Kolumne

Schwerwiegende Schwachpunkte im Risikomanagement

Persönliches Risikomanagement für Risikomanager

Werner Gleißner | Frank Romeike | Marco Wolfrum14.06.2017, 08:00

Kein Unternehmen hat ein "perfektes" Risikomanagement; Verbesserungspotenziale können regelmäßig aufgezeigt werden. Praktische Erfahrungen und empirische Studien zeigen allerdings, dass trotz eines Testats durch die Wirtschaftsprüfungsgesellschaften oft Risikomanagementsysteme fundamentale Schwächen aufweisen. Beispielhaft zu nennen ist der Sachverhalt, dass bei vielen Unternehmen keine methodisch fundierte und korrekte Risikoaggregation durchgeführt wird, bei der eine große repräsentative Anzahl risikobedingt möglicher Zukunftsszenarien analysiert wird ("Bandbreitenplanung") [Vgl. Gleißner 2017 sowie Gleißner/Romeike 2015a]. Genau dies ist aber notwendig. Im § 91 Abs. 2 AktG – dem Kernbaustein des Kontroll- und Transparenzgesetzes (KonTraG) – wird gefordert, dass "bestandsbedrohende Entwicklungen" früh erkannt werden. Solche bestandsbedrohenden Entwicklungen sind empirisch so gut wie nie auf Einzelrisiken zurückzuführen. Bestandsbedrohende Entwicklungen resultieren im Allgemeinen aus Kombinationseffekten mehrerer Einzelrisiken. Dies erfordert eine Risikoaggregation, bei der positiv und negativ wirkende Abhängigkeiten der Risiken berücksichtigt werden. Die durchgehende Quantifizierung von Risiken und deren Aggregation wird entsprechend im IDW Prüfungsstandard 340 gefordert. Die Praxis bleibt hier zurück und Aussagen über den aggregierten Gesamtrisikoumfang und dessen Implikationen fehlen häufig (siehe Reifegrad "Initial" bzw. "Basic" in Abbildung 01).

Ebenfalls sieht man oft, dass das Risikomanagement bei der Vorbereitung wesentlicher Entscheidungen nicht involviert ist [vgl. Gleißner 2015a]. Es ist ein fataler Fehler, wenn erst nach einer Vorstandsentscheidung (beispielsweise bezogen auf eine große Investition oder Akquisition) erkennbar wird, dass sich mit den nun zusätzlichen Risiken Krisen oder gar "bestandsbedrohende Entwicklungen" ergeben können. Es ist unzureichend, nur bekannte Risiken zu überwachen und dann beispielsweise im ersten Risikoreport an den Vorstand nach einer Entscheidung aufzuzeigen, welche neuen Risiken sich nunmehr im Unternehmen befinden. Auch dies ist ein schwerwiegender, häufig festzustellender Konstruktionsfehler in der risikoorientierten Unternehmensführung. Und auch hier ist es ein klarer Verstoß gegen die Anforderung des § 91 Ab. 2 AktG, wo eine "frühe" Erkennung gefordert wird – und das heißt natürlich vor und nicht etwa nach der Entscheidung, sowie die Business Judgement Rule (BJR) (siehe § 93 Abs. 1 Satz 2 AktG), wo "angemessene Informationen" bei der Entscheidungsvorbereitung gefordert werden, was natürlich Risikoinformationen einschließt [siehe Graumann, 2014].

Abb. 01: Reifegrade im Risikomanagement [Quelle: RiskNET GmbH]

Abb. 01: Reifegrade im Risikomanagement [Quelle: RiskNET GmbH]

Einem fachlich kompetenten Risikomanager oder Risikocontroller ist im Allgemeinen bewusst, wenn solche oder ähnliche schwerwiegende Defizite in "seinem" Risikomanagement zu erkennen sind. Er weiß beispielsweise, dass er in wesentliche Entscheidungen nicht involviert ist. Ihm ist klar, dass er mit dem Risikoinventar oder der Risk Map lediglich eine Übersicht über Einzelrisiken hat und über die potenziell bestandsbedrohenden Kombinationseffekte wenig aussagen kann, weil keine Risikoaggregation stattfindet. Er sieht, dass im Unternehmen implizit Risiken identifiziert werden, über die er keine Informationen erhält (beispielsweise wenn im Rahmen von Planung und Budgetierung unsichere Annahmen gesetzt werden). Er würde gerne über die Planungssicherheit, den aggregierten Gesamtrisikoumfang (Eigenkapitalbedarf) oder die Wahrscheinlichkeit, Covenants zu verletzen, berichten – jedoch stehen ihm die notwendigen Hilfsmittel für die entsprechenden Berechnungen nicht zur Verfügung.

