Vom Regulieren zur Prozess- und Risikokultur

Empirisch und transparent: Risikomanagement der Zukunft


News

Was verbindet Flickenteppiche und das Thema Risikomanagement? Scheinbar ohne gemeinsamen Nenner, gibt es bei genauerem Hinsehen doch einige Gemeinsamkeiten. Risikomanagement mit seinen unterschiedlichen Feldern, Ausprägungen und Nuancen gestaltet sich in vielen Unternehmen als eine Art Patchwork. Zahlreiche Firmen bewegen sich in diesem unübersichtlichen Themengebiet mit teils unklaren Strategien. Doch gerade in Krisenzeiten können sich mangelnde Risikomanagement-Strukturen und -Strategien negativ auf den eigenen Betrieb auswirken. Die Forderung von Experten lautet daher: Prozesse und Methoden im Risikomanagement müssen sich zu ganzheitlichen Systemen der Unternehmenssteuerung wandeln.

Wer hat sie nicht in der Medienberichterstattung der vergangen Monate verfolgt – die oft rat- und ruhelosen Manager und Politiker in Zeiten der Krise. Hier eine Erklärung, dort ein schneller Notfallplan. Geprägt von eiligem Handeln ging die scheinbar strategische Reise mal hier, mal da lang. Der Fall Finanzkrise zeigt einmal mehr, dass viele Unternehmen auf potenzielle Gefahren und Notfälle durch fehlende Zukunftsszenarien zu wenig vorbereitet waren. Von daher rufen Experten seit geraumer Zeit nach geeigneten Risikomanagement-Strategien.

Vom Regulieren zur Prozess- und Risikokultur

In der Praxis wird Risikomanagement zumeinst aufgrund gesetzlicher Auflagen oder vor dem Hintergrund von Ratings, und den damit zusammenhängenden Risikoeinschätzungen, vorgenommen. Aber gerade dieser Ansatz führt nicht zu einer strategisch ausgerichteten Risikobehandlung, sondern lässt das Ganze in der Analyse versanden. Viele Unternehmen, gerade im Mittelstand und insbesondere bei Banken, betrachten Risikomanagement noch immer als rein regulatorisches Thema. In einer Art "Häkchenmachermentalität" werden Excel-Listen mit Risiken erfasst und Self-Assessments durchgeführt.

Das Management von Risiken sowie bestehender Chancen erscheint damit oftmals eher als lästige Pflichtübung und nicht als Kernaufgabe der Unternehmensführung. In der Firmenpraxis wird Risikomanagement daher häufig als Projekt betrachtet und weniger als kontinuierlicher Prozess. Doch steht vor der Prozessbeständigkeit ein wichtiger Faktor: Unternehmen sollten ihre Prozesse zunächst identifizieren und sich damit vertraut machen. Denn in der Praxis erleben Risk-Experten immer wieder, dass Unternehmen ihre eigene Prozesslandkarte nicht kennen, geschweige denn die dazugehörigen Prozessverantwortlichen. Doch nur wer seine Prozesse versteht, kann Risiken in Bezug auf Gefahren und Schwachstellen einschätzen.

Hinzu kommt beim Thema Prozesssicht, dass vor allem Finanzdienstleister die eigene Aufbau- und Ablauforganisation siloorientiert strukturieren. Im Risikomanagement gibt es jeweils ein Silo für Markt-, Kreditrisiken und operationelle Risiken. Liquiditäts- und Reputationsrisiken – die seitens des Regulators nicht explizit mit Eigenkapital unterlegt werden müssen – werden in der Aufbau- und Ablauforganisation häufig ausgeblendet. Zwischen diesen Silos findet eine Kommunikation nur sehr rudimentär statt, obwohl die Risiken einer Bank durch komplexe Korrelationen sowie positive und negative Rückkoppelungen gekennzeichnet sind.

Optimale Unternehmensprozesse leben von klaren Verantwortlichkeiten. Es gilt folglich, "Eigentümer" von Problemen und Risiken zu definieren. Flexible, unbürokratische und gut dokumentierte Prozesse reduzieren zudem das Risiko von Planabweichungen. Unternehmen müssen Prozesse definieren, die ein klares und transparentes Messverfahren bieten. Mit dessen Hilfe lässt sich der Fortschritt bei der Realisierung der Strategie anzeigen, unter Abwägung der erwarteten Erträge und der damit verbundenen Risiken.

