Reifegrade im Chancen- und Risikomanagement

Risikomanagementsysteme haben sich als Bestandteil der Corporate Governance in österreichischen Unternehmen etabliert. Das Bedürfnis, Kenntnis bestehender Risiken zu erlangen um diese zu bewerten ist immanent, Aufsichtsgremien signalisieren großes Interesse an den Resultaten und an den abgeleiteten Maßnahmen. Die Reifegrade der bestehenden Risikomanagementsysteme variieren im österreichischen Vergleich stark und in zahlreichen Unternehmen werden sowohl Fragen nach der Weiterentwicklung der Risikomanagementsysteme als auch nach der Steuerungsrelevanz der Ergebnisse gestellt.

Steuerungsrelevanz als Motor für Weiterentwicklung

Risikomanagementsysteme haben sich in österreichischen Unternehmen etabliert, bedingt durch regulatorische Impulse wie URÄG, den Österreichischen Corporate Governance Kodex oder den Public Corporate Governance Kodex sowie durch teilweise turbulente Marktumfeldentwicklungen in den letzten Jahren. Insbesondere geopolitische und regulatorische Risiken sind in den letzten Jahren wieder verstärkt in den Fokus gerückt und beschäftigen Risikomanager und Entscheidungsträger. Analog zu heterogenen Unternehmensgrößen, -strukturen und Risikoprofilen divergieren auch die Ausgestaltungsformen und Reifegrade der Chancen- und Risikomanagementsysteme in österreichischen Unternehmen.

In Hinblick auf den Reifegrad von Risikomanagementsystemen wollen wir im Folgenden vom Ziel der Steuerungsrelevanz als Motor der Weiterentwicklung des Risikomanagements ausgehen, wie in der folgenden Abbildung skizziert.

 

Mittels der Analyse diverser Dimensionen in der Chancen- und Risikomanagementausgestaltung und deren Ausprägungen im Ist- Zustand eines Chancen- und Risikomanagementsystems können Aussagen über den jeweiligen Reifegrad der Dimensionen und des Gesamtsystems abgeleitet werden.

Abb. 2: Dimensionen in der Ausgestaltung von Chancen- und Risikomanagementsystemen

Die Dimensionen sind je nach Reifegrad des Chancen- und Risikomanagementsystems unterschiedlich ausgeprägt, im Folgenden sollen verschiedene Stadien im Entwicklungsprozess beispielhaft beschrieben werden, um das Zusammenspiel der Ausgestaltungsdimensionen aufzuzeigen. Basierend auf der Analyse dieser Dimensionen können Weiterentwicklungspotentiale abgeleitet werden und Ziele für Entwicklungsschritte definiert werden.

 

Compliance als Ausgangspunkt

Jene Risikomanagementsysteme, die in erster Linie durch die Gesetzgebung getrieben sind und deren oberste Prämisse die Compliance mit den bestehenden regulatorischen Vorgaben ist, konzentrieren sich auf die Aufgaben der Risikoidentifikation sowie auf die Berichterstattung der identifizierten Risiken. In den Anfangsstadien werden wesentliche, bekannte Risiken beschrieben und berichtet um Reporting-Verpflichtungen nachzukommen. Chancen werden in dieser Phase meist nicht erfasst. In einem ersten Entwicklungsschritt des Risikomanagements werden darüber hinaus alle bestehenden Prozesse des Unternehmens einer Risikobetrachtung unterzogen und die Risikoidentifikation holistisch für das gesamte Unternehmen durchgeführt. Die Risiken werden mehrheitlich in qualitativer Weise bewertet, in Bereichen in denen relevante quantitative Daten vorliegen werden auch quantitative Bewertungen (in Form eines zugeordneten Schadenswertes) durchgeführt. Die Perspektive dieser Risikomanagementsysteme ist historisch: Basierend auf Daten der Vergangenheit bzw. auf bestehenden Unsicherheiten werden Risiken benannt und bewertet. Das Ziel des entsprechenden Risikoreportings ist einerseits den Entscheidungsträgern Informationen zu wesentlichen Risiken zur Verfügung zu stellen und andererseits die Erfüllung von Compliance Vorgaben. Eine darüber hinaus gehende Risikostrategie ist nicht definiert, eine spezifische Risikomanagement-Organisation besteht zumeist nicht, die Aufgaben im Risikomanagement werden oft von anderen Unternehmensbereichen (z. B. Controlling, Interner Revision) betreut.

