Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
Risikomanager - ein heißer Job?
Die Krise als Chance zur Neupositionierung des Risikomanagements
Die COVID-Krise ist für Risikomanager eine Chance, sich aus einer oft auf Reporting und Compliance beschränkten Rolle mit einem veralteten Instrumentenkasten zu befreien und ihre Position zu einem „heißen“ Job mit Zugang zum Vorstand zu entwickeln. Um diese Chance zu nutzen, sind fachliche, aber auch persönliche Skills nötig. Und auch die Unternehmensführung ist gefordert, die Neupositionierung zu unterstützen.
1. Risk Management - ein kritischer Blick auf die Vergangeheit
Das im September 2017 aktualisierte, internationale Risikomanagement-Rahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission (COSO) reflektierte kritisch die Entwicklung des Risikomanagements seit der Veröffentlichung des ursprünglichen Frameworks im Jahr 2004 und beschrieb folgende „Missverständnisse“:
Enterprise Risk Management (ERM) wird vielfach als Aufgabe einer Funktion oder Abteilung angesehen.
Im Mittelpunkt des ERM steht die Verwaltung einer Liste von Risiken.
Vielfach gibt es keine klare Trennung zum Internen Kontrollsystem. Der Großteil der verwalteten Risiken sind in vielen Unternehmen vermeidbare, interne Risiken, während man strategische Risiken häufig ausblende.
Enterprise Risk Management wird vielfach als eine notwendige Disziplin für Großunternehmen gesehen, mit Fokus auf Risikoreporting und Compliance.
War Risikomanagement daher in vielen Unternehmen in der Vergangenheit ein „Bullshit Job“? Ein Job, der prestigeträchtig und verantwortungsvoll klingt, und in der Regel ganz gut bezahlt ist, gleichzeitig aber in vielen Fällen so zahnlos, dass selbst die, die ihn ausüben, nicht von seiner Sinnhaftigkeit überzeugt sind?
In manchen Unternehmen möglicherweise ja.
2. Risk Management in der COVID-Krise - aktuelle und bevorstehende Herausforderungen
Mit der COVID-Krise schien sich das Rollenbild der Risikomanager jedoch plötzlich zu ändern: „Risikomanager ist nun ein heißer Job“ - konnte man in einem „Presse“-Artikel im April 2020 lesen: Die Coronavirus-Pandemie habe das Berufsfeld ins Rampenlicht katapultiert, und das Risikomanagement habe in der Krise die Aufmerksamkeit der Vorstände und Aufsichtsräte auf sich gezogen. Vorstände wollten einen Chief Risk Officer, den sie rasch erreichen können.
Tatsächlich war und ist die Krise für viele Risikomanager eine spannende Zeit mit zahlreichen Herausforderungen:
Schon seit Februar sind viele Risikomanager mit Ad-hoc-Berichten zur COVID-Krise und den Auswirkungen auf das eigene Unternehmen stark gefordert. Während in der Vergangenheit eher das Standardberichtswesen - mit halbjährlichen oder quartalsweisen Aktualisierungen der bestehenden Risiken - im Vordergrund stand, nahmen im Jahr 2020 Ad-hoc-Erhebungen und Berichte zu den Auswirkungen der Krise auf Stakeholder, Projekte, Kostenträger und Kostenstellen und vor allem auch auf die Liquidität an Bedeutung zu.
Durch die hohe Unsicherheit der Entwicklungen war bei diesen Berichten eine Integration von Risikomanagement und Controlling gefragt. Von dieser Integration profitieren beide Funktionen: Für das Controlling entstehen Impulse zur Weiterentwicklung und Verbesserung des Controllingsystems und -instrumentariums. Andererseits wird verhindert, dass das Risikomanagement als Parallelsystem im Unternehmen geführt wird und keine unmittelbaren Steuerungswirkungen entfalten kann.
Wesentliches Instrument zur Unterstützung der Integration ist die risikoadjustierte Planung. Sie verknüpft Risikomanagement- und Controllinginstrumente und hilft, Transparenz über Risiken und deren potenzielle Wirkung auf Planwerte zu schaffen. Dies geht nur, indem Risikomanager und Controller zusammenarbeiten und ihre Methoden integrieren. Voraussetzung dafür ist, dass Risikomanager ihre Methoden stärker auf die Kennzahlen der Unternehmenssteuerung und der Planung ausrichten und Controller ihrerseits das bestehende Instrumentarium (Planung und Forecast) von einer Ein-Punkt-Planung hin zur Bandbreitenplanung und Korridorplanung ausbauen.