Und viele Risikomanager haben in der Praxis schon die Erfahrung gemacht, dass kritische Hinweise zu Risiken oder gar Defiziten im Risikomanagement bei den Vorgesetzten auf wenig Begeisterung stoßen [vgl. Gleißner 2015a sowie Gleißner/Romeike 2015a]. Trotz mehrmaliger Hinweise auf bestehende Defizite bestehen diese auch längerfristig fort, weil die notwendigen personellen oder methodischen Ressourcen nicht bereitgestellt werden, um bestehende Lücken zu schließen. Und diese Lücken werden leider erst genau dann aufgedeckt, wenn zum ersten Mal eine "ernsthafte" Prüfung des Risikomanagements durchgeführt wird. Dies passiert in der Regel erst dann, wenn irgendjemand infolge von Risiken oder Fehlentscheidungen durch nicht adäquate Beachtung der Risiken einen Schaden vermutet, beispielsweise Aktionäre.

Wie soll sich der Risikomanager in einer derartigen Situation verhalten? Welche persönlichen Gefahren ergeben sich für den Risikomanager durch Defizite im Risikomanagementsystem? Im Gegensatz zum Vorstand (bzw. der Geschäftsführung) als Organ, ergeben sich im Allgemeinen keine persönlichen Haftungsrisiken. Aber auch für den Risikomanager, Risikocontroller oder den Leiter Controlling, der implizit die Verantwortung eines Risikomanagers übernimmt, sind solche Defizite im Risikomanagementsystem nicht unproblematisch. Aufgrund des Arbeitsvertrags besteht nämlich seine Verpflichtung im Allgemeinen darin, sich eben adäquat um das Risikomanagement des Unternehmens zu kümmern. Sollte ein "Problem" auftreten, muss er befürchten, dass Vorstände und Geschäftsführer in diesem Fall als "teilweise Entschuldigung" darauf verweisen, dass ihnen die Tragweite der im Risikomanagementsystem vorhandenen Defizite nicht bewusst war. Vorstand und Geschäftsführer als Generalist argumentieren dann, dass man beispielsweise die Bedeutung der Risikoaggregation als Instrument zur frühzeitigen Erkennung "bestandsbedrohender Entwicklungen" so gar nicht gesehen hat. Genau für diese Expertise beschäftigt man ja einen Leiter Risikomanagement oder Risikocontroller. Das Dumme ist nun allerdings, dass vermutlich die meisten Risikomanager und Risikocontroller in einem derartigen "Problem- oder Konfliktfall" nicht belegen können, wenn sie auf die bestehenden Defizite im Risikomanagement hingewiesen haben. Derartiges kann man als fachliches Defizit oder gar arbeitsvertragliche Pflichtverletzung auffassen. Die möglichen negativen Konsequenzen sind offensichtlich.

Also was kann der Leiter Risikomanagement oder Risikocontrolling tun? Es ist zunächst notwendig sich tatsächlich ein objektives Bild der Stärken und Schwächen des Risikomanagements zu machen [vgl. beispielsweise den Prüfungskatalog bei Gleißner/Wolfrum 2015c bzw. Chrobok/Gleißner 2012]. Regelmäßig, mindestens einmal im Jahr, sollte der Risikomanager dann gegenüber der Unternehmensführung – je nach Stellung gegebenenfalls sogar gegenüber dem Aufsichtsrat – ausdrücklich auf die bestehenden Schwächen des Systems schriftlich hinweisen und den Reifegrad des Risikomanagements transparent machen.

Im Sinne einer adäquaten Sensibilisierung der Unternehmensführung (für bestehende persönliche Haftungsrisiken), der ökonomisch sinnvollen Weiterentwicklung des Risikomanagements (im Interesse der Eigentümer) und auch für das persönliche Risikomanagement gilt also: Bestehende Schwächen sollten klar und unmissverständlich schriftlich dargestellt werden. Wenn beispielsweise keine Risikoaggregation existiert, sollte schriftlich festgehalten werden, dass der Risikomanager dieses Defizit erkennt, die Behebung empfiehlt und klarstellt, dass damit eine "Früherkennung bestandsbedrohender Entwicklungen" durch die Kombination mehrerer Einzelrisiken nicht möglich ist.

Persönliches Risikomanagement des Risikomanagements bedeutet also – auch wenn dies unpopulär ist – bestehende Schwächen klar und deutlich auszusprechen, selbst dann, wenn die Unternehmensführung diese nicht beseitigen will.

