Keine Strategie ohne Risiko

Ganzheitliches Risikomanagement auf neuem Kurs: Risikomanagement, Strategie und Performance im Einklang – ein neues Rahmenwerk weist den Weg in die Zukunft.

Aufgrund der turbulenten Marktentwicklungen der letzten Jahre sowie der regulatorischen Anforderungen hat die Komplexität der Chancen und Risiken vieler Unternehmen zugenommen und zu einem gesteigerten Risikobewusstsein auf der Führungsebene geführt. Diese veränderten Gegebenheiten erfordern eine verstärkte Ausgestaltung des Risikomanagements im Sinne eines ganzheitlichen Ansatzes. Das im September 2017 aktualisierte, internationale Risikomanagement-Rahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission (COSO) geht auf diese Aspekte ein und legt den Fokus auf den Einklang von Risikomanagement, Strategie und Performance.

„Das Segel neu setzen“

Internationale politische Entwicklungen, Digitalisierung und neue regulatorische Gegebenheiten in vielen Märkten sind nur einige der Faktoren der letzten Jahre, die in Unternehmen zu einem Umdenken in Bezug auf ihre Risikomanagementsysteme geführt haben. Das neue COSO-Risikomanagement-Rahmenwerk mit dem Titel Enterprise Risk Management – Integrating with Strategy and Performance, das im September 2017 publiziert wurde, bildet nun die Erfordernisse an ein Risikomanagementsystem vor diesen veränderten Umweltbedingungen ab. Das Rahmenwerk gibt Unternehmen nicht nur die Möglichkeit, risikobewusstere Entscheidungen zu treffen, sondern unterstützt sie sowohl bei ihrer strategischen Weiterentwicklung als auch dabei, nachhaltig Wert zu schaffen und zu erhalten. Es wird deutlich hervorgehoben, wie wichtig es für Unternehmen ist, Chancen und Risiken sowohl im Strategiefindungsprozess als auch bei der Umsetzung der Strategie und der Verfolgung der Performanceziele zu berücksichtigen. Zudem sollen Aufsichtsgremien und Führungskräfte bei der Überwachung und Steuerung der Risiken durch ein integriertes Risikomanagementsystem unterstützt werden.

Das COSO-Modell aus dem Jahr 2004, das als Würfel dargestellt wurde, ist mit dem Update durch ein dreistufiges Prozessmodell ersetzt worden, bestehend aus den Bereichen „Vision, Mission & Core Value“, „Strategy & Business Objectives“ und „Enhanced Performance“.

Abbildung 1: Dreistufiges Risikomanagement-Prozessmodell (COSO 2017)

Die drei Prozessstufen umfassen fünf eng miteinander verbundene Kernkomponenten, die in insgesamt 20 Prinzipien unterteilt werden. In allen Prozessschritten ist es wesentlich, diese Komponenten und deren Prinzipien zu berücksichtigen.

Abbildung 2: Fünf Kernkomponenten und 20 Prinzipien des COSO-Rahmenwerks

Diese neue Darstellung berücksichtigt nicht nur die Chancen und Risiken unter performanceorientierten und strategischen Gesichtspunkten, sondern bezieht auch die Unternehmenskultur bei der Festlegung des Risikoappetits und der strategischen Ausrichtung mit ein. Ein ganzheitliches Risikomanagementsystem soll so zur Erreichung der strategischen Unternehmens- und Performanceziele eingesetzt werden.

„Wenn der Wind der Veränderung weht“

Die Unternehmenspraxis zeigt, dass sich Risikomanagementsysteme unterschiedlichen Reifegrades und ein generell verstärktes Risikobewusstsein in den Unternehmen etabliert haben. Dennoch stellen die komplexen internen und externen Rahmenbedingungen in den Unternehmen wie auch am Markt selbst für etablierte Risikomanagementsysteme eine signifikante Herausforderung dar. Die Systeme müssen flexibel gestaltet sein, um rasch auf sich ändernde Umweltbedingungen reagieren zu können. Mit dem überarbeiteten COSO-Modell sollen Unternehmen in dieser Aufgabe unterstützt werden, um zukünftige Herausforderungen im Risikomanagement meistern zu können.

