Risikomanager müssen nicht selten dem Vorstand oder der Geschäftsführung Informationen aus der Risikoanalyse überbringen, die nicht immer populär sind. Hierbei wird in der Praxis teilweise übersehen, dass Risiko der Überbegriff für Chancen (upside risk) und Gefahren (downside risk) ist. Doch insbesondere der Verweis auf Gefahren in Projekten, die die Verantwortungsträger präferieren, oder eine risikobedingt mögliche Gefährdung des zukünftigen Ratings, werden oft nicht gern gehört. Die psychologische Forschung zeigt, dass Menschen sich im Allgemeinen lieber einer "Kontrollillusion" hingeben, dass heißt nur über genau ein – geplantes oder gewünschtes – Zukunftsszenario nachdenken und die Risiken verdrängen, die zu Planabweichungen führen können. Doch die Realität sieht anders aus: Die Zukunft ist ungewiss und in der Regel sind viele Szenarien denkbar.
Beim diesjährigen RiskNET Summit wurde daher die Frage diskutiert, ob Risikomanagern das Schicksal der Kassandra teilen: Sie sehen das Unheil, aber man hört ihnen nicht zu. Kassandra (auch als Alexandra bekannt), die Tochter von König Priamos und Königin Hekabe von Troja, hatte die besondere Gabe, die Zukunft vorhersagen zu können. Woher sie die Gabe genau hatte, weiß niemand so recht – die einen erzählen, dass es ein Geschenk des Gottes Apollon war, der sich unsterblich in Kassandra verliebt hatte, nach einer anderen Überlieferung schleckten die Schlangen im Apollon-Heiligtum die Ohren der Schlafenden, wodurch diese weissagen konnte. Im Gegensatz dazu herrscht weitgehende Einigkeit darüber, dass Apollon sie dazu verdammte, dass niemand ihren (richtigen) Prophezeihungen Glauben schenken solle, da Kassandra seine Liebe nicht erwiderte. Und so passierte es dann auch: Kassandra sagte die Zerstörung Trojas voraus, aber keiner interessierte sich dafür. Die siegestrunkenen Trojaner schenkten ihr kein Gehör und zogen das hölzerne Pferd in ihre Stadt. Der Rest dürfte bekannt sein. Nach der Eroberung der Stadt nahm Agamemnon die Missverstandene als Sklavin und Konkubine mit sich und beide wurden schließlich von Klytämnestra (Königin von Mykene und Agamemnons Gattin) ermordet.
Kommt Ihnen dieses Phänomen des Kassandrarufs bekannt vor? In vielen Unternehmen ist dies nicht selten die Praxis. Man verschließt die Augen vor möglichen schmerzhaften Stressszenarien. Sie orientieren sich an Artikel 3 des Rheinischen Grundgesetzes "Et hätt noch emmer joot jejange." Ein solches Kassandra-Risikomanagement würde – im Sinne eines potemkinschen Dorfes – die gesetzliche Anforderung an ein Risikomanagement erfüllen: Im Sinne des KonTraG (§ 91 Absatz 2 Aktiengesetz) schafft das Risikomanagement dann Transparenz über die Risiken – insbesondere wenn diese, wie die Auswertung von Kombinationseffekten über eine Risikoaggregation zeigt, bestandsbedrohende Entwicklungen zur Folge haben, also "Unheil" anzeigen. Mehr als Transparenz über Einzelrisiken, den aggregierten Gesamtrisikoumfang (Eigenkapitalbedarf) und eine sich daraus möglicherweise ergebende Bedrohung des Unternehmens beziehungsweise seines Ratings in der Zukunft ist nicht gefordert – wenngleich selbstverständlich die Berücksichtigung von Risikoinformationen in Handlungen und Entscheidungen, speziell auch die Initiierung von Risikobewältigungsmaßnahmen, ökonomisch sinnvoll ist.
Informiert nun der Risikomanager über drohendes Unheil und potenzielle Stressszenarien, und wird dann (oft) ignoriert? Hier muss dann sicherlich differenziert werden. Es gibt es viele Unternehmen, die die Erkenntnisse aus Risikoanalyse und Risikoaggregation als wichtige Informationsquelle im Rahmen der Entscheidungsfindung berücksichtigen.
