Ein Blick in die Praxis zeigt nicht selten ein Dilemma der traditionellen Risikosteuerung in Unternehmen. Auf der operativen Seite der Leistungserstellung steht das eher mechanistische Risikomanagement – es wendet standardisierte Risikomodelle und Risikomanagementprozesse auf vorselektierte Standardrisiken an. Auf der strategischen Seite der Unternehmensleitung steht die Corporate Governance – die allerdings nur ansatzweise auf eine ganzheitliche Risikosteuerung ausgerichtet ist. Beide Funktionen sind nicht selten völlig voneinander isoliert. Im Ergebnis fallen unternehmensbedrohende Risiken durchs Raster, die an der Schnittstelle des Unternehmens zu seiner Umwelt entstehen, immer stärker vernetzt sind und Eigendynamiken entwickeln.
Risk Governance versucht diese Lücke zu schließen und verfolgt daher das Ziel einer stakeholderorientierten Risikosteuerung aus strategischer Sicht. Wir sprachen mit Prof. Dr. Arnd Wiedemann und Prof. Dr. Volker Stein (beide Universität Siegen) über Risk Governance, eine gelebte Risikokultur und die Zukunft der Risikolandkarte.
Was verstehen Sie unter Risk Governance?
Wiedemann: Es geht hierbei primär um die Steuerung der Unternehmensrisiken vor dem Hintergrund der Frage "Was muss getan werden, um zu vermeiden, dass plötzlich unvorhergesehene Risikoereignisse eintreten, die das Weiterbestehen des Unternehmens gefährden?". Risk Governance ist daher zunächst eine grundlegende Philosophie und bedeutet die Durchdringung des Unternehmens mit einer stakeholderorientierten Risikosteuerung aus strategischer Sicht. Risk Governance ist eng mit dem strategischen Geschäftsmodell eines Unternehmens verbunden, denn im Geschäftsmodell werden die relevanten Stakeholder mit ihren Zielen und Interessen abgebildet – und wenn deren Interessen mit den Eigeninteressen des Unternehmens nicht zusammenpassen, dann entstehen schwer vorherzusagende Risikopositionen. Risk Governance strebt auf dieser strategischen Ebene eine proaktive Risikosteuerung von innen heraus an. Zugleich werden alle risikobezogenen Entscheidungen den Normen der Good Corporate Governance verpflichtet, sodass den Stakeholdern im Hinblick auf risikobezogene Nachhaltigkeit klare ethische Signale gesendet werden können.
Stein: Risk Governance geht damit über den Anwendungsbereich des klassischen Risikomanagements genauso hinaus wie über die Corporate Governance, deren Fokus weniger auf den Unternehmensrisiken als vielmehr auf den Risiken der Unternehmensführung liegt.
Unterscheidet sich Risk Governance vom GRC-Ansatz, also einem integrierten und holistischen Ansatz für organisationsweite Governance, Risk und Compliance?
Stein: Unternehmen jeder Art befassen sich in den unterschiedlichsten Bereichen mit Risiken. Banken sind besonders exponiert, da ihr Geschäftsmodell explizit die Risikotransformation adressiert und § 25a KWG deswegen ein operatives Risikomanagement einfordert. Es dient dazu, die mit dem Geschäftsmodell verbundenen Risiken zu identifizieren, zu analysieren, zu steuern und zu überwachen. Aus dem eher strategischen Blickwinkel der Corporate Governance gilt es, Risiken aus mangelnder Unternehmensführungsqualität, Regelinkonformität, Intransparenz und fehlender Nachhaltigkeit zu vermeiden. Compliance ist eng mit dem Governance-Begriff verbunden und soll die Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien sicherstellen.
Wiedemann: In diesem Sinn scheinen Risikomanagement und Corporate Governance/Compliance jeweils eine klare Ausrichtung und damit eine praktikable Aufgabenteilung zu haben. Dennoch lässt sich aufzeigen, dass die isolierte Spezialisierung beider Bereiche und ihr desintegrierendes Auseinanderdriften Defizite mit Auswirkungen auf das Risikoverhalten mit sich bringen, die den Erfolg des Geschäftsmodells infrage stellen können. GRC stellt lediglich ein Rahmenkonzept dar, das gewährleisten soll, dass sich ein Unternehmen an seine internen und externen Vorgaben hält und durch geeignete Abstimmungsroutinen Effizienz und Effektivität gesteigert werden. Risk Governance ist dagegen an erster Stelle inhaltlich getrieben. Darum stellen wir die Verbindung zu den Stakeholdern auch prominent in den Vordergrund und sprechen von einem neuen Denkansatz.