Integration von Strategie und Risikomanagement

Die Unternehmensstrategie soll das Unternehmensleitbild wie auch die Vision unterstützen und an den Kernwerten wie auch am Risikoappetit der Organisation ausgerichtet sein, um die festgelegten Unternehmensziele zu erreichen. Im Strategiefindungsprozess sollen der Unternehmenskontext und die daraus abgeleiteten potenziellen Chancen und Risiken von den Unternehmen zuerst verstanden werden, bevor sie sich für eine generelle strategische Ausrichtung beziehungsweise für spezifische strategische Ziele entscheiden. Zukünftig wird es wichtiger werden, die Risikomanagementfunktion aktiv in den strategischen Entscheidungsfindungsprozess mit einzubinden.

Die Evaluierung von Risiken aus alternativen Strategieoptionen in der Kooperation zwischen der Strategieabteilung und der Risikomanagementfunktion sowie die gemeinsame, koordinierte Verfolgung der Risiken, die den Kurs einer festgelegten Unternehmensstrategie gefährden könnten, werden zu einer wesentlichen Aufgabe. Die Wechselwirkung der eingebundenen Bereiche und Perspektiven soll einerseits informativen Mehrwert bieten, andererseits aber auch als Basis für Entscheidungen dienen. So soll der richtige Kurs zur Umsetzung der Unternehmensstrategie abgesichert und unterstützt werden.

Definition des Risikoappetits

Im Rahmen des Strategieentwicklungsprozesses wird in vielen Unternehmen ein qualitativ oder quantitativ definierter Risikoappetit im Kontext einer Gesamtrisikostrategie festgelegt. Die Definition einer Gesamtrisikostrategie und des Risikoappetits gewinnt durch die enge Verknüpfung von Risikomanagement, Strategie und Performance an Relevanz, denn nur wenn definiert ist, mit welchem Risikoappetit eine Unternehmensstrategie verfolgt wird, können Risiken aus dem strategischen Kontext bewertet und mitigiert werden.

Es ist wichtig hervorzuheben, dass es weder einen universell gültigen Risikoappetit gibt noch dass dieser statisch ist – im Gegenteil. Der Risikoappetit sollte die Unternehmenskultur spiegeln und bei Bedarf angepasst werden, insbesondere wenn strategische Kursänderungen angestrebt werden. Nicht zuletzt sollten Unternehmen bei der Festlegung ihres Risikoappetits ihr allgemeines Risikoprofil – im Sinne der Gesamtheit aller Risiken, denen das Unternehmen ausgesetzt ist – nicht vergessen. Dementsprechend wird künftig das Schaffen einer Übereinstimmung von Risikoappetit und strategischen Unternehmenszielen eine relevante Aufgabe für Unternehmen darstellen – auch im Zuge des Risikomanagements. Üblicherweise weisen Unternehmen mit einem Risikomanagementsystem, dessen Reifegrad hoch ist, einen präziser formulierten Risikoappetit auf, der bei der kontinuierlichen Weiterentwicklung des Risikomanagementsystems und im Strategieprozess mit berücksichtigt und gepflegt wird.

Jedoch ist nicht nur die Festlegung und kontinuierliche Anpassung des Risikoappetits wesentlich, es sollte auch sichergestellt werden, dass dieser über alle Unternehmensebenen hinweg kommuniziert und greifbar gemacht wird. Vor allem Entscheidungsträger müssen den Risikoappetit verstehen, denn er gibt ihnen den Rahmen vor, in dem sie Ressourcen verteilen und operativ agieren können. Durch das Setzen bestimmter Performanceziele und Risikotoleranzgrenzen entsprechend dem Gesamtrisikoprofil und dem Risikoappetit können diese Parameter operationalisiert werden. Risikotoleranzgrenzen im Sinne einer fokussierten, messbaren, akzeptablen Leistungsabweichung rüsten beispielsweise Unternehmen mit den notwendigen Instrumenten aus, um ihre operativen Tätigkeiten im Rahmen ihres definierten Risikoappetits auszuführen.