Risikobuchhaltung ohne Steuerungsimpulse
Studien zum Risikomanagement in Deutschland zeigen aber auch, dass Risikoinformationen oft zwar über das Risikoreporting an die Unternehmensführung fließen, dann aber keine (nachvollziehbar erkennbare) Berücksichtigung bei der Entscheidungsvorbereitung stattfindet. Besonders gravierend – und ein klarer Verstoß gegen die Anforderung von § 91 Absatz 2 Aktiengesetz – ist dabei, wenn die Risikoinformationen nicht "früh", das heißt vor einer Entscheidung, entscheidungsunterstützend bereitgestellt werden.
Aus der Diskussion über die unheilverkündende "Kassandra-Rolle" des Risikomanagers ergab sich beim RiskNET Summit 2015 aber ein noch tiefergehendes Problem: Es ist nicht alleine die Frage, ob der Risikomanager auf drohendes Unheil (berechtigt) hinweist, und dann ignoriert wird. Es stellt sich die Frage, ob sich manche Risikomanager es überhaupt erlauben (können), Unheil überhaupt zu verkünden. Erwartet nicht manche Unternehmensführung, dass der Risikomanager nur gerade soweit über Chancen und Gefahren (Risiken) berichtet, als dies die eingeschlagene Strategie oder geplante Projekte der Unternehmensführung nicht in Frage stellen?
Entspricht es der Unternehmenskultur und ist es von der Unternehmensführung tatsächlich gewünscht, dass der Risikomanager auch ein "strategisches Projekt", das kein günstiges Ertrag-Risiko-Profil aufweist, in Frage stellt – auch wenn die letztendliche Entscheidung natürlich bei der Unternehmensführung verbleibt? Ist es gewünscht, wenn die Risikoaggregation (mittels stochastischer Szenarioanalyse) anzeigt, dass beispielsweise Covenants mit einer Wahrscheinlichkeit von 50 Prozent reißen und der Eigenkapitalbedarf das verfügbare Risikodeckungspotenzial überschreitet? Hier haben doch einige Risikomanager, möglicherweise berechtigte, Zweifel an der Offenheit von Vorständen und Geschäftsführern. Deutlich wird dies nicht nur bei der Übermittlung "unpopulärer" Risikoinformationen.
Möglicherweise besonders offensichtlich wird das persönliche Problem des Risikomanagers, wenn es um eine klare Darstellung der Leistungsfähigkeit des eigenen Risikomanagement-Systems geht. Ein zentrales Beispiel mag dies verdeutlichen: Die gesetzliche Kernanforderung gemäß § 91 Absatz 2 Aktiengesetz (mit der entsprechenden Ausstrahlungswirkung auf andere Rechtsformen) an Risikomanagement-Systeme besteht darin, früh auf die den "Fortbestand der Gesellschaft gefährdende" hinzuweisen. Jedem kompetenten Risikomanager ist klar, dass im Allgemeinen nicht Einzelrisiken, sondern die Kombination mehrerer Risiken zu solchen bestandsbedrohenden Entwicklungen führt.
Risikoaggregation als Schlüsseltechnologie
Konsequenterweise wird bereits seit 1998 in dem auf dem KonTraG aufbauenden Prüfungsstandard 340 (IDWPS 340) des Instituts der Deutschen Wirtschaftsprüfer die Quantifizierung und Aggregation der Risiken gefordert. Dies erfordert die Berechnung einer großen risikobedingt möglichen Anzahl von Zukunftsszenarien des Unternehmens und die Auswertung der Implikation beispielsweise für das zukünftige Rating (via stochastischer Szenarioanalyse basierend auf einer Monte-Carlo-Simulation).
Genau diese Risikoaggregation ist damit die Schlüsseltechnologie zur Erfüllung der zentralen Anforderungen an das Risikomanagement: die Krisenfrüherkennung. Empirische Studien zeigen, dass – trotz fast durchgängig erteilter Testate durch die Wirtschaftsprüfer – die zwingend erforderliche Risikoaggregation in vielen Unternehmen nicht stattfindet. Den Risikomanagern ist dieses Problem häufig bewusst, aber oft fehlen die Möglichkeiten, die Risikoaggregation durchzuführen und so beispielsweise den Gesamtrisikoumfang (Eigenkapitalbedarf) im Risikoreporting darzustellen. Auf diese schwerwiegende methodische Schwäche, die den Nutzen des Risikomanagements komplett in Frage stellt, müsste ein Risikomanager gegenüber der Unternehmensführung klar und deutlich (und schriftlich) hinweisen. Aber die Praxis zeigt, dass viele Risikomanager hier Sorgen haben, auf solche massive Defizite im eigenen Managementsystem – mit dem gebotenen Nachdruck hinzuweisen.