Entscheidend ist zudem eine stärkere Risikokultur in den Unternehmen. Das bedeutet, Risikomanagement als integralen Bestandteil der Unternehmenskultur zu verstehen. Der Erfolg eines Unternehmens hängt einerseits in großem Maße von der Qualität der strategischen Planung ab und andererseits von der Eingeninitiative der Mitarbeiter. Voraussetzung hierfür sind entsprechende Anreizsysteme und eine adäquate Unternehmenskultur. Dazu gehören auch klare Spiel- und Verhaltensregeln, gekoppelt mit eindeutigen Disziplinarmaßnahmen, wenn zum Beispiel gegen Compliance-Regeln verstoßen wird.

Empirisch und transparent – Risikomanagement der Zukunft

Eine allgemeine Forderung von Risikomanagement-Experten lautet, den unternehmensweiten Blick auf Risiken und Chancen zu schärfen und Risikomanagement damit als Entscheidungsunterstützung zu sehen. Doch was bedeutet das konkret? Wichtig in diesem Zusammenhang ist vor allem, Risikomanagement als kontinuierlichen Prozess zu verstehen und in die eigenen Steuerungssysteme zu integrieren. Demnach sieht ein zukunftsweisendes Risikomanagement die vollständige Einbettung in die Steuerungssysteme des Unternehmens vor.

Risikomanagement wird sich zu einem integralen Bestandteil von wertorientierten Steuerungssystemen entwickeln. Damit lassen sich Risiken stärker in den Planungssystemen berücksichtigen. Ein zukünftiger Weg in der methodischen Weiterentwicklung des Risikomanagements führt folglich von klassischen Prognose- und Frühwarnsystemen hin zu modernen, dynamischen Simulationsansätzen. Denn nur so lassen sich Vorhersagen für die Zukunft treffen und Extremszenarien transparent machen.

Dazu gehört auch die Erkenntnis, dass sich Risikomanagement nicht darauf beschränken darf, quantitative Modelle zu entwickeln. Risikomodelle sollten vielmehr auf empirischen Tatsachen beruhen und vor allem auch ökonomisch fundiert sein. Doch fehlt es gerade hier in vielen Fällen an speziellem Fach-Know-how. Zudem mangelt es zumeist an der Bereitschaft, sich auch mit Methoden zu befassen, die volkswirtschaftliche Theorie und etwas fortgeschrittene Mathematik erfordern. Mit anderen Worten: Die Werkzeuge und Methoden der Unternehmen sollten anders ausgerichtet werden. So kommt es zukünftig stärker darauf an, das Thema Risikomanagement mit fortschrittlichen Erklärungsmodellen zu hinterlegen.

Die Quantifizierung von zukünftigen Risiken, die Schätzung von Modellparametern, geschieht primär auf Grundlage von historischen Daten. Dies ist sicher im Grundsatz nicht zu kritisieren, jedoch fehlt oft ein tieferes ökonomisches Verständnis dessen, was die statistisch geschätzten Daten ausdrücken. Demgegenüber sind volkswirtschaftliche Modelle eher geeignet, reine Datenaussagen ökonomisch zu fundieren und zu plausibilisieren. Letztendlich ist ein Risikomanagement als kontinuierlicher Prozess zu verstehen. Denn auch das Risikomanagement bedarf einer fortlaufenden Überwachung und Verbesserung.

Von Insellösungen zu integrierten, wertorientierten Steuerungswerkzeugen

Risikomanagement wird sich mittelfristig als ein übergreifendes Unternehmensthema etablieren. Denn Insellösungen führen weder zu einer vollständigen, organisationsweiten Risikolandkarte, noch zu einer Hilfe für strategische Entscheidungen. In der Normenwelt bestehen durchaus Standards, die ein Risikomanagement-System beschreiben. Insbesondere die Erfahrungen aus der aktuellen Finanzkrise werden den regulatorischen Druck für die Unternehmen erhöhen.

