Das Ende der Gewissheiten
Antworten für das Risikomanagement in Zeiten multipler Krisen
Auch wenn der bewusste Umgang mit Volatilität und Unsicherheit seit jeher zu den Kernaufgaben des Risikomanagements gehört, ist doch eines gewiss: Eine derartige Überlappung von Krisen, wie wir sie derzeit beobachten, hat es seit vielen Jahrzehnten nicht gegeben.
GRC-Verantwortliche stellt dieses Umfeld vor eine besondere Herausforderung: Auch sorgfältig, nach „State-of-the-Art“ aufgebaute Risikomanagementsysteme, in denen klare Risikostrategien formuliert und umgesetzt sind, Risikoappetit- und Tragfähigkeitsberechnungen, Stress-Testing und ähnliche Instrumente systematisch eingesetzt werden, kommen an ihre Grenzen. Sie können eine (Bestands-)Gefährdung der Unternehmen in manchen Branchen nur unzureichend antizipieren bzw. verhindern.
GRC-Verantwortliche müssen sich angesichts multipler Krisen von einigen „Glaubenssätzen“ verabschieden und ihre fachlichen, methodischen und persönlichen Kompetenzen weiterentwickeln.
Für die Rolle der GRC-Verantwortlichen ist die aktuelle Situation aber auch eine Chance – die strategische Bedeutung nimmt zu und der Verantwortungsbereich erweitert sich.
1. Krisen als Herausforderung für Unternehmen
Die Welt wird aktuell von einer Vielzahl von Krisen geprägt, die die globalen Märkte beeinflussen. Klimakrise, geopolitische Spannungen wie der Ukrainekrieg, Energiepreisschwankungen, Inflation und Lieferengpässe (nicht zuletzt infolge von Covid-19) stellen enorme Herausforderungen dar und betreffen alle Bereiche des Unternehmens, einschließlich des Risikomanagements.
Die folgende Tabelle zeigt exemplarisch einige Beispiele für mögliche Auswirkungen aktueller Krisen auf Unternehmensrisiken sowie auf das Risikomanagement:
Krisen | Auswirkungen auf Unternehmensrisiken | Auswirkungen auf Risikomanagement |
Klimakrise | Erhöhung der Wahrscheinlichkeit extremer Wetterereignisse und Naturkatastrophen; Bedarf an Anpassung der Strategie und des Geschäftsmodells | Integration von Umweltrisiken in das Risikomanagement; Einbeziehung von Klimarisiken und Nachhaltigkeitsaspekten in den Unternehmensbericht |
Geopolitische Krisen | Erhöhung der politischen und wirtschaftlichen Unsicherheit; Änderungen der rechtlichen Rahmenbedingungen | Neubewertung von Länderrisiken; Überprüfung der Compliance mit neuen regulatorischen Anforderungen |
Energiepreis-schwankungen/ Inflation | Anstieg/Unsicherheit der Energiekosten; erhöhte Unsicherheit bei der Beschaffung von Energie; Anstieg der Kosten/Unsicherheit für Waren, Dienstleistungen und Personal | Überwachung von Preisentwicklungen und Verwendung von Szenario-Analysen |
Lieferengpässe | Einschränkungen bei der Beschaffung von Materialien und Produkten; Unterbrechungen der Lieferkette | Identifizierung von alternativen Lieferanten; Entwicklung von Maßnahmen zur Steigerung der Lieferkettenresilienz |
2. Multiple Krisen – multiple Herausforderungen
Jede der dargestellten Krisen für sich allein ist schon eine große Herausforderung für Unternehmen und GRC-Verantwortliche. Was die aktuelle Situation aber besonders anspruchsvoll macht, ist die hohe Frequenz bzw. sogar Überlappung von Krisen, mit folgenden Konsequenzen:
- Komplexität: Die Vielzahl und Vielfalt der Krisen, mit denen Unternehmen konfrontiert sind, machen es schwierig, sie alle – und auch die zwischen ihnen bestehenden Interdependenzen – zu verstehen und zu managen.
- Unsicherheit: Die unvorhersehbare Entwicklung von Krisen macht es schwer, präzise Vorhersagen über die Zukunft zu treffen. Hieraus entstehen Unsicherheit und Instabilität.
- Veränderung von Rahmenbedingungen: Krisen führen in vielen Fällen zu einer Veränderung von Rahmenbedingungen, zum Beispiel bei Gesetzen und Regulierungen oder bei politischen und wirtschaftlichen Entscheidungen. Unternehmen müssen in der Lage sein, sich schnell an solche Veränderungen anzupassen.
- Neue Risiken: Krisen können neue Risiken aufwerfen, die vorher nicht in gleichem Ausmaß vorhanden waren, beispielsweise Cyberrisiken oder Fraud-Risiken. Unternehmen müssen in der Lage sein, diese Risiken zu erkennen und adäquate Maßnahmen zu ergreifen.