Der Risikomanager benötigt also Mut, sowohl über unerfreuliche Erkenntnisse aus der Risikolage, als auch auf die (in der Regel noch bestehenden) schwerwiegenden Defizite im Risikomanagement selbst hinzuweisen. Genau dies ist aber seine Aufgabe und der persönliche "Mut" damit ebenso wichtig, wie Methodenkompetenz.
Fazit
Der Risikomanager muss die Bereitschaft haben, in einem Unternehmen in die Rolle einer Kassandra zu schlüpfen und auch unerfreuliche Nachrichten zu überbringen – selbst wenn diese von der Unternehmensführung unberücksichtigt bleiben. Seine primäre Aufgabe besteht darin, Transparenz über Einzelrisiken und den aggregierten Gesamtrisikoumfang – vor wesentlichen unternehmerischen Entscheidungen – zu schaffen. Es ist dann Aufgabe der Unternehmensführung, Ertrag und Risiko durch geeignete betriebswirtschaftliche Methoden abzuwägen und die Entscheidungen zu treffen. Auch wenn Meldungen über "Unheil" ignoriert werden, muss der Risikomanager auch solche unpopulären Informationen überbringen.
Mindestens genauso wichtig ist es allerdings, dass der Risikomanager auch über bestehende Defizite seines Risikomanagementsystems informiert. Vielen Unternehmen ist nicht bewusst, dass trotz eines bestehenden Testats das Risikomanagementsystem methodische eklatante Schwächen aufweist, die die Funktionsfähigkeit und die Erfüllung der KonTraG-Anforderung in Frage stellt. Meist werden nämlich nur Prozesse und Dokumentationen, nicht aber die betriebswirtschaftlichen Methoden der Risikoanalyse und Risikoaggregation geprüft. Ein Risikomanager ist daher insbesondere verpflichtet, auf das Fehlen eines Risikoaggregationsverfahrens oder nicht adäquate Einbeziehung des Risikomanagements bei der Vorbereitung wesentlicher Entscheidungen nachdrücklich und schriftlich zu verweisen. Natürlich erfordert dies den Mut, den auch eine Kassandra hatte.
Autoren:
Frank Romeike
Prof. Dr. Werner Gleißner
Sofort antworten und gewinnen!
Exklusiv verlost das Kompetenzportal RiskNET sechs Exemplare des Buches "Der Vorstand und sein Risikomanager" (Werner Gleißner, UVK Verlag, Kostanz 2015).
Einsendeschluss ist der 12. November 2015. Der Rechtsweg ist ausgeschlossen. Die Mitarbeiter der RiskNET GmbH sowie deren Angehörige dürfen nicht teilnehmen. Die Gewinner werden schriftlich Mitte November 2015 benachrichtigt. Eine Barauszahlung der Gewinne ist nicht möglich.
Sofort antworten und gewinnen! Für die Teilnahme senden Sie eine E-Mail mit Ihren Daten (Vorname, Name, Unternehmen) an chance@risknet.de
Weiterführende Literaturhinweise:
- Gleißner, Werner (2016): Grundlagen Risikomanagement – Mit besseren Informationen zu fundierten Entscheidungen, Vahlen Verlag, 3. Auflage, München 2015.
- Gleißner, Werner (2015): Der Vorstand und sein Risikomanager – Dreamteam im Kampf gegen die Wirtschaftskrise, UVK Verlag, Konstanz 2015.
- Gleißner, Werner/Romeike, Frank (2015): Implikation des IIR-Revisionsstandards Nr. 2, in: RISIKO MANAGER, Ausgabe 01/2015, S. 31-34.
- Romeike, Frank/Spitzner, Jan (2013): Von Szenarioanalyse bis Wargaming - Betriebswirtschaftliche Simulationen im Praxiseinsatz, Wiley Verlag, Weinheim 2013.
- Romeike, Frank/Hager, Peter (2013): Erfolgsfaktor Risikomanagement 3.0: Lessons learned, Methoden, Checklisten und Implementierung, 3. komplett überarbeitete Auflage, Springer Verlag, Wiesbaden 2013.