Die aktuelle Finanzkrise hat uns vor Augen geführt, dass deren Ursachen nicht monokausal auf einen einzigen Auslöser zurückgeführt werden können. Vielmehr wurde die Krise erst durch das Zusammenwirken einer ganzen Reihe von (komplexen) Einflussfaktoren und Risiken ausgelöst bzw. nachhaltig verstärkt. Ein integriertes Risikomanagement versucht die klassische silo- und inselbasierte Steuerung von Risiken zu überwinden und betrachtet Risiken aus der Perspektive des gesamten Unternehmens. In diesem Zusammenhang wird auch deutlich, dass das Risiko der Schatten der Chance ist und Risikomanagement ein wesentliches Instrument einer wertorientierten und strategischen Unternehmenssteuerung. Voraussetzung hierfür ist vor allem auch ein integriertes Risiko-Reporting.
Mit Dr. Christina Großer, verantwortlich für den Bereich Integriertes Risikomanagement, Kumulkontrolle, Emerging Risks, Risikoberichterstattung sowie operationelle Risiken einschließlich IKS bei der Münchener Rück, sprachen wir über die Ineffizienzen eines siloorientiertes Risikomanagements sowie die Vorteile eines integrierten Ansatzes.
>> Wenn man aktuelle Projekte rund um die Themen Risikomanagement, Financial Reporting und Compliance betrachtet, dann werden diese Themen häufig isoliert umgesetzt. Nicht selten ist der regulatorische Druck der wesentliche Treiber. Führt eine isolierte Vorgehensweise nicht zu Ineffizienzen in der Risiko- und Unternehmenssteuerung?
<< Großer: Ja, dies ist auch unsere Ansicht. Deshalb hat die Münchener Rück schon sehr frühzeitig mit dem Aufbau eines integrierten Risikomanagements begonnen mit dem Ziel, Risikomanagement eng mit den Unternehmensabläufen zu verknüpfen. Der erste Schritt war hier die Entwicklung eines eigenen Risikomodells, das auch die Basis für die interne Unternehmenssteuerung wurde. Im Augenblick arbeiten wir an der Weiterentwicklung eines Systems für die Steuerung und Kontrolle schwerpunktmäßig operationeller Risiken. Hier haben wir uns von Anfang an für einen integrierten Ansatz entschieden, der Risiken aus den Dimensionen Financial Reporting, Compliance und Operations umfasst. Unter der Kategorie "Operations" verstehen wir Risiken, die aus den operativen Tätigkeiten entstehen, wie beispielsweise der Versicherungstechnik, den Kapitalanlagen oder anderen operationellen Risiken, wie zum Beispiel unzureichende Mitarbeiterverfügbarkeit oder unklare Organisationsstrukturen.
Diese Risiken werden zunächst erfasst und die dafür notwendigen Risikokontrollpunkte entlang der Wertschöpfungskette zugeordnet. So haben wir ein umfassendes und systematisches Vorgehen, das keine Risikokategorie und keinen wesentlichen Prozess auslässt. Dieser systematische Ansatz ist zwar zunächst aufwändiger – wir haben mit dieser Phase fast ein Jahr gebraucht - er hat aber den Vorteil, dass der Roll-out wesentlich schneller und effizienter durchgeführt werden kann. So gehen wir mit allen genannten Themen nur einmal auf die Linie zu und vermeiden dadurch Überschneidungen und Doppelarbeiten bei den Einheiten im Haus.
>> Hat nicht gerade die aktuelle Finanzkrise gezeigt, dass ein isoliertes, siloorientiertes Denken im Risikomanagement wesentliche Risiken schlichtweg ausblendet?