 

Quantifizierung und Mitigation von Risiken als zentrale Entwicklungsfaktoren

In einer nächsten Entwicklungsstufe wird erkannt, dass die Bewertungslogiken, die hinter den berichteten Risiken stehen, innerhalb des Unternehmens divergieren und zu verzerrten Risikoinformationen führen. Es werden einheitliche Bewertungslogiken implementiert, zumeist werden Eintrittswahrscheinlichkeit und Schadensausmaß als Maßstab vorgegeben, Verteilungslogiken werden angewandt. Die angewandten Darstellungsformen der Risikoinformationen folgen dem Bestreben Übersicht zu schaffen, beispielsweise in Form von Risk Maps. In dieser Entwicklungsstufe etablieren sich auch Maßnahmendefinitionen und abgeleitete Risikomitigationspläne auf Einzelrisikobasis. Der Risikomanagementprozess gewinnt an Struktur (z.B. Verantwortlichkeiten, zyklische Updates) und Risikobewertungen werden einem strukturierten Monitoring zugeführt, um die Einheitlichkeit der gesammelten Daten zu unterstützen sowie um die Berichterstattung zu erstellen. Im Rahmen der Definition von Maßnahmen zur Risikomitigation wird eine neue Perspektive eingenommen: Im Fokus stehen neben der Berichterstattung und der Compliance nun auch eine nachhaltige Risikoanalyse um risikomitigierende Maßnahmen abzuleiten und um diese umzusetzen. Das Ziel ist nun die identifizierten Risiken im Detail zu verstehen und die Performance im Bereich der Risikomitigation zu erhöhen.

Zentrale Fragestellungen von Unternehmen in denen ein entsprechender Reifegrad des Risikomanagements ausgeprägt ist, stellen Kosten-Nutzen Überlegungen im Hinblick auf risikomitigierende Maßnahmen dar. Es liegt nun eine Menge an Daten vor, der Risikomanagementprozess ist etabliert, zu bestehenden Risiken werden Maßnahmen und entsprechende Verantwortlichkeiten zugeordnet. Die Maßnahmen zur Risikomitigation, die definiert wurden gilt es natürlich umsetzen, ein Schritt der mit entsprechenden Kosten verbunden ist. Unternehmen stehen vor der Herausforderung, dass auch die Wirkung der Maßnahmen gemessen werden soll um einerseits den Effekt auf die identifizierten Risiken zu bewerten und andererseits um valide Entscheidungsgrundlagen dafür zu erhalten, mit welchem Kosteneinsatz die angestrebte Risikomitigation erreicht werden kann.

 

Integration von Steuerung, Planung und Risikomanagement als Ziel

Die Verknüpfung von Risikomanagement und Steuerungsinstrumentarien ist der nächste logische Schritt in der Weiterentwicklung von Risikomanagementsystemen. Zunächst werden die Risikobewertungen an eine operative Zielgröße im Unternehmen geknüpft. Quantitative Risikobewertungen werden nun nicht mehr als betragliche Absolutgrößen dargestellt, sondern sind als Abweichung zu jenen Zielgrößen definiert. Dadurch wird auch eine Definition von Bandbreiten für Risikozielwerte ermöglicht, deren Szenarien einen darstellbaren Effekt auf die Gesamtunternehmensperformance haben. Weitere Schritte zur Ermittlung einer Gesamtrisikoposition werden gesetzt. In dieser Entwicklungsstufe werden häufig die Themen des workflowbasierten Risikomanagementprozesses, zu Grunde liegende Software-Lösungen und Ressourcenausstattung in der Risikomanagement-Organisation vorangetrieben und methodisches Know-How zu ausgereiften Quantifizierungs- und Aggregationsmethoden aufgebaut. Chancenmanagement wird in dieser Phase in den Risikomanagementprozess einbezogen.