Auch der reguläre Risikomanagement-Prozess, der trotz der Krise weiterläuft und Regeltermine vorsieht, ist durch die Krise besonders herausfordernd. Viele Manager, deren Input für den Risikomanagement-Prozess essenziell ist, leiden an „Krisen-“ und „Risikoübermüdung“. Nach dem turbulenten Frühjahr und dem für manche Unternehmen sorgenvollen Sommer, soll nun vor dem Jahresabschluss wieder über Risiken gesprochen werden. Da können Nerven blank liegen - und vom Risikomanager sind soziale Kompetenz und mediativer Umgangston gefordert.
Risikomanager sind gefordert, im Standardberichtswesen sinnvoll mit der Pandemie umzugehen. Gerade im internen Reporting (an Vorstand und Prüfungsausschuss) wird (beispielsweise von Aufsichtsräten) vielfach gefordert, die AuswirkungenS. 232 der COVID-Krise explizit, am besten als eigenes „COVID-Risiko“ abzubilden.
Hier zeigen sich deutlich die Grenzen des eingesetzten Instrumentariums:
Klassisches Instrument im Risikoreporting ist die Risk Map: Grün, orange und rot eingefärbt, als 3x3-, 4x4-, 5x5- oder als 7x7-Felder-Matrix, mit farbigen, teilweise unterschiedlich großen Blasen, verteilt auf der Matrix, die Aussagen machen über Brutto- und Netto-Bewertung, Ist- oder Soll-Zustände. Als Kernergebnis des Risk Management-Prozesses ist die Risk Map meist fixer Bestandteil des Risikoberichts an den Vorstand und den Aufsichtsrat.
Es ist aber unrealistisch zu glauben, man könne das COVID-Risiko (dh die Konsequenzen der COVID-Pandemie für das jeweilige Unternehmen) als Bubble in einer Matrix mit den Achsen Eintrittswahrscheinlichkeit und Schadensausmaß darstellen.
In die Risk Map lassen sich nur Ereignisrisiken gut eintragen, die mit einer bestimmten Wahrscheinlichkeit eintreten, und wenn sie eintreten, dann immer mit derselben (sicheren) Schadenshöhe. Diese Beschreibung ist für Planungsrisiken, dh Risiken, die konstant vorhanden und nur hinsichtlich ihrer Wirkung unbestimmt sind, wie beispielsweise Zins-, Währungs- oder Preisrisiken, aber auch die COVID-Krise, unbrauchbar. Solche Risiken sind nicht sinnvoll in einer Risk Map abbildbar, sondern müssen in der Form von realistischen Schwankungsbreiten dargestellt werden.
Die Risk Map fördert den isolierten Umgang mit Einzelrisiken, zeigt keine Szenarien und stellt keinen Bezug zu den Unternehmenszielen her. Die Risiken werden nur unzureichend quantitativ beschrieben, im Vordergrund steht die Steuerung der Einzelrisiken (auf Basis dürftiger Informationen), die Steuerung der Gesamtrisikosituation (bzw der definierten Unternehmensziele) ist nur schwer möglich.
Wie soll man also die Konsequenzen der COVID-Krise berichten?
Wenn man - trotz der beschriebenen Grenzen des Instruments - den Weg mittels Risk Map beschreiten möchte, dann könnte man dort die Auswirkungen auf andere Risiken darstellen: Die Pandemie wirkt auf andere Risiken, wie Gesundheit und Sicherheit, Abhängigkeit von der Lieferkette, Produktionsausfall, Business Continuity, technische Infrastruktur und Cyber-Bedrohungen. Diese Risiken sind neu zu beschreiben und zu bewerten.
Noch besser wäre ein Risikobericht mit klarem Bezug zur Ergebnisrechnung, der die Wirkung der Krise auf die Steuerungsgrößen des Unternehmens systematisch abbildet (vgl Abb 1).
Eine vielfach noch bevorstehende Herausforderung ist das Risikoberichtswesen im Lagebericht. Eine aussagekräftige Stellungnahme seitens des Unternehmens zu den Auswirkungen der COVID-Krise als auch zum Umgang mit diesen Herausforderungen als Teil der Lageberichterstattung wird vielfach die Erwartungshaltung der Stake- und Shareholder sein. Die Information, dass Auswirkungen schwer zu beurteilen oder noch nicht abschätzbar sind, ist bekannt und betrifft viele Unternehmen in gleichem Maße. Auch hier kann nicht empfohlen werden, ein singuläres COVID-Risiko darzustellen. Vielmehr gilt es, Risiken infolge der COVID-Krise separat darzustellen, zu beschreiben und zu bewerten, sowie Maßnahmen zur Risikobewältigung zu beschreiben und zu beurteilen. Sinnvoll sind auch Darstellungen wesentlicher Änderungen bestehender Chancen und Risiken, beispielsweise durch veränderte Eintrittswahrscheinlichkeiten. Insbesondere ist auf bestandsgefährdende Risiken einzugehen. Der Versuch einer aussagekräftigen Darstellung und eine Beschreibung der getroffenen Maßnahmen könnten so in den Augen der Berichtsadressaten zu einem Vorteil gegenüber dem Wettbewerb führen.