Betrachtung von „Emerging Risks & Chancen“

Eine weitere wichtige Aufgabe im Risikomanagement ist die konsistente Erfassung und Bewertung von Chancen und Risiken. Ein regelmäßiger Risikoidentifizierungsprozess hilft Unternehmen, alle relevanten Risiken zeitgerecht zu erfassen und somit auch neue Chancen und Risiken in das Risikoportfolio zu inkludieren. Das neue COSO-Rahmenwerk legt hierbei auch ein besonderes Augenmerk auf die Betrachtung der „Emerging Risks“, also auf potenzielle zukünftige Risiken, die aus heutiger Sicht noch schwer einzuschätzen und zu bewerten sind. Eine aktive Auseinandersetzung mit den in diesem Kontext relevanten Chancen und Risiken wird nahegelegt, um die Inhalte der Risikokataloge aktuell zu gestalten.

Weiters assoziieren nach wie vor nicht alle Unternehmen Risikomanagementprozesse mit der Identifizierung von Chancen. Führende Rahmenwerke wie das COSO-Modell sehen Chancenmanagement als Teil des Risikomanagementprozesses. Potenziell positive Planabweichungen können im Rahmen eines strukturierten Prozesses klarer definiert und entsprechende Maßnahmen frühzeitig gesetzt werden.

Risikobewertung und Überwachung der risikomitigierenden Maßnahmen

Nach dem Risikoidentifizierungsprozess stehen Unternehmen vor der Aufgabe, erkannte Risiken zu bewerten und regelmäßig neu zu evaluieren, um strategische Unternehmensziele mit optimalem Ressourceneinsatz zu erreichen. Zudem sollten die potentiellen Auswirkungen der identifizierten Risiken möglichst an einer zentralen Kennzahl gemessen werden, um schließlich eine Aggregation zu einer Gesamtrisikoposition zu ermöglichen. Diese sind zwar keine neuen Aspekte des COSO-Updates, dennoch spielen sie auch im neuen Rahmenwerk eine wichtige Rolle als Basis der Entwicklung und der Relevanz des Risikomanagements.

Zur Sicherstellung der einheitlichen Bewertung von Risiken ist es notwendig, dass Unternehmen zentrale Vorgaben in Form eines Risikomanagementhandbuchs festhalten, diese laufend aktualisieren und kommunizieren.

Nach der Identifizierung und Bewertung von Risiken sollten Unternehmen die Entscheidung treffen, welche Risikostrategie sie wählen – ob sie Risiken vermeiden, übertragen, vermindern oder akzeptieren. Gemäß der gewählten Risikostrategie sollten Unternehmen geeignete risikomitigierende Maßnahmen festlegen und diese regelmäßig überwachen. Hierfür ist es notwendig, dass die Maßnahmen umfassend beschrieben und mit entsprechenden zeitlichen Rahmen, Budgets und Verantwortlichkeiten hinterlegt werden.

Risikobewertungen und mitigierende Maßnahmen sind in Abhängigkeit von den sich verändernden internen und externen Gegebenheiten des Unternehmens regelmäßig einer Aktualisierung zu unterziehen. Dadurch soll sichergestellt werden, dass Veränderungen im Unternehmensumfeld, die eine wesentliche Auswirkung auf die Umsetzung der Strategie und das Erreichen der gesetzten Ziele haben, berücksichtigt werden.