Quellenverzeichnis sowie weiterführende Literaturhinweise:

  • Chrobok, S./Gleißner, W. (2012): Risk Intelligence – Indikator für die Zukunftsorientierung des Controllings, in: Controller Magazin, September/Oktober 2012, S. 70–71.
  • Gleißner, W. (2015a): Controlling und Risikoanalyse bei der Vorbereitung von Top-Management-Entscheidungen – Von der Optimierung der Risikobewältigungsmaßnahmen zur  Beurteilung des Ertrag-Risiko-Profils aller Maßnahmen, in: Controller Magazin, 4/2015, S. 4–12.
  • Gleißner, W. (2015b): Der Vorstand und sein Risikomanager, uvk Konstanz.
  • Gleißner, W. (2017): Grundlagen des Risikomanagements, 3. Aufl., Vahlen Verlag München.
  • Gleißner, W./Romeike, F. (2005): Anforderungen an die Softwareunterstützung für das Risikomanagement, in: ZfCM – Zeitschrift für Controlling & Management, 2/2005, S. 154–164.
  • Gleißner, W./Romeike, F. (2015b): Vom antiken Orakel zur modernen Strategie, in: schweitzerforum, 2/2015, S. 20–23.
  • Gleißner, W./Wolfrum, M. (2015a): Problemfelder der Risikoquantifizierung, Datenprobleme und Lösungsstrategien, in: Gleißner, W./Romeike, F. (Hrsg.): Praxishandbuch Risikomanagement, ESV Berlin, S. 274–263.
  • Gleißner, W./Wolfrum, M. (2015b): Risikoaggregation und die Berechnung des Gesamtrisikoumfangs eines Unternehmens, in: Gleißner, W./Romeike, F. (Hrsg.): Praxishandbuch Risikomanagement, ESV Berlin, S. 207–225.
  • Gleißner, W./Wolfrum, M. (2015c): Prüfung von Risikomanagement-Systemen - Benchmarking mit Risikomanagement-Score, in: RISIKO MANAGER, 12/2015, S. 1, 7–12.
  • Graumann, M. (2014): Die angemessene Informationsgrundlage bei Entscheidung, in: WISU, Heft 3/2014, S. 317–320.
  • Romeike, F. (2007): Rechtliche Grundlagen des Risikomanagements, ESV Berlin.
  • Romeike, F./Gleißner, W. (2015a): Mut als Grundanforderung: Riskieren Risikomanager das Schicksal der Kassandra?, in: RiskNET, 29.10.15, Link
  • Romeike, F./Hager, P. (2013): Erfolgsfaktor Risikomanagement 3.0: Lessons learned, Methoden, Checklisten und Implementierung, Springer Verlag, Wiesbaden.

Autoren:

Prof. Dr. Werner Gleißner, Vorstand FutureValue Group AG, Leinfelden-Echterdingen, und Honorarprofessor für BWL, insb. Risikomanagement, an der TU Dresden.

Frank Romeike, Geschäftsführender Gesellschafter RiskNET GmbH und verantwortlicher Chefredakteur RISIKO MANAGER.

Marco Wolfrum, Partner FutureValue Group AG, Leinfelden-Echterdingen und Vorstand der RMA.

[ Bildquelle: © Sergey Nivens - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Das unterschätzte Katastrophenszenario

Europaweiter "Blackout"

Herbert Saurugg06.12.2017, 17:56

In den letzten Monaten häufen sich die Berichte über einen mögliches Strom- und Infrastrukturausfall beziehungsweise über die Vorbereitungsmaßnahmen verschiedener Organisationen und Kreise. Der...

Studie

Enterprise Risk Management

Risikomanagement im Spiegel deutscher Fachbücher

Jan Braunschmidt | Christina Trageser | Leonhard Knoll17.11.2017, 10:10

Risikomanagement hat als Subdisziplin im Grenzbereich zwischen Betriebswirtschaftslehre und angewandter Mathematik/Statistik seit der Jahrhundertwende eine immer größere Bedeutung erlangt. Dies gilt...

News

RiskNET Summit 2017: Nachlese, 2. Tag

Kultur, Methoden, Chancenmanagement

Redaktion RiskNET27.10.2017, 23:32

"Wo Kriegsgewinnler Hummer essen." So titelt es aktuell Spiegel Online und nennt den Ort "Warlord City in Somalia". Dort, wo im Country Club der somalischen Hauptstadt Mogadischu...

News

RiskNET Summit 2017: Nachlese, 1. Tag

Vom gelebten Risikomanagement …

Redaktion RiskNET25.10.2017, 06:30

"Es könnte alles so einfach sein …" sang die Gruppe "Die Fantastischen Vier" schon vor Jahren. Und die Jungs folgern in ihrem Song: "Ist es aber nicht". Das Lied verrät...

Kolumne

Methoden im Risikomanagement

Komplex oder kompliziert – das ist die Frage

Frank Romeike | Herbert Saurugg06.10.2017, 11:02

Nachdem wir immer wieder auf die fälschliche Verwendung des Begriffs "Komplexität" stoßen, möchten wir mit diesem Beitrag eine einfach verständliche Erklärung liefern, was unter Komplexität...