<< Großer: "Ausblenden" klingt für mich nach Absicht. Es ist vielmehr so, dass eine isolierte Betrachtungsweise die Gesamtrisikosituation unvollständig darstellt, wenn signifikante Zusammenhänge zwischen unterschiedlichen Risikoarten bestehen. Deshalb haben wir hier einen ganzheitlichen Ansatz. In meiner Abteilung, die für Risikoidentifikation und -kontrolle in der Münchener-Rück-Gruppe zuständig ist, versuchen wir deshalb auch auf anderem Wege Risiken ganzheitlich zu erfassen. Wir haben hierzu eine eigene Gruppe, die sich mit den Themen Kumulkontrolle und Emerging Risks beschäftigt.
Bei der Kumulkontrolle geht es darum, solche Risiken zu identifizieren, bei denen aus einer scheinbar kleinen Ursache eine große Wirkung entsteht. Die Finanzkrise ist dafür ein gutes Beispiel: lokale Regeln zu Vergabe von Hypothekendarlehen haben durch die starken Abhängigkeiten im weltweiten Finanzsektor eine globale Wirtschaftskrise ausgelöst. Emerging Risks sind neu entstehende oder neuartige Risiken, für die eine Abschätzung des möglichen Eintretens und der Schadenhöhe wegen fehlender Datenbasis extrem schwierig ist. Klassische Beispiele für Emerging Risks sind neue Technologien wie GMO, Nanotechnologie etc. Für diese Themen haben wir eine eigene Expertengruppe aus verschiedenen Bereichen der Münchener Rück gebildet, die sich monatlich trifft um solche Risiken zu identifizieren und die möglichen Auswirkungen auf die Gruppe zu analysieren. Gerade durch die verschiedenen Blickwinkel (beispielsweise aus dem Lebens- oder Krankenversicherungsbereich, aus der Kapitalanlage- oder Schadenbearbeitung oder von Fachspezialisten aus den verschiedenen Bereichen) werden häufig sehr interessante Perspektiven eingebracht, die uns die Risiken frühzeitig und ganzheitlich erkennen lassen.
>> Muss nicht gerade ein Rückversicherer Risiken aus einer "Helikopter-Perspektive" analysieren?
<< Großer: Das ist gleichzeitig richtig und falsch. Einerseits kommen die meisten Risiken, die es auf dieser Welt gibt, in irgendeiner Form bei uns an. Gerade diese sehr umfassende Tätigkeit macht es erforderlich, einen weiten Blickwinkel einzunehmen, um möglichst viele Risiken zu erkennen. Wir arbeiten stetig daran, neuartige Kumule rechtzeitig zu identifizieren. Dabei geht es um die Aufkumulierung einzelner kleiner oder mittelgroßer Risiken, die in der Summe für uns bestandsgefährdend werden können. Andererseits müssen wir alles daran setzen, Transparenz über unsere Risiken zu erreichen. Als Rückversicherer ist das natürlich etwas schwieriger, weil wir über unsere Kunden nur indirekt Zugriff auf die zugrundeliegenden Versicherungsrisiken haben. Dennoch müssen auch wir versuchen, unsere Risikoposition im Detail zu kennen und zu verstehen. Deshalb lassen wir den Helikopter natürlich gerne auch mal landen, um in Ihrem Bild zu bleiben.
>> Was muss getan werden, um dieses – noch weit verbreitete – Silodenken zu überwinden?
<< Großer: Es muss das Verständnis geschaffen werden, dass in unserer immer stärker vernetzten Welt andere Ansätze zur Lösung von Problemen erfolgversprechend sind. Speziell bei komplexen Fragestellungen kann das Problem nicht einfach in einzelne Bestandteile zerlegt werden. Die wesentlichen Informationen stecken in der Art und Weise, wie die einzelnen Bestandteile miteinander in Wechselwirkung stehen. Bei derartigen Problemen führen beispielsweise interdisziplinäre Teams mit verschiedenen Perspektiven auf ein Thema zu der besten Lösung. Dies muss im Verständnis der Top-Manager verankert werden. Kooperation führt zu besseren Lösungen als Konkurrenz, Detailuntersuchungen müssen durch "out-of-the-box" Überlegungen ergänzt werden.
