Die Risikolandschaft ist heute komplexer, vernetzter und dynamischer als jemals zuvor. Das World Economic Forum spricht vom Zeitalter der "Polykrisen", einer Welt multipler und vernetzter Krisen, in der plötzlich neu aufkeimende Risiken bereits bestehende Risiken verstärken (vgl. Abb. 01).
Dem Risikomanagement kommt dabei eine Schlüsselrolle zu, indem es diese Komplexität überblickt und frühzeitig kritische Kausalverflechtungen erkennt, um das Unternehmen zu schützen und Ziele zuverlässiger zu erreichen.
Die Praxis zeigt jedoch, dass dies eine enorme Herausforderung für das Risikomanagement darstellt. Informationssilos, fragmentierte Risikomanagementaktivitäten, die nicht an die Unternehmensziele und -steuerung geknüpft sind, eine fehlende Einbindung technologischer Möglichkeiten sowie ein Mangel an Risikokultur stellen nur einige von vielen Hürden dar.
Abb. 01: Im Zeitalter der "Polykrisen"
Erfolgsfaktoren für das Risikomanagement 2023
Im Rahmen der diesjährigen "Horváth Risk Perspectives" wurden deshalb wesentliche Erfolgsfaktoren erarbeitet, die Risikomanagern dabei helfen sollen diese Hürden zu überwinden und sich somit für die Zukunft zu wappnen.
Im Fokus stand dabei die grundlegende Fragestellung welche Prämissen gegeben sein müssen, um zur Resilienz von Unternehmen im Zeitalter der "Polykrisen" beizutragen.
Als Rahmen dienten vordefinierte Thesen, die sowohl die Rolle des integrierten Risikomanagements, die Verzahnung von Risikomanagement und Performance Management, die Rolle der AI im Risikomanagement sowie das Zusammenspiel der Risikokultur und der Rolle des Risikomanagements thematisierten.
Das Integrierte Risikomanagement ist eine Prämisse für Resilienz
Unter der Leitfrage, inwiefern ein integriertes Risikomanagement bzw. noch breiter sprechend eine "Trusted Governance" zur Resilienz beiträgt, ist es zunächst wichtig die Begriffe der "Trusted Governance" sowie der "Resilienz" zu erläutern.
Unter "Resilienz" wird die Widerstandsfähigkeit einer Organisation verstanden. Resiliente Organisationen erkennen Störungen frühzeitig, sind auf diese vorbereitet, sind aber zugleich auch in der Lage sich schnell und strukturiert an Störungen anzupassen.
Eine "Trusted Governance" ist eine ultimative Form des integrierten Risikomanagements, die sich nah an die ursprüngliche "GRC"-Definition der OCEG anlehnt. Dabei rückt insbesondere der Begriff der "Governance" in den Fokus. Die Governance bildet das Fundament einer Organisation, indem sie ermöglicht, aber auch sicherstellt, dass die Organisation ihren "Purpose", ihre Werte und ihre Ziele zuverlässig erreichen kann.
Dies kann jedoch eine Herausforderung darstellen, da die Risikolandschaft und damit verbundenen Unsicherheiten, die sich auf die Ziele auswirken können, weitaus dynamischer und vernetzter sind als je zuvor.
Zumal Risikomanagement-Aktivitäten häufig in Silos praktiziert werden. Das Risikomanagement fungiert dabei häufig bestenfalls als "Collector" der Daten, nicht jedoch als "Connector". Informationen werden separat von Risikomanagement, Business Continuity, Compliance, ISMS und weiteren Funktionen gesammelt und gemeldet.
Darüber hinaus werden Risiken oft bereits implizit von Funktionen gemanagt, ohne es explizit als Risikomanagement zu bezeichnen, wie beispielsweise das Qualitätsmanagement, wenn steigenden Ausschussquoten entgegengesteuert wird oder die Human Resources (HR), wenn Maßnahmen gegen die sinkende Mitarbeiterzufriedenheit unternommen werden.
Dies führt zu "blinden Flecken". Interdependente Risiken werden nicht oder zu spät erkannt und es bleibt somit weniger Zeit, um Störungen frühzeitig zu antizipieren. Solch eine Risikolandschaft macht einen integrierten Risikomanagement-Ansatz unabdingbar.
Die Idee der "Trusted Governance" geht dabei über die Integration der klassischen GRC-Funktionen hinaus. Als gemeinsames Dach bindet sie auch funktionale Risikomanagementaktivitäten mit ein. Hierzu berücksichtigt sie, wie aus den Unternehmenswerten und -zielen über verschiedene Funktionen und Ebenen einer Organisation Ziele operationalisiert und Unsicherheiten gesteuert werden (vgl. Abb. 02).