Einsatz von Risikomanagementtools

Unternehmen stehen vor der Aufgabe, Daten zur richtigen Zeit in der richtigen Qualität für die richtigen Stakeholder zur Verfügung zu stellen. Diese Daten werden im Zeitalter der Digitalisierung komplexer und vor allem vielfältig verfügbar. Zu der bekannten Aufgabe der Sicherstellung von Datenqualität und der Aufbereitung der relevanten Daten für die Stakeholder kommen somit neue Aufgaben hinzu: die Verarbeitung einer immer größer werdenden Datenmenge, die Vielzahl verfügbarer Datensätze sowie die Ressourcenausstattung, um diese Daten sinnvoll zu verarbeiten. Diese Herausforderungen betreffen auch das Risikomanagement und die Darstellung aller unternehmensrelevanten Chancen und Risiken. Informationen zu den Risiken sind mehr als nur historisch gesammelte Daten, Erfahrungswerte und Statistiken. Um ein vollständiges Risikoprofil zu erstellen und passende mitigierende Aktivitäten auszuwählen, wird beispielsweise auch eine Einschätzung der zukünftigen Entwicklung benötigt. Durch den Einsatz eines systemunterstützten Risikomanagementtools, beispielswiese in Form einer spezialisierten Softwarelösung oder intelligenten Datenbank, kann sichergestellt werden, dass Daten aktuell und richtig sind und dass bestehende Informationen allen Stakeholdern gleichermaßen zur Verfügung stehen. Interne und externe Veränderungen, welche die Risikolandschaft beeinflussen, können durch dieses Tool ebenfalls rascher abgebildet werden. Dadurch wird gewährleistet, dass die Risikodaten die richtige Qualität aufweisen, um Entscheidungsträger im Entscheidungsfindungsprozess zu unterstützen.

„Nicht der Wind, sondern das Segel bestimmt die Richtung“

Unternehmen haben es selbst in der Hand, ihre Risikomanagementsysteme zu einem ganzheitlichen Ansatz im ständigen Zusammenspiel zwischen Strategie-, Performance- und Risikoüberlegungen entsprechend zu schärfen.

Eine Entwicklung der letzten Jahre bei Unternehmen mit reifen Risikomanagementsystemen ist die Verbesserung der Risikokommunikation durch die Umgestaltung der Governancestruktur und die Stärkung der Position des Chief Risk Officers, um sicherzustellen, dass Risikoüberlegungen in sämtliche strategische Diskussionen und Entscheidungen integriert werden. Diese Entwicklung findet auch im überarbeiteten COSO-Rahmenwerk als führende Methodik Eingang.

Weiters sehen leitende Risikomanagementkonzepte die Etablierung einer risikobewussten Unternehmenskultur als entscheidenden Erfolgsfaktor für die Erreichung der vollständigen Verzahnung zwischen Risikomanagement, Strategie und Performance. Risikoinformationen können hierdurch rechtzeitig und proaktiv an die relevanten Stakeholder kommuniziert werden. Risiken können und sollen in einer solchen Kultur im Sinne der Risikotransparenz offen diskutiert und in die täglichen Verantwortungsbereiche der Mitarbeiter integriert werden.

Neue Technologielösungen, die Fülle an verfügbaren Daten und deren effiziente Bearbeitung sowie ihre Berücksichtigung im Entscheidungsprozess, virtuelle Arbeitswelten, volatile internationale politische Verhältnisse sowie die sich stetig verändernden Bedürfnisse der nächsten Generationen sind nur einige der Themen, die Unternehmen in den nächsten Jahren beschäftigen werden und die auch das Risikomanagement der Zukunft beeinflussen werden. Unternehmen können frühzeitig auf diese Herausforderungen reagieren, indem sie die neuen Ansätze des COSO-Modells berücksichtigen und so einen bewussten Einklang von Risikomanagement, Strategie und Performance schaffen.

FAZIT

Unternehmen und ihre Umwelten verändern sich ständig, getrieben durch externe und interne Einflussfaktoren. Damit verändern sich auch ihre Strategien und deren zugrunde liegenden Risiken. Das überarbeite COSO-ERM-Rahmenwerk Enterprise Risk Management – Integrating with Strategy and Performance unterstützt Unternehmen bei der Etablierung eines ganzheitlichen Risikomanagementansatzes in einem sich ständig wandelnden Unternehmensumfeld. Die Zielsetzung dieses Rahmenwerks besteht darin, einen Einklang von Risikomanagement, Strategie und Performance zu schaffen. Eine Kooperation zwischen Strategie- und Risikomanagementfunktion wird auf dem Weg zum unternehmerischen Erfolg zukünftig eine zentrale Komponente sein.