Eine wirkliche Überwindung des Silodenkens kann nur geschehen, wenn sich diese Erkenntnis durchsetzt. Doch mit Erkenntnis allein ist es nicht getan. Damit sich das Verhalten der Menschen ändert, müssen diese Erkenntnisse auch in den internen Anreizsystemen berücksichtigt werden. Nur wenn Kooperation und Zusammenarbeit wirklich gewürdigt und gefördert wird, wird sich dieses Verhalten verbreiten.
>> Welche Rolle spielt in dem Kontext die Aufbauorganisation?
<< Großer: Eine Kernanforderung ist hier natürlich die Existenz eines zentralen Risikomanagements. Damit ist gewährleistet, dass unternehmensweite Risiken an einer Stelle zusammenlaufen und mit konsistenten Methoden bewertet werden. Die wachsende Zahl und Bedeutung der Chief Risk Officer in der Versicherungsindustrie ist ein Indiz für die zunehmende Wichtigkeit des Risikomanagements. Selbstverständlich können nicht alle Aufgaben in einer einzigen Einheit übernommen werden, speziell in einer global operierenden Organisation wie der Münchener Rück. Wir müssen also sicherstellen, dass wir die richtige Balance zwischen zentraler und dezentraler Aufgabenteilung finden.
Besonders in einer Funktion wie der Steuerung operationeller Risiken ist eine enge Verbindung in die Linienfunktion, in die Geschäfts- und Zentralbereiche wichtig. Deshalb bauen wir gerade ein Netzwerk von dezentral angesiedelten Prozessrisikomanagern auf, die eng mit der zentralen Risikomanagementfunktion zusammenarbeiten. Darüber hinaus stärken wir die Risikomanagementfunktion in den Auslandsgesellschaften.
>> Inwieweit kann ein integriertes Risikomanagement bzw. ein integriertes IKS (Internes Kontrollsystem) die Unternehmens- und Risikokultur fördern?
<< Großer: Hierzu sind zwei Aspekte zu nennen. Die Steuerung über das Risikokapital führt dazu, dass das Risikomanagement eng in die Entscheidungsprozesse des Geschäfts eingebettet ist. Dies ist sinnvoll, weil die Transparenz über die Risikosituation unabdingbarer Teil der Geschäftsentscheidung ist und Risikomanagementergebnisse, wie beispielsweise ökonomisches Risikokapital, in der Steuerung des Geschäfts und damit auch für das Gehalt der Mitarbeiter eine entscheidende Rolle spielt.
Der zweite Aspekt ist die Weiterentwicklung des Internen Risikokontrollsystems, das ich bereits erwähnt habe. Dieses kann die Unternehmens- bzw. Risikokultur in der Hinsicht fördern, dass auf der Basis einer einheitlichen Vorgehensweise alle Bereiche ihre Risiken beschreiben, quantifizieren und ebenso ihre Kontrollen definieren. Dieser Prozess führt dazu, dass sich die Mitarbeiter systematisch über Risiken Gedanken machen. Dadurch soll auch der Dialog und der Austausch verbessert werden und eine einheitliche Sicht auf die wesentlichen Risiken entstehen.
>> Der Faktor "Vertrauen" spielt in der Beziehung zwischen einer Versicherung und ihren Kunden eine herausragende Rolle. Welche Möglichkeiten sehen Sie, um Reputationsrisiken und ähnliche "weiche" Gefahrenpotenziale besser als bislang im Risikomanagement zu berücksichtigen und so effizienter zu steuern? Wie steuert konkret die Münchener Rück Reputationsrisiken?
<< Großer: Die Risikostrategie ist Teil der Geschäftsstrategie, in der wir überlegen, inwieweit wir uns in bestimmten Risikoarten exponieren wollen. Die Steuerung für Ratinganforderungen fließt in dieses Strategische Risikomanagement-Framework ein, weil das Rating aus Reputationsgründen für die Münchener Rück wichtig ist. Wir haben außerdem eine eigene Expertengruppe mit Kollegen aus verschiedenen Fachbereichen und unserem Compliance-Officer für das Thema Reputationsrisiken eingerichtet. Diese wird immer dann angefragt, wenn es schwierige Geschäftsentscheidungen zu treffen gilt, die Einfluss auf unsere Reputation haben könnten.
