New Risks, New Realities

Die neuen Realitäten der Risikomanager

COVID-19. Klimakrise. Blackout. Cyber-Risken. Inflation. Steigende Energiepreise. Ukraine-Krieg. Und so weiter. Aktuell kann wahrscheinlich jeder Aufsichtsrat, jeder Vorstand und jeder GRC-Verantwortliche im Schlaf eine ganze Reihe von Risiken aufzählen, die für seine Branche und sein Unternehmen hohe Bedeutung haben und große Herausforderungen mit sich bringen. Während Risikomanagement in der Vergangenheit in vielen Unternehmen wenig dynamisch und stark compliance-orientiert war, mit oft wenig Nutzen, kann man aktuell – bedingt durch neue und stark anwachsende Risiken – einen starken Veränderungsdruck für Risikomanagementsysteme beobachten. Für Risikomanager ergibt sich daraus eine umfangreiche Agenda.

1. Neue und gleichzeitig zunehmende Risiken als neue Realität für die Unternehmen

In vielen Unternehmen war Risikomanagement über viele Jahre kein besonders dynamisches Thema. Die Risiken waren weitgehend bekannt, die Risikolandschaft veränderte sich kaum, und die Gesamtrisikoposition war – sofern sie überhaupt ermittelt wurde – weit davon entfernt, als bestandsgefährdend eingeschätzt zu werden.

Dies lässt sich gut anhand der Risikoberichterstattung in den Geschäftsberichten zeigen: Über Jahre hinweg veränderten sich die Risikoberichte vieler, auch großer Unternehmen kaum. Nach einer Beschreibung des Risikomanagementsystems folgte eine Beschreibung der Einzelrisiken sowie der jeweiligen Risikosteuerungsmaßnahmen. Den Abschluss bildete die Aussage, dass keine Risiken identifiziert wurden, die den Bestand des Unternehmens gefährdeten. Abgesehen von kleinen Änderungen, häufig hervorgerufen durch Änderungen der rechtlichen Anforderungen und der Prüfungsstandards, konnte bei vielen Unternehmen der (externe) Risikobericht Jahr für Jahr nahezu unverändert übernommen werden.

Diese ruhigen Zeiten sind vorbei: Risiken und Risikomanagement entwickeln sich gerade in vielen Branchen und Unternehmen zu ausgesprochen spannenden und herausfordernden Themen für alle Stakeholder: Investoren, Aufsichtsräte, Unternehmensführung und natürlich GRC-Verantwortliche. Sie alle sind gefordert, sich intensiver mit bestehenden Risiken auseinanderzusetzen und neue Risiken zu erfassen, zu analysieren, zu kommunizieren und letztlich zu steuern.

Auch diese Beobachtung lässt sich anhand der externen Risikoberichterstattung stützen: Nach Jahren nahezu unveränderter Risikoberichte (in den Lageberichten) beginnen sich diese ab Frühjahr 2020, dh kurz nach Auftreten von COVID-19, deutlich zu wandeln. Im ersten Pandemiejahr berichteten einige Unternehmen schon ein eigenes COVID-19-Risiko, andere führten die Pandemie noch unter dem Punkt Ereignisse nach dem Bilanzstichtag an. Im Jahr 2021 fand man in den meisten Geschäftsberichten (für das Jahr 2020) schon eigene Abschnitte über Risiken infolge der COVID-19-Krise. Viele Unternehmen beschrieben die „Auswirkungen der COVID-19-Pandemie auf das Risikomanagement“ oder auf „die Risikolage“, andere ergänzten im Risikobericht „besondere Risiken infolge der COVID-19-Pandemie“.Auch in Bezug auf mit dem Klimawandel verbundene Risiken kann man Veränderungen beobachten. Unter dem Druck neuer Anforderungen an die Nachhaltigkeitsberichterstattung ergänzen die Unternehmen – im Risikobericht und/oder im Nachhaltigkeitsbericht – Informationen über Klimarisiken für das Unternehmen bzw für die Umwelt und Gesellschaft.

Man kann annehmen, dass auch weitere aktuelle, risikobehaftete Entwicklungen, wie beispielsweise Inflation, steigende Energiepreise, Lieferprobleme, oder geopolitische Krisen in der externen Risikoberichterstattung ihren Niederschlag finden werden.