- Erhöhung der Gesamtrisikoposition: Das Zusammenspiel der Krisen führt typischerweise dazu, dass das Gesamtrisiko der Unternehmen steigt. Es ist daher wichtig, dass Unternehmen in der Lage sind, ihre Gesamtrisikoposition zu ermitteln und – abgestimmt auf Risikoappetit und -tragfähigkeit – zu steuern.
- Druck auf Ressourcen: Jede einzelne Krise fordert die Unternehmensressourcen (Mitarbeiter, finanzielle Mittel und Managementkapazität). Gemeinsam können die Krisen die Ressourcen in einem Ausmaß belasten, das Unternehmen möglicherweise nicht leisten können. Dies kann zu Engpässen und Einschränkungen im Unternehmen führen.
3. Impulse für das Risikomanagement
Aufbau und Erweiterung von Kompetenzen
Multiple Krisen stellen zum Teil neue und hohe Anforderungen an die Kompetenzen und Fähigkeiten der GRC-Verantwortlichen. Das Kompetenz-Spektrum muss daher zum Teil aufgebaut und erweitert werden: GRC-Verantwortliche sollten ein tiefes Verständnis von Risikomanagement, Technologie und Analytik haben, starke Führungskompetenzen und klare Kommunikationsfähigkeiten besitzen und in der Lage sein, flexibel und anpassungsfähig zu sein:
- Risikomanagement-Kompetenz: GRC-Verantwortliche müssen über ein tiefes Verständnis von Risikomanagement-Methoden und -Instrumenten verfügen, um komplexe Risiken zu identifizieren, zu bewerten und zu managen.
- Technologische Kompetenz: Die zunehmende Nutzung von Technologie in allen Bereichen des Geschäfts stellt auch höhere Anforderungen an GRC-Verantwortliche. Sie müssen in der Lage sein, Daten zu sammeln, zu analysieren und zu interpretieren, um fundierte Entscheidungen treffen zu können.
- Analytische Fähigkeiten: GRC-Verantwortliche sollten über starke analytische Fähigkeiten verfügen, um Risiken zu bewerten und Risikomanagement-Pläne zu entwickeln. Sie müssen noch mehr als in der Vergangenheit in der Lage sein, Daten effektiv zu sammeln, zu analysieren und zu nutzen, um Risiken zu bewerten und Entscheidungen zu treffen. Dies erfordert Kenntnisse in Data Analytics und Technologie, um mit der zunehmenden Komplexität der Daten umzugehen.
- Führungskompetenz: GRC-Verantwortliche müssen in der Lage sein, Mitarbeiter zu führen und zu motivieren, um sicherzustellen, dass das Unternehmen in der Lage ist, sich schnell auf sich ändernde Risiken und Bedrohungen zu reagieren.
- Kommunikationsfähigkeiten: Eine klare und effektive Kommunikation ist in Krisenzeiten von entscheidender Bedeutung. GRC-Verantwortliche sollten in der Lage sein, komplexe Risiken in einfachen, klaren Botschaften zu kommunizieren, um Transparenz zu erhöhen und Entscheidungen zu beschleunigen.
- Flexibilität und Anpassungsfähigkeit: In einer sich schnell verändernden Geschäftswelt müssen GRC-Verantwortliche in der Lage sein, flexibel und anpassungsfähig zu sein, um sich schnell auf neue Bedrohungen und Chancen zu reagieren.
Abschied von der Normverteilung
Für Risikomanager gilt es, sich von Glaubenssätzen und beliebten, aber unzureichenden Methoden und Instrumenten zu trennen:
Die Krisen zeigen uns sehr deutlich, dass wir uns von der Ansicht, die meisten Dinge (und damit auch die meisten Risiken) seien normalverteilt, verabschieden müssen (vgl. Gore, A., 2022). Normalverteilungen zeichnen sich durch ihre Symmetrie aus. Positive und negative Abweichungen vom Erwartungswert sind gleich wahrscheinlich. In der Praxis sind aber nicht-symmetrische Verteilungen, insb. Pareto-Verteilungen, wesentlich häufiger: Pareto-Verteilungen (benannt nach dem Ökonomen Pareto, der Anfang des 20. Jahrhunderts feststellte, dass 20% der Menschen in Italien 80% des Landes besaßen) ähneln einem Hockeyschläger mit einem langen „Tail“, wie in der Abbildung unten dargestellt.
Risikomanager in Industrie- und Dienstleistungsunternehmen arbeiten häufig mit Dreiecksverteilungen oder Pert-Verteilungen, die von Experten geschätzt werden. Diese sind aber – wie die Normalverteilung – tendenziell eher symmetrisch, oder haben zumindest keinen langen Tail, weil auch die Experten von der Vorstellung der normalverteilten Welt geprägt sind.
Das Problem an dieser Vorgehensweise ist, dass Risikomanager mit (fälschlicherweise) normalverteilten Risikoannahmen die Tail Risks aus ihren Risikomodellen ausblenden. Eine Analyse der Tail Risks ist damit auch in der aggregierten Risikoposition nicht möglich.
