News

Ganzheitliches Risiko- und Compliancemanagement

Das Ganze ist mehr als die Summe seiner Teile

Redaktion RiskNET23.01.2014, 09:24

Die vor wenigen Tagen veröffentlichte Analyse "Global Risks 2014" verdeutlicht, dass die eigentliche Gefahr für Unternehmen darin liegt, dass Risiken hochgradig komplex miteinander verknüpft sind. Diese Abhängigkeiten zwischen Risikoursachen, Risikowirkungen und den eigentlichen Risiken werden oft nicht oder zu spät erkannt. Risiko- und Compliancemanagement erfolgt auf isolierten Inseln ohne einen Blick nach links oder rechts zu werfen. In der Konsequenz kann ein solches Satelliten-Risikomanagement zu einer Dominorallye führen. Risikokategorien dürfen nicht losgelöst voneinander erfasst und analysiert werden, da Risiken durch positive und negative Rückkopplungen miteinander verbunden sind.  Sehr häufig ist ein ganzes Bündel von unterschiedlichen Risikoursachen für einen Risikoeintritt oder gar den Zusammenbruch eines Unternehmens verantwortlich. Vor diesem Hintergrund wird auch die Bedeutung einer integrierten Gesamtrisikosteuerung deutlich. Als wesentliche Größe müssen hierbei auch potenzielle Compliance-Risiken berücksichtigt werden.

So zeigt beispielsweise ein Blick auf die komplexe Welt von Supply-Chain-Risiken, dass diese nicht isoliert analysiert werden können. Eine Unterbrechung der Wertschöpfungskette kann in der Konsequenz nicht nur zu einer Betriebsunterbrechung führen, sondern Schadensersatzansprüche und Compliance-Risiken nach sich ziehen oder auch zu einem Reputationsverlust führen. Hierbei muss die komplette Wertschöpfungskette von Vorlieferanten bis zum Kunden analysiert werden. Ein Blick in die Praxis zeigt, dass hier eine fast unbegrenzte Anzahl an Szenarien denkbar ist.

Wie hoch ist der Gesamtrisikoumfang des Unternehmens?

Damit das Risiko- und Compliancemanagement eines Unternehmens dazu beitragen kann, Krisenanfälligkeit und Bestandsbedrohung rechtzeitig zu erkennen, muss der Gesamtrisikoumfang bestimmt werden. Erst die komplexe Verknüpfung von Einzelrisiken ist von besonderer Bedeutung für das Management der Unternehmensrisiken. Daher ist es nur konsequent, dass auch das Institut der Deutschen Wirtschaftsprüfer (IDW) die Quantifizierung und Aggregation von Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert hat.  Auch der neue Standard zur Konzernlageberichterstattung (DRS 20) fordert eine zusammenfassende Darstellung der Risiken. Anders als nach dem (alten) DRS 5 sind die dargestellten Einzelrisiken nunmehr zu einem Gesamtbild der Risikolage zusammenzuführen. Was heißt dies nun konkret?

Bereits von Aristoteles wissen wir, dass das Ganze mehr ist als die Summe seiner Teile. Bezogen auf das Risikomanagement im Unternehmen heißt dies, dass es eine große Dummheit wäre, die Summe der Schadenserwartungswerte einzelner Risiken als Gesamtrisikoposition zu betrachten. Dies führt in der Praxis zu einer dramatischen Fehleinschätzung, nämlich einer Unterschätzung des Risikoumfangs. In der Konsequenz kann die tatsächliche Bestandsbedrohung des Unternehmens nicht beurteilt werden. Die Summe der Schadenserwartungswerte zeigt nur die mittlere Ergebnisbelastung resultierend aus den Risiken und informiert nicht darüber, welche realistische Maximalbelastung in denkbaren ungünstigen Zukunftsszenarien – etwas unter Berücksichtigung "grauer" oder "schwarzer Schwäne" – auf die Eigenkapital- und Liquiditätsausstattung des Unternehmens zukommen kann.

Die schmerzhaften Erkenntnisse der jüngsten Finanzkrise

In der Folge der jüngsten Banken- und Finanzkrise hat auch der Baseler Ausschuss für Bankenaufsicht mit dem Dokument "Principles for Effective Risk Data Aggregation and Risk Reporting" (BCBS 239) Anfang 2013 mit insgesamt 14 Grundsätze (Prinzipien) zur zeitnahen automatisierten Erstellung von Risikoberichten auf die Unzulänglichkeiten in der Risikoberichterstattung reagiert. Die Prinzipien müssen bis zum Jahr 2016 in nationales Recht umgesetzt werden.

