Ergebnisse einer OECD Umfrage

Zur Lage des Risikomanagements


Zur Lage des Risikomanagements News

Das Corporate Governance Committee der OECD führte im Jahr 2013 eine Umfrage zur Lage des Risikomanagements in der Führung von privaten Unternehmen und öffentlichen Institutionen in verschiedenen Ländern durch. Ausgangspunkt bildet dabei die Frage, welche Auswirkungen die Finanzkrise auf das Management von Risiken hat.  

Ein erster Teil der Umfrage analysiert die gesetzlichen Rahmenbedingungen und ihre Umsetzung für das Risikomanagement in 26 Ländern. In einem zweiten Teil werden die Verhältnisse in Norwegen, Singapur und in der Schweiz beispielhaft untersucht. Aus den Ergebnissen zieht die OECD Folgerungen für die Weiterentwicklung des Risikomanagements. Der Autor dieser Abhandlung hat selbst zu den Ergebnissen der Studie aktiv beigetragen. Nachfolgend werden die wichtigsten Erkenntnisse in deutscher Sprache zusammengefasst.

Zielsetzung der OECD Umfrage

Die Umfrage der OECD gibt einen Überblick über bestehende Verhältnisse und Ansätze im Risikomanagement. Dabei sollen gute Lösungsansätze identifiziert werden, welche die Verbesserung des Risikomanagement stimulieren können. Damit verbunden ist auch ein Ausblick auf bewährte Verfahren und Entwicklungen, welche die Qualität der Führung von Unternehmen und öffentlichen Organisationen unterstützen.

Die wichtigsten Ergebnisse  

  • Unternehmen müssen Risiken eingehen, um ihre Ziele zu erreichen und Erträge zu erwirtschaften. Dabei werden aber die Kosten von Fehlern oder Versäumnissen im Risikomanagement oft deutlich unterschätzt. Corporate Governance sollte deshalb sicherstellen, dass die Risiken verstanden, behandelt, und sofern zweckmässig, auch kommuniziert werden.  
  • In der Folge der Finanzkrise haben viele Unternehmen dem Risikomanagement mehr Aufmerksamkeit geschenkt. Es scheint, dass die meisten Unternehmen der Meinung sind, dass das Risikomanagement eine ausschliessliche Verantwortung des Linienmanagements sein sollte.
  • Aufgrund von externem Druck, der auf das Topmanagement einwirkte, wurden Anreiz-Strukturen überprüft und mögliche Belohnung für exzessive Risikoübernahme, vor allem durch Stock options für Executives, herabgesetzt. An deren Stelle tritt eine angemessene Entlohnung für Geschäftserfolg und Risikomanagement.
  • Bestehende gesetzliche Risikomanagement-Vorgaben gewichten immer noch interne Kontrolle und Audit-Funktionen, das heißt vor allem finanzielle Risiken, stärker als eine präventiv stattfindende Risikoidentifikation mit nachfolgendem umfassendem Risikomanagement. Auch nicht-finanzielle, insbesondere strategische und operationelle Risiken sollten unbedingt berücksichtigt werden.
  • Gesetzlich verankerte Risikomanagement-Standards tendieren gegenwärtig dazu, sehr allgemein und abstakt zu sein, womit sie ihre praktische Anwendbarkeit einschränken. Risk Governance Standards sollten konkreter sein, ohne ihre Anwendbarkeit einzuschränken. Die Erfahrungen der Finanzindustrie sind wertvoll, wenn auch nicht direkt auf andere Industrien umsetzbar. Risiken aus dem Oursourcing und Supply-Chain-Risiken verdienen in allen Sektoren mehr Aufmerksamkeit.
  • Es ist nicht immer klar, ob die Unternehmensleitung den potentiell "katastrophalen" Risiken ausreichende Aufmerksamkeit schenkt, auch wenn diese unwahrscheinlich sind. Es geht vor allem um Risiken mit hoher Einwirkung auf Investoren, weiteren interessierten Kreisen, Steuerzahlern und der Umwelt. Die Unternehmensleitung solle sich der begrenzten Möglichkeiten von Risikomanagement-Modellen, die auf fraglichen Annahmen über die Eintrittswahrscheinlichkeit beruhen, im Klaren sein.
  • Staatliche Unternehmen und Einrichtungen sollten ähnliche Risikomanagement-Praktiken verfolgen wie private Unternehmen.