Aus unserer Sicht ist das Thema Vertrauenswürdigkeit, Zuverlässigkeit und Solidität ein ganz wesentliches, das die Basis unserer Unternehmenspolitik und Unternehmenskultur darstellt. Die Kunden wissen, dass sie sich auf uns verlassen können. Trotz oder gerade wegen der Bedeutung, die wir diesen Themen zumessen, glauben wir nicht, dass für diese "weichen" Risikoarten Kapitalanforderungen seriös ermittelbar oder angemessen sind.
>> Die Methoden und Instrumente des Risikomanagements haben in den letzten Jahren eine äußerst dynamische Entwicklung gezeigt. Muss für die Umsetzung eines integrierten Risikomanagements nicht auch die Kluft zwischen der qualitativen und quantitativen Natur vieler Methoden im Risikomanagement überwunden werden?
<< Großer: Ja, dieser Meinung sind wir auch. Deshalb gibt es im Integrierten Risikomanagement der Münchener Rück meine Abteilung, die ihren Schwerpunkt auf dem qualitativen Risikomanagement hat, jedoch auch quantitative Aspekte beinhaltet. Dies umfasst neben der bereits erwähnten Kumulkontrolle und der Steuerung der Emerging Risks auch die operationellen Risiken einschließlich des internen Kontrollsystems, die Risikoberichterstattung und ein Team, das sich präventiv mit Sicherheit und -notfallplanung im Konzern befasst.
>> Wie erfolgt ein integriertes Risikoreporting innerhalb der Münchener-Rück-Gruppe?
<< Großer: Wir erstellen einen quartalsweisen internen Risikobericht für die Gruppe, für die Rückversicherung und die ERGO (Erstversicherung), der die Risiken quantitativ und qualitativ beschreibt. Die Rahmenbedingungen an die Risikoberichterstattung, die sich aus den Mindestanforderungen an das Risikomanagement (MARisk) ergeben, wurden hier bereits berücksichtigt.
Die Quantifizierung der Risiken erfolgt im wesentlichen auf der Basis einer ökonomische Sichtweise auf Kapitalanforderungen sowie Kapitalausstattung. Auf wichtige Risikokategorien wie beispielsweise das Markt-, Kredit- und das versicherungtechnische Risiko wird im Bericht detailliert eingegangen.
Auf der qualitativen Ebene geben wir Erläuterungen zu wesentlichen Risiken wie das Reputationsrisiko, das strategische oder das operationelle Risiko. Die Inhalte, die im operationellen Risiko dargestellt werden beruhen auf den Ergebnissen der Risiko- und Kontrolleinschätzungen des Internen Kontrollsystems.
[Das Interview führte Frank Romeike, verantwortlicher Chefredakteur des RISIKO MANAGER und geschäftsführender Gesellschafter der RiskNET GmbH]
Dr. Christina Großer ist im Bereich Integriertes Risikomanagement bei der Münchener Rück als Abteilungsleiterin tätig. Sie ist zuständig für die Themen Kumulkontrolle, Emerging Risks, Risikoberichterstattung sowie operationelle Risiken einschließlich IKS. Nach einem Betriebswirtschaftsstudium und Promotion über internationale Versicherungsrechnungslegung ist sie seit mehr als acht Jahren in verschiedenen Positionen in der Münchener Rück tätig, darunter im Controlling (Konzeptentwicklung und -umsetzung für Value Based Management auf Basis der Risikokapitalberechnungen) und in der Betriebsorganisation (interne Regelungen, Richtlinien, Projektmanagement, Prozessoptimierung).
[Bildquelle oben: iStockPhoto, Bildquelle Mitte: Münchener Rück]
