News

Ganzheitliches Risiko- und Compliancemanagement

Das Ganze ist mehr als die Summe seiner Teile

Redaktion RiskNET23.01.2014, 09:24

Die vor wenigen Tagen veröffentlichte Analyse "Global Risks 2014" verdeutlicht, dass die eigentliche Gefahr für Unternehmen darin liegt, dass Risiken hochgradig komplex miteinander verknüpft sind. Diese Abhängigkeiten zwischen Risikoursachen, Risikowirkungen und den eigentlichen Risiken werden oft nicht oder zu spät erkannt. Risiko- und Compliancemanagement erfolgt auf isolierten Inseln ohne einen Blick nach links oder rechts zu werfen. In der Konsequenz kann ein solches Satelliten-Risikomanagement zu einer Dominorallye führen. Risikokategorien dürfen nicht losgelöst voneinander erfasst und analysiert werden, da Risiken durch positive und negative Rückkopplungen miteinander verbunden sind.  Sehr häufig ist ein ganzes Bündel von unterschiedlichen Risikoursachen für einen Risikoeintritt oder gar den Zusammenbruch eines Unternehmens verantwortlich. Vor diesem Hintergrund wird auch die Bedeutung einer integrierten Gesamtrisikosteuerung deutlich. Als wesentliche Größe müssen hierbei auch potenzielle Compliance-Risiken berücksichtigt werden.

So zeigt beispielsweise ein Blick auf die komplexe Welt von Supply-Chain-Risiken, dass diese nicht isoliert analysiert werden können. Eine Unterbrechung der Wertschöpfungskette kann in der Konsequenz nicht nur zu einer Betriebsunterbrechung führen, sondern Schadensersatzansprüche und Compliance-Risiken nach sich ziehen oder auch zu einem Reputationsverlust führen. Hierbei muss die komplette Wertschöpfungskette von Vorlieferanten bis zum Kunden analysiert werden. Ein Blick in die Praxis zeigt, dass hier eine fast unbegrenzte Anzahl an Szenarien denkbar ist.

Wie hoch ist der Gesamtrisikoumfang des Unternehmens?

Damit das Risiko- und Compliancemanagement eines Unternehmens dazu beitragen kann, Krisenanfälligkeit und Bestandsbedrohung rechtzeitig zu erkennen, muss der Gesamtrisikoumfang bestimmt werden. Erst die komplexe Verknüpfung von Einzelrisiken ist von besonderer Bedeutung für das Management der Unternehmensrisiken. Daher ist es nur konsequent, dass auch das Institut der Deutschen Wirtschaftsprüfer (IDW) die Quantifizierung und Aggregation von Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert hat.  Auch der neue Standard zur Konzernlageberichterstattung (DRS 20) fordert eine zusammenfassende Darstellung der Risiken. Anders als nach dem (alten) DRS 5 sind die dargestellten Einzelrisiken nunmehr zu einem Gesamtbild der Risikolage zusammenzuführen. Was heißt dies nun konkret?

Bereits von Aristoteles wissen wir, dass das Ganze mehr ist als die Summe seiner Teile. Bezogen auf das Risikomanagement im Unternehmen heißt dies, dass es eine große Dummheit wäre, die Summe der Schadenserwartungswerte einzelner Risiken als Gesamtrisikoposition zu betrachten. Dies führt in der Praxis zu einer dramatischen Fehleinschätzung, nämlich einer Unterschätzung des Risikoumfangs. In der Konsequenz kann die tatsächliche Bestandsbedrohung des Unternehmens nicht beurteilt werden. Die Summe der Schadenserwartungswerte zeigt nur die mittlere Ergebnisbelastung resultierend aus den Risiken und informiert nicht darüber, welche realistische Maximalbelastung in denkbaren ungünstigen Zukunftsszenarien – etwas unter Berücksichtigung "grauer" oder "schwarzer Schwäne" – auf die Eigenkapital- und Liquiditätsausstattung des Unternehmens zukommen kann.

Die schmerzhaften Erkenntnisse der jüngsten Finanzkrise

In der Folge der jüngsten Banken- und Finanzkrise hat auch der Baseler Ausschuss für Bankenaufsicht mit dem Dokument "Principles for Effective Risk Data Aggregation and Risk Reporting" (BCBS 239) Anfang 2013 mit insgesamt 14 Grundsätze (Prinzipien) zur zeitnahen automatisierten Erstellung von Risikoberichten auf die Unzulänglichkeiten in der Risikoberichterstattung reagiert. Die Prinzipien müssen bis zum Jahr 2016 in nationales Recht umgesetzt werden.

Nach Ansicht des Baseler Ausschusses besteht eine der wichtigsten Lehren der globalen Finanzkrise darin, dass die Risikomanagement- und Compliance-Systeme zahlreicher Banken für eine integrierte und gesamthafte Steuerung von Risiken nicht geeignet gewesen sind. So seien viele Banken nicht in der Lage gewesen, ihre Risikopositionen zu aggregieren und Risikokonzentrationen auf einer Konzernebene sowie über Geschäftsfelder und Konzerngesellschaften hinweg zeitnah und korrekt zu identifizieren.

Ist die Waage noch in der Balance?

Erst die Beurteilung des Gesamtrisikoumfangs ermöglicht eine Aussage darüber, ob die Risikotragfähigkeit eines Unternehmens ausreichend ist, um den Risikoumfang tatsächlich zu tragen. Sollte der vorhandene Risikoumfang eines Unternehmens gemessen an der Risikotragfähigkeit zu hoch sein, werden Maßnahmen der Risikobewältigung erforderlich. Daneben ist auch die Kenntnis der relativen Bedeutung der Einzelrisiken (etwa durch eine Sensitivitätsanalyse) wichtig, um die Maßnahmen der Risikofinanzierung und -steuerung zu priorisieren.

Insgesamt muss es darum gehen, mehr Zeit und Ressourcen auf das tatsächliche ernsthafte Nachdenken über die wesentlichen kritischen Zukunftsszenarien und Risiken zu lenken. Dies erfordert ein gesamthaftes Verständnis, eine interdisziplinäre Zusammenarbeit und möglicherweise auch eine neue Ausrichtung des Risiko- und Compliancemanagement als Steuerungsinstrument. Risiko- und Compliance-Manager müssen sich auf das konzentrieren, was für das Unternehmen wirklich zu Krisen führen kann.

 

Thomson Reuters Accelus Compliance & Risk DialogThomson Reuters Accelus Compliance & Risk Dialog


Wo? Frankfurter Hof Steigenberger Hotel, Frankfurt am Main
Wann? 6. März 2014

Weitere Informationen finden Sie hier: info.accelus.thomsonreuters.com/frankfurt

 

 

[Bildquelle: © determined - Fotolia.com]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Methoden im Risikomanagement

Komplex oder kompliziert – das ist die Frage

Frank Romeike | Herbert Saurugg06.10.2017, 11:02

Nachdem wir immer wieder auf die fälschliche Verwendung des Begriffs "Komplexität" stoßen, möchten wir mit diesem Beitrag eine einfach verständliche Erklärung liefern, was unter Komplexität...

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...