Abb. 02: Der Ansatz "Trusted Governance"
Diese Grundidee trägt unmittelbar zur Resilienz eines Unternehmens bei,
- da Risikomanagement dezentralisiert wird, wodurch Risiken schneller erkannt und gesteuert werden können.
- der Fokus des Risikomanagements klar auf der Steuerung kritischer Risiken liegt, um Werte und Ziele einer Organisation zu schützen.
- Risikomanagement-Aktivitäten an einem gemeinsamen Strang ziehen und sich sinnvoll ergänzen, beispielsweise durch die Verzahnung der Risikofrüherkennungsmechanismen des Risikomanagements, der Identifikation vulnerabler Assets im Business Continuity und der gezielten Stärkung der Reaktionsfähigkeit im Krisenmanagement.
Die Verzahnung von Risk & Performance verbessert die Risikofrüherkennung
Mit Blick in die Vergangenheit sowie in die Zukunft wurde die Leitfrage diskutiert, inwiefern das Risiko- und Performance-Management jemals wirklich miteinander verzahnt war und was hierzu heute möglicherweise fehlt.
Dabei zeigt sich, dass in der Praxis das Risikomanagement häufig über die vergangenen Jahrzehnte auf Basis regulatorischer Anforderungen sehr stark auf eine stichtagsbezogene Risikoberichterstattung konzentriert war.
Um beide Prinzipien jedoch miteinander zu verzahnen, braucht das Risikomanagement ein gutes Verständnis des Steuerungsmodells des Unternehmens. Es muss verstehen, wie sich Unsicherheiten auf die verschiedenen KPIs auswirken können und welche Folgen dies für das Steuerungsmodell hätte. So lassen sich mögliche Zielabweichungen frühzeitig antizipieren.
Die AI unterstützt, übernimmt jedoch (noch) nicht die Risikofrüherkennung
Kontrovers diskutiert wurde die Frage, inwiefern ein Einsatz von Artificial Intelligence (AI) im Risikomanagement dabei unterstützen kann unbekannte Risiken und Kausalzusammenhänge vorauszusagen.
Bisher sind Anwendungsfälle im Risikomanagement jedoch noch sehr rar. Mit den jüngsten technologischen Entwicklungen, wie beispielsweise Chat GPT, können typische Risikodaten bald einfacher vorausgefüllt, komplettiert und sogar validiert werden.
Kontrovers bleibt jedoch die Frage, ob die AI jemals wirklich bei der Früherkennung unbekannter Risiken sowie kritischer Kausalketten, idealerweise im Sinne einer "Cognitive Analytics" sogar direkt mit gezielter Empfehlung für bestmögliche Gegenmaßnahmen unterstützen wird. Zurückzuführen ist dies einerseits auf technologische Hürden, beispielsweise die dahinterliegenden Modelle aber auch das Paradoxon fehlender historischer Daten für unbekannte und neue Risiken. Auch würde dies jedoch auf methodischer Seite einen immensen Aufwand erfordern, um nicht nur Risikotreiber zu identifizieren, aber auch zu verstehen, inwiefern sich diese auf die geschäftsmodellspezifischen Ziele eines bestimmten Unternehmens auswirken und damit.
Risikokultur als Prämisse für ein dezentrales Risikomanagement
Unter dem Credo "Everyone is a Risk Manager” wurde die Kontroverse diskutiert, inwiefern dieses Idealbild die Rolle des zentralen Risikomanagements obsolet macht.
Risiken werden stand heute schon an vielen Stellen im Tagesgeschäft gemanagt, teilweise auch ohne es explizit "Risikomanagement" zu nennen. Es ist die tägliche Aufgabe eines jeden in einem Unternehmen, sich um die Erfüllung seiner Ziele zu bemühen und dabei mit Unsicherheiten umzugehen. HR ist nicht dazu da, "HR zu machen" sondern um sicherzustellen, dass die richtigen Personen zur richtigen Zeit im Unternehmen sind. Jeder ist Stand heute damit schon eine Art Risikomanager.
Die Aufgabe der Risikomanagement-Funktion ist es dabei Prozesse und Methoden bereitzustellen, die auf zentraler Ebene eine konsistente Berichterstattung für Transparenz ermöglichen, sich jedoch an die Art und Weise anpassen, wie Risiken bereits Tag für Tag dezentral gemanagt werden.