Schwerwiegende Fehler im Risikomanagement

Auslöser der Umfrage sind Fehler im Risikomanagement, nicht nur der Finanzindustrie, sondern auch im Bereich von Umweltrisiken (etwa Deepwater Horizon, Fukushima, früher Bhopal und Seveso) und von Betrugsfällen (etwa Enron,Worldcom, Parmalat) und Bestechung (beispielsweise Siemens). Diese Fehler waren oft durch Governance Fehler begünstigt, die oberste Leitung schätzte die eingegangenen Risiken nicht umfänglich ein, und es gab schwere Defizite im Risikomanagement-System.

Grundlage der Umfrage waren die OECD-Grundsätze für Corporate Governance. Zudem werden die Sichtweisen des "Financial Stability Boards" und die Grundsätze für die Verbesserung der Corporate Governance des "Basel Committee on Banking Supervision" berücksichtigt. Die vorliegende OECD-Umfrage erstreckt sich auf Unternehmen in allen Sektoren, einschliesslich staatlich beherrschter Organisationen.

Die OECD-Umfrage geht von den Prinzipien und Leitlinien aus, und stellt fest, dass die Unternehmensleitung gewisse Schlüsselfunktionen wahrnimmt, einschliesslich der Einführung, Umsetzung und Bewertung einer unternehmensweiten Risikomanagement-Politik und eines Risikomanagement-Systems, soweit diese gesetzlichen Anforderungen und zutreffenden Standards entsprechen. Darin sollen Risikoarten sowie die Risikohöhe festgelegt sein, die ein Unternehmen zu tragen gewillt ist, um ihre Ziele zu erreichen.

Zusätzlich sollen ein unternehmensweites Berichts- und Überwachungssystem eingerichtet und klare Verantwortlichkeiten innerhalb der Organisation zugrunde gelegt werden. Im Mittelpunkt steht die angemessene Übersicht über die Risikolage durch die oberste Unternehmensleitung. Die gleichen Anforderungen gelten auch für Unternehmen in staatlichem Besitz, insbesondere wenn diese im deregulierten und internationalen Umfeld neue Risiken eingehen müssen. Es soll dadurch verhindert werden, dass die staatlichen Unternehmen die Risiken, die finanziellen Situation und die Leistungsfähigkeit falsch darstellen.

Die Finanzkrise hat gemäss früheren Untersuchungen der OECD folgende schwerwiegenden Fehler bzw. unabdingbare Anforderungen an das Risikomanagement zum Vorschein gebracht:

  • Der weit verbreitete Fehler des Risikomanagements bestand darin, dass Risiken nicht auf der Ebene des Gesamtunternehmens behandelt und nicht mit der Unternehmensstrategie abgestimmt waren. Oft fand das Risikomanagement getrennt von den Management-Tätigkeiten statt und wurde nicht als ein wesentlicher Teil der Umsetzung der Unternehmensstrategie betrachtet. Die oberste Leitung ignorierte in vielen Fällen die Risiken, welche das Unternehmen bedrohten.
  • Die Regulatoren und die normenschaffenden Gremien haben nicht wirklich verstanden, dass Risikoübernahme zwar eine treibende Kraft des Geschäfts darstellt, es aber unumgänglich ist, diese Risiken zu verstehen, zu behandeln und gegebenenfalls auch zu kommunizieren.
  • Wirksames Risikomanagement verlangt einen unternehmensweiten Ansatz und nicht nur eine Betrachtung innerhalb einer einzelnen Geschäftseinheit. Die oberste Leitung ist in die Einrichtung und Überwachung der Risikomanagement-Strukturen einzubeziehen.
  • Unternehmensstrategie, Risikoappetit und interne Risikomanagement-Strukturen sind aufeinander abzustimmen.
  • Das Risikomanagement und weitere Kontrollfunktionen sind unabhängig von Profit-Center zu gestalten. Der Chief Risk Officer bzw. der Risikomanager muss direkt und unabhängig der obersten Leitung berichten können.
  • Der Risikomanagement-Prozess und die Ergebnisse von Risikobeurteilungen sind angemessen offenzulegen. Risikofaktoren sind transparent und verständlich zu kommunizieren.


In ähnlicher Weise hat auch der Financial Stability Board (FSB) die Gründe für die Finanzkrise in den Hauptfehlern des Risikomanagements geortet.