Risikomanagement-Standards bieten eine Art normiertes Managementsystem und dienen vor allem als Orientierungsrahmen. Aktuell existieren etwa 100 Normen zu Risiko und Risikomanagement mit unterschiedlichen Schwerpunkten. Neben Standards, die sich um eine einheitliche Terminologie bemühen (unter anderem ISO Guide 73) existieren spezifische Leitlinien im Bereich Gesundheitsschutz- und Umweltschutznormen. Vor allem Sicherheitsrichtlinien bilden ein weites Betätigungsfeld. Solche Standards bieten zwar Leitplanken bei der praktischen Umsetzung eines Risikomanagements. Wichtiger als deren formale Erfüllung ist es jedoch, dass Risikomanagement in der Organisation gelebt wird und in den Köpfen aller Mitarbeiter verankert ist. Modelle und Methoden müssen stets mit gesundem Menschenverstand hinterfragt werden. Oder um es in den Worten von Schopenhauer zu formulieren: Gesunder Menschenverstand kann fast jeden Grad von Bildung ersetzen, aber kein Grad von Bildung den gesunden Menschenverstand.

Die Autoren:

Frank Romeike ist Geschäftsführender Gesellschafter der RiskNET GmbH und Vorstand der Risk Management Association e.V. Als ausgewiesener Experte beschäftigt er sich seit über 20 Jahren mit dem Themengebiet strategischer und zukunftsweisender Risikomanagement-Fragen.



Uwe Rühl ist Trainer beim unabhängigen IT-Schulungsanbieter qSkills in Nürnberg. qSkills bietet unter anderem Schulungen in den Securitybereichen ISO 27001, Business Continuity (BS 25999) und Risikomanagement. Weitere Trainingsschwerpunkte bilden die Themen Storage, Betriebssysteme, Datenbanken und Tools. Neben seiner Trainertätigkeit ist Uwe Rühl auch Geschäftsführer von Rühl Consulting.

 

[Quelle: Wissenmanagement.net / Bildquelle: iStockPhoto]

Kommentare zu diesem Beitrag

Dagobert Duck /15.07.2009 12:19
Klasse Artikel, der sehr schön die strategische Bedeutung eines "gelebten" und in die strategische Steuerung integrierten Risiko- und Chancenmanagements aufzeigt. Leider sind die meisten Unternehmen (wie die Finanzkrise verdeutlicht) von dieser Sicht noch sehr weit entfernt. Leider dominiert entweder die Häckchenmacherfraktion oder die Blick-in-die-Vergangenheit-Fraktion ;-(
SwissBanker /15.07.2009 18:24
Patchwork wäre ja noch gut ... in vielen Unternehmen existiert noch nicht mal das ... warum auch Risikomanagement? Das Bauchgefühl des Vorstands ist eh viel besser ;-)
Vobi /16.07.2009 09:08
Ich frage mich, wofür wir 100 Normen zum Thema Risk Management benötigen. Vor allem dann, wenn sich eh niemand daran hält bzw. dafür interessiert. Was haben die MaRisk und die Regelungen im Kreditwesengesetz gebracht. Was hat das KonTraG gebracht? Was hat SOX gebracht? Leider relativ wenig, ausser dass die Wirtschaftsprüfer sich die Taschen vollgepackt haben. Das ist ein Skandal, erst packen sich die Prüfer die Taschen voll, dass laufen sie blind durch die Gegend und attestieren der Hypo Real Estate, dass alles im grünen Bereich ist (eine Woche vor dem Kollaps) und verdienen sich in der Krise wieder eine goldene Nase wie Soffin und Prüfaufträge ... wenn das kein Witz ist ;-(
JamesBlake /29.07.2009 14:08
@Vobi: Das stimmt wohl, was du meinst, dass sich viele Prüfer und Berater die Taschen voll packen und im Endeffekt verändert sich nix. Vor allem jetzt in der Finanzkrise wird dieser Missstand offensichtlich. Ich persönlich stelle mir jedoch die Frage, wie es ohne externe Dienstleister funktionieren soll.

Viele Klein- und Mittelunternehmen haben einfach nicht das Know-How und die finanzielle Power um eine unternehmensweites, gesamtheitliches Risikomanagement durchzuführen. Solche sind dann auf Spezialisten angewiesen. Ich kenne das aus eigener Erfahrung, mache gerade ein Praktikum bei Proquest, einer Firma die Risikomanagementlösungen anbietet. Und gerade in zeiten wie diesen rennen uns potenzielle Kunden die Türen ein. Meiner Meinung nach müssen aber strenge Auflagen geschaffen werden, um das angesprochene Taschen vollpacken zu verhindern.
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.