2. Konsequenzen für das Risikomanagement – Risk Management Agenda 2022

Neue und gleichzeitig zunehmende Risiken bewirken aber nicht nur Änderungen in der Berichterstattung. Vielmehr entstehen dadurch auch große Herausforderungen für die finanzielle Steuerung der Unternehmen.In Deutschland ist für börsenotierte Aktiengesellschaften durch die Neufassung des IDW PS 340 die Prüfung des Risikofrüherkennungssystems verpflichtend. Unternehmen müssen daher die Risikotragfähigkeit bestimmen, und ihre Gesamtrisikoposition ermitteln und mit der Risikotragfähigkeit vergleichen, um zu prüfen, ob eine Gefährdung des Fortbestands besteht. Für österreichische Unternehmen besteht hier zwar noch keine Verpflichtung, allerdings sind Überlegungen zu Risikotragfähigkeit und Risikoappetit angesichts steigender Risikopositionen auch für Unternehmen mit traditionell guter Bonität relevanter denn je. Bei – aufgrund schlagend gewordener Risiken – sinkenden Unternehmensergebnissen und gleichzeitig wachsenden Risikopositionen geraten Unternehmen vielfach näher an die Grenzen ihrer Risikotragfähigkeit bzw an die Grenzen zur Bestandsgefährdung.

Die finanzielle Steuerung erfordert daher Instrumente, die es erlauben, den Abstand zur Bestandsgefährdung zu messen, um notfalls (dh wenn dieser Abstand zu gering wird) rechtzeitig Maßnahmen zur Gegensteuerung durchzuführen. Unternehmen sind daher gefordert, ihre Risikotragfähigkeit zu ermitteln (und ergänzend auch ihren Risikoappetit zu definieren) und zu quantifizieren. Gleichzeitig sind Systeme zu implementieren, die laufend – für das bestehende Risikoportfolio – die Gesamtrisikoposition ermitteln und mit Risikoappetit und -tragfähigkeit vergleichen.

Der Betrachtungszeitraum kann dabei nicht nur (wie in vielen Unternehmen im Risikomanagement üblich) kurzfristig sein, sondern sollte dabei dem Planungszeitraum (der Strategie bzw der Mittelfristplanung) entsprechen.Darüber hinaus müssen bei wesentlichen unternehmerischen Entscheidungen deren Chancen und Risiken identifiziert, bewertet und aggregiert werden, um eine zukünftige Bestandsgefährdung rechtzeitig zu erkennen (entscheidungsorientiertes Risikomanagement).

Betrachtet man die Ausgangssituation in vielen Unternehmen, wo Enterprise Risk Management häufig noch als „notwendige Disziplin“ gesehen wird, in dessen Mittelpunkt die Verwaltung einer Liste von (bekannten) Risiken steht, die qualitativ bewertet und mittels Risk Map an Vorstand und Aufsichtsrat berichtet werden, so ergibt sich eine sehr umfangreiche Agenda für die Weiterentwicklung des Risikomanagement-Instrumentariums:

  • Aufbau Strategisches Risikomanagement: Ausdehnung des Betrachtungszeitraums der Risikomanagementsysteme (von eher kurzfristig zu langfristig/strategisch), um Früherkennung und rechtzeitige Risikosteuerung zu ermöglichen.
  • Neue Risiken/Integration von Silos: Identifikation und Analyse neuer Risiken (inkl Cyber-Risiken, Nachhaltigkeitsrisiken, geopolitische Risiken uvm) bzw Integration/Gestaltung der Schnittstellen bestehender spezifischer Risikomanagement-Systeme in das ERM (bspw IT-Risikomanagement, Compliance-Management, IKS) als Voraussetzung zur Ermittlung einer Gesamtrisikoposition.
  • Quantifizierung: Systematische Quantifizierung der identifizierten Einzelrisiken.
  • Aufbau Risikoaggregation: Systematische Aggregation aller Einzelrisiken mit Hilfe von Simulationsmethoden.
  • Risikotragfähigkeit: Bestimmung und Messung der Risikotragfähigkeit.
  • Risikoappetit: Festlegung des Risikoappetits (abgeleitet aus der Unternehmensstrategie sowie der Risikotragfähigkeit des Unternehmens).
  • Entscheidungsorientiertes Risikomanagement: Systematische Analyse der Risiken wesentlicher unternehmerischer Entscheidungen – Einbindung von Risikomanagement in Entscheidungsprozesse.
  • Steuerung der Risikoposition: Vergleich von Risikotragfähigkeit, Risikoappetit und Gesamtrisikoposition (laufend und im Anlassfalle, dh bei wesentlichen unternehmerischen Entscheidungen).
  • Gestaltung der Risikosteuerungsprozesse: Einrichtung von unternehmensweit abgestimmten Risikosteuerungs- und -überwachungsprozessen bzw -gremien (bspw Risikokomitees), Digitalisierung der Risikomanagementprozesse und –systeme.
  • Neugestaltung des Risikoberichtswesens und der Entscheidungsvorlagen: Nachvollziehbare, verständliche Kommunikation neuer, vielfach komplexer Einzelrisiken sowie der Ergebnisse der Risikoaggregation inkl Vergleich mit Risikoappetit und -tragfähigkeit; Festlegung der Inhalte von Entscheidungsvorlagen für unternehmerische Entscheidungen.