Was sind die konkreten Aufgaben, die aus Risk Governance für Unternehmen entstehen?
Stein: Risk Governance lässt sich anhand von vier Aufgaben konkretisieren: Erstens das laufende (Re-)Design von Risikomodellen, damit Risikowahrnehmung, -priorisierung und -aggregation mit den Umweltveränderungen Schritt halten und es alternative Risikomodelle gibt, aus denen ausgewählt werden kann. Zweitens die systematische Bestimmung der Modellrisiken, um die Risiken, die von den Modellen selbst ausgehen, transparent zu machen und um fehlerbehaftete Risikomodelle möglichst auszuschließen. Drittens die Forschung und Entwicklung in Risikothemen, um keine wissenschaftlichen und methodischen Entwicklungen zu verpassen, diese konkret mit dem spezifischen Kontext des Unternehmens zu verbinden und auch die Chancen-Seite der Risiken zu berücksichtigen. Und viertens die Beratung der Unternehmensleitung in Risikothemen, damit diese ihren risikobehafteten Marktreaktionsprozess beherrscht und in die Lage versetzt wird, die vielen risikobezogenen Informationen der Risk Governance in ihre Entscheidungen mit einzubeziehen.
Was sind aus Ihrer Sicht die Gründe, dass Risikomanagement in vielen Unternehmen – vom DAX-Konzern bis in den Mittelstand – als notweniges Übel betrachtet wird und sich nicht selten auf eine reine Dokumentation reduziert? Oder anders formuliert: Spielt methodisch fundiertes Risikomanagement in der Unternehmenssteuerung keine wesentliche Rolle?
Wiedemann: Risikomanagement ist erstens häufig schon als Begriff negativ belegt, denn es wird von den Nutzern seiner Dienstleistung so wahrgenommen, als begrenze es den unternehmerischen Freiraum. Zweitens hat es Risikomanagement bis heute nicht geschafft, klar seinen Nutzen zu kommunizieren. Man kann zwar nicht davon sprechen, dass Risikomanagement nicht methodisch fundiert sei. Aber eine wirklich strategische Relevanz hat es bislang selten. Die von uns in die Diskussion gebrachte Risk Governance übrigens kann und will Risikomanagement nicht ersetzen. Risk Governance trägt aber dazu bei, den Nutzen des operativen Risikomanagements auf der strategischen Ebene sichtbar zu machen.
Empirische Studien zeigen unmissverständlich, dass Unternehmenswerte in der Regel durch strategische Risiken vernichtet werden. Im unternehmerischen Risikomanagement werden strategische Risiken häufig eher stiefmütterlich behandelt. Zustimmung?
Stein: Stimmt! Ist aber auch nicht verwunderlich, weil Risikomanagement zuerst einmal eine ganz konkrete operative Aufgabe hat und diese mechanistisch abarbeitet. So wendet das klassische Risikomanagement vornehmlich standardisierte Risikomodelle mittels Standard- Risikomanagementprozessen auf vorselektierte Standardrisiken an. Damit hinkt es den heutzutage mehr denn je komplex vernetzten, mehrdeutigen Risiken in offenen Unternehmenssystemen, die sich schneller wandeln als es selbst, zwangsläufig hinterher und kann stets nur reaktiv handeln.
Was sind aus Ihrer Sicht – in einer Welt disruptiver Veränderungen und geopolitischer Unsicherheit – die wesentlichen Unternehmensrisiken?
Wiedemann: Wir sehen vier Themenfelder, die Risk Governance auch ganz konkret adressiert: erstens Komplexität, Unternehmen müssen sich mehr denn je Gedanken über die Risiken der zunehmenden Vernetzung machen; zweitens Selbstverstärkung, es gilt nicht mehr die mathematische Regel, dass das maximale Risiko die Summe der Einzelrisiken ist; drittens Echtzeit, nicht zuletzt bedingt durch die sozialen Medien treten Risiken ohne Vorwarnzeit auf; und viertens die Tsunami-Gefahr der Risiken: Wer nicht rechtzeitig handelt, wird überrollt.
Was sind die Gründe dafür, dass die Unternehmensleitung nicht selten den Risiko-Wald vor lauter Bäumen nicht mehr sieht?
Wiedemann: Ein beliebter Spruch lautet: Never change a running system! Unternehmensleitungen, aber auch Risikomanager, sind glücklich, wenn ein System läuft und Prozesse eingespielt funktionieren. Dies führt zu der Neigung, sich mit dem Status quo zufriedenzugeben. Risk Governance fordert explizit Proaktivität. Um im Bild zu bleiben, Risk Governance bietet der Unternehmensleitung eine Aussichtsplattform, um einen Überblick über den Risiko-Wald und vielleicht neue Risiko-Bäume zu bekommen und nicht in den Niederungen des operativen Geschehens nur die schon bekannten Bäume zu betrachten.
Wir neigen im deutschsprachigen Raum dazu, das Thema "Opportunities" und "Upside-Risiken" in unserer Betrachtung auszublenden. Hängt dies vor allem mit dem negativ belegten Begriff der Risiken im Sinn von Gefahren zusammen?
Stein: Würde man allgemein fragen, was ist ein "Risiko", dann würde der Volksmund mit Sicherheit sagen "etwas Gefährliches". Natürlich gilt: Was wir tun, ist riskant. Sofern Unternehmen aber bereits Risiken einkalkulieren, dann stellen diese – wenn sie dann eintreten sollten – gar keine Gefahr mehr da, denn für sie wurde ja bereits vorgesorgt. Umgekehrt gilt aber auch: Was wir nicht tun, ist ebenfalls riskant! Und klar ist, sollte ein Risiko tatsächlich eintreten, dann wird das erwartete Ergebnis beeinträchtigt, und Enttäuschung und Ärger sind vorprogrammiert. Nun kann, soll und will ein Unternehmen nicht alle Risiken vermeiden oder absichern: "Ohne Risiko keine Chance" gilt auch hier. Daher sollte nicht nur einseitig auf die Risikotragfähigkeit eines Unternehmens geschaut werden, sondern stets auch gleichzeitig auf das Risiko-Ertrags-Verhältnis. Risikominimierung erhöht zwar die Sicherheit, aber erst die wohldosierte Risikoübernahme eröffnet Geschäftschancen. Risk Governance tut beides: Sie sucht aktiv nach bislang unvorhergesehenen Risiken und verbindet sie gleichzeitig mit der Wertschöpfung des Unternehmens auf der strategischen Ebene.
Welche Rolle spielt eine "gelebte Risikokultur" im Kontext Risk Governance?
Wiedemann: Wenn man sich die jüngsten unternehmensbedrohlichen "Skandale" in der deutschen Wirtschaft vor Augen führt, liegen ihre Wurzeln weniger in einer verkehrten Geschäftsstrategie als vielmehr in einer unzureichenden Risikokultur, die dezentrales Fehlverhalten mit letztlich unternehmensbedrohlichen Konsequenzen erst möglich gemacht hat.
Die Risikokultur bringt die Gesamtheit der Normen, Einstellungen und Verhaltensweisen eines Unternehmens in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie die damit verbundenen Kontrollen zum Ausdruck. Die Risikokultur, die unter anderem die Leitungskultur, die gespürte Verantwortlichkeit der Mitarbeiter, eine offene Kommunikation und den kritischen Dialog umfasst, beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat daher unmittelbar Auswirkungen auf die Risiken, die sie eingehen. Sie ist, was sicherlich nicht überraschen dürfte, auch zentrale Ergebnisgröße der Risk Governance. In einer ersten Benchmarkstudie haben wir im vergangenen Jahr den Ausbaustand der Risikosteuerung und die Umsetzung der Risk-Governance-Aufgaben in deutschen regional tätigen Kreditinstituten (Sparkassen und Genossenschaftsbanken) überprüft. Wir konnten zeigen, dass die Erfüllung der aufgezeigten vier Aufgaben der Risk-Governance sich nicht nur positiv auf die Risikokultur auswirkt, sondern letztendlich auch eine Verbesserung der Unternehmenseffektivität und damit der nachhaltigen Rentabilität mit sich bringt.
Wie kann der gegenseitige Wissensaustausch zwischen Akademia und Praxis verbessert werden? Anders ausgedrückt: Warum dauert es häufig so lange, bis Forschungsergebnisse von der Industrie genutzt werden?
Stein: Es ist ein bekanntes Muster, dass Unternehmen erst dann besonders engagiert handeln, wenn Krisen bereits eingetreten sind. So weit wollen wir es aber nicht kommen lassen – deshalb bieten wir als Wissenschaftler auch immer wieder Denkrahmen an, von denen wir überzeugt sind, dass sie Unternehmen nachhaltig nutzen. Risk Governance ist solch ein Denkrahmen, der insbesondere das Vorausschauende betont. Als eine der Risk Governance-Aufgaben adressieren wir beispielsweise ganz konkret das Thema Forschung und Entwicklung, denn der erste Schritt zur Veränderung ist, dass Unternehmen hier bei sich die möglichen Steuerungsdefizite und die blinden Flecke erkennen. Dies müssen die Unternehmen aber auch wollen. In Zeiten, in denen die Digitalisierung alle möglichen Prozesse verstärkt und beschleunigt, ist es noch weniger sinnvoll, erst aus Schaden klug werden zu wollen.
Wiedemann: Darum formulieren wir auch ganz konkret, dass Risk Governance zuallererst eine Philosophie ist, die eine gewisse Denkhaltung und einen Anspruch an sich selbst zum Ausdruck bringt. Wir als Wissenschaftler werden uns aber zudem verstärkt darum bemühen, den Unternehmen den Bezug von Risk Governance zu ihrer Wertschöpfung möglichst konkret aufzuzeigen, um Befürchtungen abzubauen und Faszination aufzubauen.
Lassen Sie uns zum Abschluss noch einen Blick in die Kristallkugel werfen. Von welchen Entwicklungen wird die Risikolandkarte in den nächsten Jahren am stärksten verändert, und wie gestalten Sie diese Entwicklungen mit?
Wiedemann: Die von uns aufgezeigten neuen Qualitäten von Risiken, also die zunehmende Komplexität von Risiken, die selbstverstärkenden Effekte, die Echtzeitproblematik und die Tsunami-Gefahr, dürften die Risikolandkarte in Zukunft am stärksten verändern. Je vernetzter Unternehmen, Medien, Wirtschaft und Gesellschaft sind, desto vernetzter werden auch die Risiken. Wir wollen diesen Veränderungsprozess mit begleiten. Dafür haben wir die Internetseite www.riskgovernance.de eingerichtet, die als Informations- und Diskussionsplattform dienen soll. Zudem veranstalten wir regelmäßig Tagungen und Kongresse, um den Diskurs voranzutreiben. 2017 wird bereits die 5. Jahreskonferenz "Risk Governance" in Siegen stattfinden. Das Fokusthema lautet "Roles and Actors in Risk Governance".
[Die Fragen stellte Frank Romeike, Chefredakteur des Kompetenzportals RiskNET sowie verantwortlicher Chefredakteur der Zeitschrift RISIKO MANAGER]
Univ.-Prof. Dr. Arnd Wiedemann ist Inhaber des Lehrstuhls für Finanz- und Bankmanagement an der Universität Siegen. Er forscht unter anderem in den Bereichen Bankmanagement, finanzielles Risikomanagement für Unternehmen und kommunales Schulden- und Zinsmanagement.
Univ.-Prof. Dr. Volker Stein ist Inhaber des Lehrstuhls für Personalmanagement und Organisation an der Universität Siegen. Er forscht im strategischen Personalmanagement, der interkulturellen Führung, der Bewertung von Humankapital und der Steuerung von Universitäten.
Beide haben an der Universität Siegen die disziplinenübergreifende Forschergruppe "Risk Governance" initiiert. Darüber hinaus sind sie Gründungsvorstände der Business School der Universität Siegen, die ein Executive MBA-Programm sowie Führungskräfteweiterbildung mit speziellem Fokus auf mittelständische Unternehmen anbietet.
[Das Interview ist erstmalig in Ausgabe 02/2017 der Zeitschrift RISIKO MANAGER im FIRM Special veröffentlicht worden.]