3. (Neu-)Positionierung als Chance - was jetzt gefragt ist
Unternehmen sollten die Chance nutzen und das Risikomanagement in und nach der Krise weiterentwickeln und gegebenenfalls sogar neu zu positionieren.
Dafür sind Risikomanager gefragt, die neben einem tiefen Verständnis des Unternehmens und des Geschäftsmodells ein umfangreiches fachliches und persönliches Skillset haben.
Ein ausgeprägtes Controlling-Know-how ist ein wichtiges Asset, um die Integration mit Planung und Reporting gut gestalten zu können. Das einsetzbare Risikomanagement-Instrumentarium sollte über die die traditionellen Methoden (Risk Maps) wesentlich hinausgehen und Statistik, Risikomodellierung, und Methoden wie beispielsweise Tail-Risk-Analysen, Stress-Testing, Szenarioanalyse und War-Gaming umfassen.
Zusätzlich ist eine gewisse Hands-on-Mentalität gefordert: In der Krise ist keine Zeit für langwierige Konzeptionsphasen, es geht darum, schnell, agil, neue Anforderungen aufzunehmen in bestehende Systeme zu integrieren bzw schnell Prototypen moderner Risikomanagementsysteme einsetzen zu können.
Insbesondere für die nächsten Monate ist auch eine hohe IT-Affinität erforderlich. Weil man damit rechnen muss, dass Risikomanagementworkshops auf absehbare Zeit eher remote stattfinden als vor Ort, muss der Risikomanager in der Lage sein, Videokonferenz- und Collaboration-Tools flexibel einzusetzen. Nicht nur in großen, regional verteilten Unternehmen, sondern auch in Unternehmen, die in der Vergangenheit gewohnt waren, eher standortgebunden und persönlich zu kommunizieren.
Der Risikomanager muss in der Lage sein, existierende Annahmen der Manager zu hinterfragen und Risikoinformation auf Augenhöhe mit dem Management zu diskutieren. Dies erfordert neben der intensiven Kenntnis des Unternehmens auch eine detaillierte Kenntnis der Risikobereiche - der Risikomanager muss hier entweder selbst Experte oder in der Lage sein, Risikoinformation von dezentralenS. 233 Experten zu sammeln und für die Unternehmensführung aufzubereiten.
Im Rahmen des Managements externer Risiken liegt der wesentliche Fokus der Risikomanagement-Rolle auf der Unterstützung der Risikoidentifikation, häufig von Risiken mit geringer Eintrittswahrscheinlichkeit und großer Risikowirkung. Gefordert ist hier neben der Beherrschung des Instrumentariums (zB Szenarioanalyse, War-Gaming) ein Risikomanager, der die Rolle des Advocatus Diaboli beherrscht und in Entscheidungsprozessen gezielt die Ergebnisse hinterfragt und auf mögliche externe Risiken überprüft. Von Vorteil ist hier, wenn der Risikomanager zur Verfügung stehende externe Quellen wie beispielsweise den „Global Risks Report“ des World Economic Forums als Inputquelle heranzieht.
Es liegt auf der Hand, dass diese Rollen eine entsprechende Positionierung des Risikomanagers im Unternehmen erfordern. Neben Fachkompetenz und guter Kenntnis des Unternehmens sind vor allem auch persönliche, soziale und technische Kompetenzen des Risikomanagers gefordert.
Aber nicht nur der Risikomanager ist gefordert, auch die Unternehmensführung. Die Auseinandersetzung mit Risiken ist für viele Manager eher konterintuitiv und schmerzvoll und steht im Widerspruch zur „Wir-schaffen-das“-Mentalität, die notwendig ist, um herausfordernde Projekte erfolgreich und termingerecht umsetzen zu können.
Daher ist die Unternehmensführung gefordert, das Risikomanagement im Unternehmen entsprechend zu positionieren, um die oben dargestellte Risikomanagement-Rolle auch zuzulassen. Dies ermöglicht eine offene, interaktive Auseinandersetzung über die Risikosituation des Unternehmens. Nur so kann Risikomanagement im Unternehmen wirksam werden.
Abb 1: Risikobericht mit klarem Bezug zur Ergebnisrechnung
