundsatz "sharing is caring" weitgehend anerkannt ist, heißt dies nicht, dass alle Informationen auf "GitHub" veröffentlicht werden dürfen. Nicht mal im gesamten Unternehmen dürfen alle Informationen offengelegt werden. Das richtige Maß zu finden, ist eine zentrale Managementaufgabe. Schließlich ist es auch eine zentrale Aufgabe des Risikomanagements, bei zu viel Informationsoffenheit zu intervenieren.

Das dickste Brett in der Digitalisierung ist nicht die Technologie

Die größte Herausforderung im Zuge der Digitalisierung ist nicht der Umgang oder die Einführung von neuen Technologien. Dies lässt sich in den meisten Fällen sehr einfach meistern. Vielmehr ist es eine geänderte Vorgehensweise und Kultur. Also weniger ein Hard Fact als vielmehr ein Soft Fact. Die Digitalisierung muss sich deshalb nicht primär in der IT-Abteilung abspielen, sondern es ist eine Aufgabe der Führungskräfte, dies in die Unternehmens-DNA einzuimpfen. Neben der Unternehmenskultur betrifft dies insbesondere die Führungs- und Innovationskultur.

Dem Risikomanagement – nicht der Abteilung, sondern der Funktion – kommt speziell im Rahmen des strategischen Managements eine ganz elementare Rolle zu. Denn nur wenn nicht nur die Chancen und die vermeintlichen Kundenbedürfnisse berücksichtigt werden, sondern eine ganzheitliche Betrachtung, auch der strategischen Ziele unter Berücksichtigung der Risiken, vorgenommen wird, kann ein Unternehmen erfolgreich sein.

Eine aktive Gestaltungsaufgabe kommt der Risikomanagementfunktion in diesem Zusammenhang auch dabei zu, das Unternehmen resilienter aufzustellen. Der Begriff der Resilienz hat sich in den letzten Jahren zu einem Buzzword entwickelt, das inflationär verwendet wurde. Im Zusammenhang mit den Möglichkeiten der Digitalisierung kann dieser Wunsch nun aber konkret in die Tat umgesetzt werden, indem dies bereits bei der Gestaltung und Weiterentwicklung des Geschäftsmodells einfließt.

Die Möglichkeiten für eine positive Beeinflussung der unternehmerischen Entscheidungen waren aus Risikosicht selten so groß. Dieser Chance, aber auch der immensen Verantwortung sollte sich jeder Verantwortliche bewusstwerden. Denn der "Digitale Darwinismus" wird zukünftig die unternehmerischen Einsätze noch stärker erhöhen. Je frühzeitiger gute Ideen skaliert werden, umso eher ist ein Unternehmen nachhaltig erfolgreich.

Autor

Dr. Christian Glaser
ist promovierter Risikomanager und als Generalbevollmächtigter der Würth Leasing GmbH & Co. KG tätig. Er ist außerdem Dozent an mehreren Hochschulen und Buchautor mehrerer Fachbücher sowie zahlreicher Fachveröffentlichungen in den Bereichen Finanzdienstleistungen, Unternehmensführung und Management, Controlling sowie Risikomanagement.

 

[ Bildquelle Titelbild: Adobe Stock.com / NicoElNino ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.