  • Rollen und Verantwortlichkeiten in der obersten Leitung bezüglich Risiken, insbesondere auch die unternehmensweiten Risikomanagement-Funktionen, waren unklar.  
  • Es bestand keine unabhängige Einschätzung der Wirksamkeit des Risikomanagements. Es fehlten angemessene "checks and balances", wodurch eine Kultur von exzessiver Risikoübernahme in vielen Unternehmen ermöglicht wurde.
  • Unternehmensstrategie und Risikoappetit waren in vielen Fällen nicht aufeinander abgestimmt.


Handlungsfelder für die Stärkung des Risikomanagements

In vielen Gesetzgebungen wird Risikomanagement in den nationalen Governance Codices geregelt. Keine der untersuchten Lösungen (NYSE rules, UK code, APEP-MEDEF code etc.) ist dem Zweck des Risikomanagements angemessen. Sie sind extrem abstrakt oder prozessorientiert und geben kaum Unterstützung für die Schaffung eines wirksamen Risikomanagements. 

  • Erst in jüngster Zeit hat das "Committee of Sponsoring Organizations of the Treadway Commission" (COSO 2012) spezifischere Richtlinien für Risikobeurteilung und Risikoappetit aufgestellt. Beachtenswert ist auch die Veröffentlichung der International Standard Organisation "ISO 31000: Risk management – Principles and guidelines", welche de facto zum Weltstandard geworden ist. Dieser internationale Standard könnte eine Vielzahl von bestehenden Standards, Methoden und Vorgehensweisen zusammenführen, die heute zwischen verschiedenen Industrien, Themen und Ländern bestehen.
  • Obwohl es weitum anerkannt ist, dass die oberste Leitung für die Bestimmung des Risikoappetits bzw. der Risikotoleranz verantwortlich ist, gibt es dazu keine Leitlinien darüber, wie dies im Einzelnen erfolgen soll. Die Aggregation von vielen Risiken zu einer einzigen Zahl erscheint unmöglich, was die Finanzkrise deutlich zum Vorschein gebracht hat. Die einzig realistische Vorgehensweise besteht deshalb immer noch darin, jedes einzelne Risiko zu identifizieren und mit dem Risikoappetit bzw. der Risikotoleranz abzustimmen, unter Berücksichtigung der gegenseitigen Abhängigkeit von Einzelrisiken.  
  • Die Definition von Risikostrategie und Risikoappetit muss jedoch in Richtung eines unternehmensweiten Risikomanagement-Systems erweitert werden, das mit der Strategie des Unternehmens abgestimmt ist.   
  • Eine weitere Schwachstelle im Risikomanagement besteht darin, dass die Aufmerksamkeit eher auf Risiken mit hoher Eintrittswahrscheinlichkeit liegt und nicht auf denjenigen Risiken mit den höchsten Auswirkungen, auch wenn der Eintritt eher unwahrscheinlich ist.
  • Viele börsennotierte Unternehmen haben die Rolle eines Chief Risk Officers eingeführt, insbesondere in der Finanzindustrie. Diese waren aber in der Vergangenheit nicht immer in der Lage, exzessive Risikoübernahmen zu verhindern. Wichtig ist auf jeden Fall der direkte Zugang des Chief Risk Officers / Managers zur obersten Leitung und seine Unabhängigkeit von der Linienorganisation / den Profit Centern.
  • In der Finanzindustrie wurde die Rolle des Chief Risk Officers verstärkt, unabhängiger ausgestaltet, mit mehr Ressourcen versehen und in die Entscheidungsfindung einbezogen. Wieweit dieser Trend auch in Unternehmen ausserhalb der Finanzindustrie sinnvoll erscheint, ist unklar. Auf jeden Fall sollte man in Unternehmen mit Hoch-Risiko-Bereichen darüber ernsthaft nachdenken.  
  • Bei Finanzinstituten müssen die Mitglieder der obersten Leitung und oft auch die Mitglieder von Audit-Committees spezifische Qualifikationen nachweisen. Dazu kann ein universitärer oder gleichwertiger Abschluss zählen, ergänzt durch theoretische Unterweisung und praktische Erfahrung. Es gibt auch Prüfungen zum Nachweis der professionellen Kompetenz bezüglich des Risikomanagements und des internem Audits. Qualifikationsanforderungen an das Risikomanagement ausserhalb der Finanzindustrie sind noch weniger verbreitet.
  • Eine zunehmende Praxis besteht auch darin, dass ein Audit-Committee die Wirksamkeit der internen Kontrollen und des Risikomanagement-Systems zu bestätigen hat. Zunehmend gibt es auch selbständige Risk-Committees, die zusätzlich zum Audit-Committee diese Überwachungsfunktionen wahrnehmen. Diese Trennung trägt der Anforderung Rechnung, dass Risikomanagement sich nicht nur mit finanziellen Aspekten befasst, sondern auch die strategischen und operationellen Risiken einschliesst.  