Nach Ansicht des Baseler Ausschusses besteht eine der wichtigsten Lehren der globalen Finanzkrise darin, dass die Risikomanagement- und Compliance-Systeme zahlreicher Banken für eine integrierte und gesamthafte Steuerung von Risiken nicht geeignet gewesen sind. So seien viele Banken nicht in der Lage gewesen, ihre Risikopositionen zu aggregieren und Risikokonzentrationen auf einer Konzernebene sowie über Geschäftsfelder und Konzerngesellschaften hinweg zeitnah und korrekt zu identifizieren.

Ist die Waage noch in der Balance?

Erst die Beurteilung des Gesamtrisikoumfangs ermöglicht eine Aussage darüber, ob die Risikotragfähigkeit eines Unternehmens ausreichend ist, um den Risikoumfang tatsächlich zu tragen. Sollte der vorhandene Risikoumfang eines Unternehmens gemessen an der Risikotragfähigkeit zu hoch sein, werden Maßnahmen der Risikobewältigung erforderlich. Daneben ist auch die Kenntnis der relativen Bedeutung der Einzelrisiken (etwa durch eine Sensitivitätsanalyse) wichtig, um die Maßnahmen der Risikofinanzierung und -steuerung zu priorisieren.

Insgesamt muss es darum gehen, mehr Zeit und Ressourcen auf das tatsächliche ernsthafte Nachdenken über die wesentlichen kritischen Zukunftsszenarien und Risiken zu lenken. Dies erfordert ein gesamthaftes Verständnis, eine interdisziplinäre Zusammenarbeit und möglicherweise auch eine neue Ausrichtung des Risiko- und Compliancemanagement als Steuerungsinstrument. Risiko- und Compliance-Manager müssen sich auf das konzentrieren, was für das Unternehmen wirklich zu Krisen führen kann.

 

Thomson Reuters Accelus Compliance & Risk DialogThomson Reuters Accelus Compliance & Risk Dialog


Wo? Frankfurter Hof Steigenberger Hotel, Frankfurt am Main
Wann? 6. März 2014

Weitere Informationen finden Sie hier: info.accelus.thomsonreuters.com/frankfurt

 

 

[Bildquelle: © determined - Fotolia.com]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Studie

Risikolandkarte 2018

Störungen in der Lieferkette sowie Cyberrisiken

Redaktion RiskNET16.01.2018, 14:09

Sie richten sich gegen das Rückgrat der vernetzten Wirtschaft und können den Erfolg oder gar die Existenz von Unternehmen jeder Größe und Branche gefährden: Die Risiken einer Betriebsunterbrechung...

News

Dreamteam im Kampf gegen die Wirtschaftskrise

Der Vorstand und sein Risikomanager

Redaktion RiskNET09.01.2018, 12:51

Obwohl Risikomanagement in deutschen Unternehmen gesetzlich vorgeschrieben ist, praktizieren es viele noch immer mangelhaft. Sei es, weil sie es nicht richtig verstehen, ihm keine Bedeutung beimessen...

News

Kryptowährung mit Risiken und Nebenwirkungen

Neue Geschäftsmodelle um Bitcoin & Co

Redaktion RiskNET08.01.2018, 21:19

Investoren, Unternehmer, Krypto-Anarchisten und Inflationsgegner aus der bargeldverliebten Bundesrepublik Deutschland scharen sich um die Digitalwährung Bitcoin. Getrieben von diesem Interesse,...

Kolumne

Moritz'sche Risikomühle

Relevante Risikoinformationen erfassen

Frank Moritz22.12.2017, 08:01

Viele Unternehmen beschäftigen sich derzeit damit ein Risk Management-Systems einzuführen oder ihr bestehendes System in Richtung operationeller Risiken, Risiken aus Prozessen, Personen, Technik...

Kolumne

Risiken und Chancen

Überraschungen des Jahres 2018

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.20.12.2017, 10:11

Bei den makroökonomischen Vorhersagen für das Jahr 2017 ist vieles so eingetroffen wie erwartet. Trotzdem haben Anleger den Eindruck, dass das Jahr in mancherlei Hinsicht ganz anders gelaufen ist,...