Den nächsten wesentlichen Entwicklungsschritt stellen die strategische Ausrichtung des Risikomanagements und die Integration von Chancen- und Risikomanagement und strategischer Planung und Steuerung eines Unternehmens dar. Die ex-post Betrachtung von Risiken wird ergänzt durch die zukunftsgerichtete Analyse von Chancen und Risiken die auch der strategischen Unternehmenssteuerung als Basis dienen sollen. Merkmale dieser Ausprägungsstufe sind hier die Quantifizierung von Risiken basierend auf operativen sowie strategischen Zielgrößen sowie die Aggregation jener Risiken mittels Simulation und eine Bandbreitenanalyse auf Basis der Zielgrößen. Die Risikoeinflüsse auf Planung, Forecasts und Ergebnis werden dargestellt und dienen der Unternehmenssteuerung. Organisatorisch werden die Informationen aus dem Chancen- und Risikomanagement in die strategische Planung einbezogen und Risikomanager als Beratungsinstanz für wesentliche Entscheidungsprozesse angesehen.

 

Potentiale und Herausforderungen im Entwicklungsprozess

In der österreichischen Unternehmenspraxis bewegen sich die Risikomanagementsysteme aktuell in einer Phase des Umbruches. Die regulatorischen Anforderungen werden weitgehend erfüllt, im Bereich der Risikoidentifikation und Bewertung liegen in den Unternehmen Erfahrungswerte vor, die Methoden und Prozesse wurden an die Bedürfnisse der Organisation angepasst und werden von den Stakeholdern im Risikomanagementprozess gelebt. In vielen Bereichen wurden risikomitigierende Maßnahmen umgesetzt und Handlungsstrategien zur proaktiven Steuerung von Risiken definiert. In einigen Unternehmen sind Risikomanagement und Steuerung bereits verzahnt.

Zugleich werden in den Unternehmen Herausforderungen erkannt die mit ihren Risikomanagementsystemen in Verbindung stehen. Mehrere Prozesse im Unternehmen beschäftigen sich mit Risikoidentifikation und -bewertung, je nach Sichtweise und thematischem Hintergrund werden Risiken differenziert betrachtet und priorisiert, den Entscheidungs- und Aufsichtsgremien werden von verschiedenen Seiten abweichende Risikobilder kommuniziert. Ein weiterer Effekt daraus kann eine gewisse „Risiko-Müdigkeit“ sein, die in einem Worst-Case-Szenario dazu führt, dass risikorelevanten Abfragen eine geringere Relevanz zugeordnet wird und der Risikomanagementprozess unter dem Schwund seines wichtigsten Assets leidet: Information.

Auch methodische Kompetenzen der Stakeholder im Risikomanagementprozess können zur Herausforderung werden, für Aggregation und Simulation wird entsprechendes Know-How benötigt um relevante Ergebnisse berichten zu können.  Besonders häufig wird auch die Fragestellung nach der Zielrichtung des Risikomanagements diskutiert, eine ex-post Chancen- und Risikoanalyse von bereits getroffenen strategischen Entscheidungen wird in Frage gestellt und Input ex-ante als Basis für den strategischen Entwicklungsprozess gefordert.

Es besteht also einerseits der Wunsch nach Steuerungsrelevanz im Risikomanagement, andererseits werden Ressourcenallokation, Methodik und Detailtiefe oftmals kontrovers diskutiert.

 

Wie reif ist Ihr Risikomanagement?

Diese Herausforderungen und die damit verbundenen Überlegungen und Anknüpfungspunkte gilt es zu interpretieren und die Fragestellung nach dem aktuellen und dem angestrebten Reifegrad des Risikomanagements eines Unternehmens eingehend zu beantworten. Nur ein zukunftsorientiertes, der Organisation angemessenes und an den definierten Zielen ausgerichtetes Risikomanagement kann die Planung und Steuerung eines Unternehmens nachhaltig unterstützen.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.