Gerade bei externen Risiken (vgl. Kaplan/Mikes 2012), dh. bei Risiken außerhalb der Kontrolle des Unternehmens, die beispielsweise aufgrund von Naturkatastrophen bzw. politischer oder makroökonomischer Entwicklungen eintreten, sind Risikomanager daher gefordert, ihr Instrumentarium nachzuschärfen: Einerseits sind die Verteilungsannahmen kritisch zu hinterfragen, dh. symmetrische Verteilungen auf Plausibilität zu prüfen. Andererseits müssen Risikomanager mehr als in der Vergangenheit mit Instrumenten wie Tail Risk Assessment, Stress Testing und Szenarioplanung arbeiten, und Maßnahmen entwickeln, die dazu beitragen, dass die Resilienz der Unternehmen im Falle eines Eintritts der externen Risiken erhöht wird.
Abschied von der Risk Map
Neben den Glaubenssätzen sollte auch die Risk Map – beliebtes, aber völlig unzureichendes Instrument im Risikomanagement – verabschiedet werden. In Risk Maps werden Risiken typischerweise anhand der Dimensionen Eintrittswahrscheinlichkeit und Schadensausmaß in einer Matrix dargestellt. Seltene Risiken werden in Risk Maps typischerweise in einer Ecke der Risk Map, im grünen oder gelben Bereich, dargestellt, und isoliert diskutiert (vgl. Hunziker 2023). Problematisch daran ist, dass die Wahrscheinlichkeit, dass mindestens ein seltenes Risiko in einem Portfolio seltener Risiken auftritt, systematisch unterschätzt wird. Hunziker nennt dieses Phänomen „Single-Rare-Risk-View-Bias“: Angenommen, eine Risk Map zeigt 20 seltene (Ereignis-)Risiken tun, mit einer Eintrittswahrscheinlichkeit von 1 % für die Haltedauer von 1 Jahr. Der Einfachheit halber sei angenommen, dass diese Risiken nicht korreliert sind (dh. unabhängig voneinander – auch dies eine eher unrealistische Annahme). Die Wahrscheinlichkeit, dass mindestens (!) eines dieser Risiken in den nächsten 3 oder 5 Jahren eintritt, ist dann (für viele überraschend) hoch: 45 % für die nächsten 3 und 63 % für die nächsten 5 Jahre.
Auch hier sind Risikomanager gefordert, ihr Instrumentarium zu hinterfragen und andere Instrumente (bspw. Risikosimulationsmodelle) anzuwenden, die die Gesamtrisikoposition darstellen, auch unter Berücksichtigung von Abhängigkeiten zwischen Risiken.
Die Krise als Chance – auch für GRC-Verantwortliche
Letztlich gilt aber auch für GRC-Verantwortliche ein Ausspruch, den angeblich Winston Churchill geprägt hat: „Never let a good crisis go to waste.“ Jede Krise ist auch eine Chance, wie wir an den Impulsen der Covid-19-Krise für die Digitalisierung oder der Energiepreiskrise für den Ausbau der erneuerbaren Energien sehen.
Für Risikomanager bietet das aktuelle Multikrisen-Umfeld große Chancen:
- Zunahme der strategischen Bedeutung: Die Bedeutung von GRC-Verantwortlichen als strategische Partner des Managements nimmt zu. Unternehmen erkennen, dass sie in einem sich schnell verändernden Umfeld, das von Risiken geprägt ist, eine gut aufgestellte GRC-Funktion benötigen, um Risiken zu identifizieren, zu bewerten und zu managen. Die GRC-Funktion kann sich daher zu einer wichtigen Position (Chief Risk Officer) entwickeln, mit Führungskräften, die eng mit dem Top-Management zusammenarbeiten und ihre Entscheidungen mit beeinflussen.
- Erweiterung des Verantwortungsbereichs: Der Verantwortungsbereich von GRC-Verantwortlichen erweitert sich. Ihr Fokus liegt nicht mehr auf der Einhaltung von Gesetzen und Vorschriften (Compliance), sondern auf einer breiten Palette von Risiken wie z.B. Cybersecurity, Klimawandel und Geopolitik, die wesentlich für die Entwicklung der Unternehmen sind. Sie können dazu beitragen, dass das Unternehmen agil und flexibel genug ist, um auf unvorhergesehene Krisen zu reagieren.
Für GRC-Verantwortliche gilt es, diese Chancen zu nutzen und ihre Rolle weiterzuentwickeln von einer Compliance- hin zu einer Steuerungsaufgabe – von einer Support- hin zur Experten-Funktion, die strategische Entscheidungen wesentlich mitgestalten kann.
Weiterbildungstipps:
6. GRC Jahrestagung – Jahresforum für Governance, Risk und Compliance: am 25.04.2023, von 09:00-17:00, im Palais Hansen Kempinski Vienna
Certified Corporate Risk Manager – Identifikation, Bewertung und Steuerung von Risiken
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!