Ergänzend gibt es in vielen Unternehmen sicher noch weitere Punkte, die erforderlich sind, um Risikomanagement zu einem wirksamen Steuerungssystem weiterzuentwickeln, beispielsweise die Digitalisierung der GRC-Prozesse oder die Optimierung des Zusammenspiels zwischen Risikomanagement und Krisenmanagement.

3. Herausforderung für Risikomanager:innen

Viele Risikomanager:innen werden angesichts der oben dargestellten Agenda zwar inhaltlich zustimmen, angesichts ihrer Ausgangssituation aber sehr große Herausforderungen bei der Umsetzung sehen. Dies liegt vor allem daran, dass Risikomanagement-Organisationen – mit Ausnahme des Finanzsektors – mit großen Ressourcenengpässen konfrontiert sind. Geprägt durch die wenig dynamische Risikosituation der Vergangenheit und die compliance-orientierte Betrachtung des Risikomanagements gehen viele Unternehmen nach wie vor davon aus, dass Risikomanagement nicht sehr hohen Ressourcenbedarf hat, dh dass Risikomanagement vom Controlling (oder von anderen Bereichen) „nebenbei miterledigt“ wird. Es fehlen oft „echte“, vorstands- bzw geschäftsführungsnah angesiedelte Risikomanagementpositionen mit ausreichend Kapazität für den Betrieb und die systematische Weiterentwicklung der Risikomanagementsysteme. Und wenn Risikomanagement in den Unternehmen nicht gut positioniert ist (und als Nebentätigkeit anderer Bereiche gesehen wird), ist es auch schwierig, gut ausgebildete Risikomanager mit den erforderlichen fachlichen und auch persönlichen Kompetenzen für das Risikomanagement zu gewinnen. Die oben beschriebene Weiterentwicklung ist aber ohne ein ausgeprägtes Verständnis des Unternehmens und des Geschäftsmodells, umfangreiche fachliche und persönliche Skills sowie ausreichend Kapazität nicht möglich. Das ist ein Teufelskreis, der nicht vom Risikomanagement allein, sondern nur mit Unterstützung der Unternehmensführung durchbrochen werden kann.

Das Bild der Risikomanager muss sich – angesichts neuer, steigender Risiken – verändern, nicht nur aus dem Blickwinkel der Risikomanager selbst, sondern auch aus Sicht der Unternehmensführung, dh der Vorstände und der Aufsichtsräte. Gefragt ist eine Neupositionierung der Risikomanager als „Chief Risk Officer“, eine Entwicklung von einer Support- hin zur Experten- und Management-Funktion, die wichtige Impulse für die finanzielle Steuerung des Unternehmens setzen und unternehmerische Entscheidungen wesentlich mitgestalten kann.

Die Unternehmensführung ist gefordert, das Risikomanagement im Unternehmen entsprechend zu positionieren, um diese Rolle auch zuzulassen, und eine offene, interaktive Auseinandersetzung über die Risikosituation des Unternehmens zu ermöglichen.


Literatur

Gleißner/Wolfrum, Risikotragfähigkeit, Risikotoleranz, Risikoappetit und Risikodeckungspotenzial;

in Controller Magazin 6/2017 S. 77-84.


Weiterbildungstipp:

Certified Corporate Risk Manager:in

5. GRC-Jahrestagung

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlassen Sie uns Ihren Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert