Enterprise Risk Management: Glaubenssystem oder Führungsinstrument?

Enterprise Risk Management (ERM) wird mittlerweile von vielen Verfechtern als unverzichtbares Führungsinstrument positioniert. Normen, Rahmenwerke, Beratungshäuser, Ausbildner und Regulatoren versprechen gleichermaßen einen positiven „Return on ERM-Investment“. Allerdings bleiben belastbare empirische Studien bisher aus, die kausale Zusammenhänge zwischen ERM-Aktivitäten und Erfolgsgrößen von ERM zeigen. ERM scheint sich eher zu einem isolierten Glaubenssystem entwickelt zu haben, welches überdies Erkenntnisse aus risikorelevanten Disziplinen wie Entscheidungstheorie, Kognitionspsychologie und Wahrscheinlichkeitstheorie ignoriert.

Ausgangslage

„Half of the decisions made in organizations fail, making failure far more prevalent than previously thought“[1]. Entscheidungssituationen unter Unsicherheit (Risiko) stellen eine große Herausforderung für den Unternehmenserfolg dar. So scheint es folgerichtig, dass sich unternehmensweites Risikomanagement (ERM) in vielen Sektoren und Branchen und über verschiedene Unternehmensgrößen hinweg langsam durchsetzt. Gerade in der aktuellen Pandemie zeigt sich ein erhöhter Informationsanspruch seitens Führungsgremien, Entscheidungen mit objektiven Risikoabwägungen zu unterstützen. Auch Fach- und Führungskräfte aus der Wissenschaft und Praxis anerkennen ERM zunehmend als entscheidungsrelevantes Führungsinstrument. U.a. wird einem ERM folgende Nutzenaspekte zugeschrieben:

• Eine fundierte Risikoanalyse verbessert die Qualität von Geschäftsentscheidungen, indem sie die Vergleichbarkeit der verschiedenen strategischen Optionen und der damit verbundenen Risiko-Ertrags-Profile erhöht und so ein ideales Business Portfolio schafft.
• Unternehmen erhalten einen Überblick über alle Risiken, Chancen und ihre jeweiligen Abhängigkeiten in einem Risikoportfolio. Dies ermöglicht Entscheidern, das Gesamtrisiko und seine potenziellen Auswirkungen auf die Geschäftsziele zu analysieren.
• Die Risikoaggregation ermöglicht das Steuern der Gesamtrisikoposition in Abgleich mit dem Risikoappetit. Dies führt zu Entscheidungen, die im Einklang mit der Risikoeinstellung der Unternehmung stehen. Unternehmen, die Aggregationstechniken anwenden, können von einem Risikodiversifikationseffekt profitieren.
• Effektives Risikomanagement kann zu stabilerem Cash-Flow, geringeren Kapitalkosten durch verbesserte Ratings und besserer Ausnutzung von Eigenkapital (Risikokapital) führen.
• Eine geringere Volatilität im Aktienkurs führt zu gestärktem Vertrauen der Investoren. Dies kann sich günstig auf den Unternehmenswert auswirken.

Die Relevanz von ERM ist in den letzten Jahren gewachsen, gleichermaßen auch die Erwartungshaltung an ERM, einen Mehrwert für Unternehmen zu schaffen. Aus praktischer Sicht ist dieser Anspruch gerechtfertigt bzw. die Verbreitung von ERM entsprechend zu begrüßen. Es stellt sich nun die kritische Frage, ob diese Ansprüche in der betrieblichen Praxis erfüllt werden können oder nicht viel mehr Wunschdenken im Spiel ist, das durch Normeninstitute, Beratungshäuser, Software-Anbieter und andere immer wieder neu befeuert wird.

ERM und die Anzeichen eines Glaubenssystem

Woran kann gemessen werden, ob ERM tatsächlich den Nutzenversprechen aus Normen, Rahmenwerken[2], Gesetzestexten und anekdotischer Evidenz (Erfahrungsberichten) gerecht wird? Oder anders gefragt: Welchen Benchmark können Wissenschaftler und Praktiker verwenden, um zu beurteilen, ob ERM einen Mehrwert generiert oder im schlechtesten Fall sogar ökonomischen Schaden bringt? Gibt es belastbare Evidenz, unter welchen Umständen ERM funktionieren oder nicht funktionieren kann? Bedeutet die vollständige Umsetzung einer Norm oder eines Standards, dass ERM einen Mehrwert bringt?

Paradoxerweise gibt es in einigen Disziplinen außerhalb des eigentlichen Kernthemas ERM (schon lange) belastbare Evidenz, der man sich für den Aufbau eines entscheidungsrelevanten Führungsinstruments bedienen kann. Die heute verfügbaren Erkenntnisse aus der Entscheidungstheorie, der Wahrscheinlichkeitstheorie, der Neuen Erwartungstheorie und der Kognitionspsychologie helfen, einen „Benchmark“ zu konstruieren, dem ERM gegenübergestellt werden kann. Leider haben die Entwicklungen im ERM in den letzten Jahren jedoch eine Eigendynamik erhalten, die diese Erkenntnisse nicht nur zu wenig berücksichtigen, sondern teilweise vollständig ignorieren. Der Umstand, dass ERM dennoch ein populäres, zunehmend stärker nachgefragtes Führungsinstrument geworden ist, liegt darin begründet, dass es sich zu einer Art „Glaubenssystem“ entwickelt hat.[3] Per Definition sind Glaubenssysteme nicht beweisbar und postulieren lobenswerte Ziele. Deren Verfechter und Anhänger glauben mit Überzeugung an funktionierende Zusammenhänge, Regeln und Abläufe bezogen auf einem bestimmten Sachverhalt (in diesem Fall „ERM“).[4] Oft geschieht dies ohne Reflexion darüber, warum Menschen überhaupt ein entsprechendes Glaubenssystem erworben haben. Oft werden Glaubenssysteme von affektiven (emotionalen) Komponenten aufrechterhalten. Nachfolgend werden ausgewählte Eigenschaften eines ERM mit Charakteristika von Glaubenssystemen verglichen und diskutiert.

Der gesamte Artikel erscheint in CFOaktuell (Heft 2/2021). Mehr Infos unter: www.cfoaktuell.at

Quellen:

[1] Nutt, P. C. (2002), Why decisions fail: Avoiding the blunders and traps that lead to debacles. San Francisco: Berrett-Koehler Publishers, Inc., S. 22.

[2] Mittlerweile koexistieren weltweit mehr als 80 verschiedene Risikomanagement-Normen und -Rahmenwerke, wobei populäre Vertreter u. a. ISO 31000, COSO ERM und ONR 49001 sind.

[3] Grant Purdy hat den Begriff „Belief System“ an einem Vortrag an der online Risk Awareness Week (RAW) 2019 erstmals in den Zusammenhang mit ERM gebracht.

[4] Es ist nicht Ziel und Zweck dieses Beitrags, Glaubenssysteme und ihre Charakteristika vollumfänglich und ausführlich zu diskutieren. Vielmehr geht es darum, Glaubenssysteme als grobes Denkmodell und als Metapher für den Zustand heutiger ERM-Systeme zu verwenden.

Weiterbildungstipps

4. GRC Jahrestagung | Jahresforum für Governance, Risk und Compliance | Info und Anmeldung

Certified Corporate Risk Manager | Identifikation, Bewertung und Steuerung von Risiken | Info und Anmeldung

Aufbau und Nutzen eines IKS in Theorie und Praxis | Ja, Ihr IKS kann wertschöpfen | Info und Anmeldung