Quellenverzeichnis:

Organisation de Coopération et de Développement Économiques, Organisation for Economic Co-operation and Development, DIRECTORATE FOR FINANCIAL AND ENTERPRISE AFFAIRS, CORPORATE GOVERNANCE  COMMITTEE, Peer Review 6: Risk Management and Corporate Governance, (DAF/CA/CG(2013)5/FINAL)


Autor:

Prof. Dr. Bruno Brühwiler, Zürich



[Bildquelle: © foxaon - Fotolia.com]

Kommentare zu diesem Beitrag

Stephan /29.01.2014 21:55
[...] Gesetzlich verankerte Risikomanagement-Standards tendieren gegenwärtig dazu, sehr allgemein und abstakt zu sein [...]

Das ist völlig richtig! Aber auch der zitierte internationale RM-Standard ISO 31000 ist abstrakt und liefert für den Praktiker einen nur äusserst beschränkten Nutzen.
judith /29.01.2014 22:00
Ich frage mich, wer eigentlich vor der Finanzkrise versucht hat, alle Risiken zu einer einzigen Zahl zu aggregieren. Wenn hiermit die Kritik am Value at Risk gemeint ist, dann geht diese Kritik am Thema vorbei. Die Ursache der Finanzkrise liegt doch vor allem darin, dass bestimmte Risiken (siehe Liquidity Risk) nicht erkannt wurden - wie soll ich RIsiken aggregieren, die ich nicht kenne. Zum zweiten wurden Risiken in der Regel mit einem Varianz-Kovarianz-Ansatz aggregiert. Hiermit wurde eine symmetrische Verteilung unterstellt (sh. Normalverteilungshypothese). Die (Finanz-)Welt ist aber nicht "normal" verteilt.
john /29.01.2014 22:23
die oecd sollte eine studie zum völligen versagen des risikomanagements im bereich der politischen entscheidungsträger veröffentlichen. leider wird im zusammenhang mit den analysen zu den anfängen und ursachen der finanzkrise immer wieder vergessen, dass der ursprung der gesamten krise im bereich der politik und regulierung zu finden ist. und ein blick in die black list vom bund des steuerzahler zeigt jedes jahr deutlich, dass die öffentliche hand kein risikomanagement betreibt (siehe flughafen berlin).
Jo /30.01.2014 06:55
Die beiden wichtigsten Punkte des OECD-Berichts sind aus meiner Sicht die beiden folgenden Themen:

1. Es bestand keine unabhängige Einschätzung der Wirksamkeit des Risikomanagements. Es fehlten angemessene "checks and balances", wodurch eine Kultur von exzessiver Risikoübernahme in vielen Unternehmen ermöglicht wurde.
2. Unternehmensstrategie und Risikoappetit waren in vielen Fällen nicht aufeinander abgestimmt.

Man kann noch ergänzen, dass nicht nur die Unternehemensstrategie mit dem Risikoappetit nicht verknüpft war, sondern vor allem die Informationen aus dem Risikomanmagement NICHT in die Unternehmenssteuerung geflossen sind. Die wenigsten Marktteilnehmer haben sich für die Ergebnisse aus dem Risikomanagement interessiert. Und dies hängt u.a. damit zusammen, dass die Anreizsysteme keinerlei Bezug zum Risiko hatten. Wenn ich die Rendite auf meine Eigenkapital erhöhen muss (weil dies in meinen Zielen als Vorstand so definiert wurde), dann blende ich das eine oder andere Risiko aus, da das Renditeziel ansonsten nicht errreicht werden kann. Leider wird immer wieder vergessen, dass CDOs eine ordentliche Rendite abgeworfen haben ...
Chris /30.01.2014 07:37
Interessante Analyse, wo kann ich die herunterladen?
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.