Blog Post

Der Risk Blog 

Erfolgreiches Risikomanagement: Auf drei Faktoren kommt es an

  • von Dr. Stefan Otremba
  • 29 Apr., 2019

Auch in einer immer komplexeren Welt können Unternehmen ihre Risiken im Griff behalten.

Wie kaum eine andere entwickelte Industrienation hat Deutschland die Chancen der Globalisierung für sich genutzt. Allerdings: In dem Maße, in dem die Wirtschaft globaler und schneller wurde, stiegen auch ihre Abhängigkeiten – und damit die Anzahl der Risiken, die Unternehmen erheblich beeinträchtigen können.

Umso wichtiger ist die Schaffung einer starken Corporate Governance allgemein und des Risikomanagements im Besonderen. Denn nur so können Unternehmen rechtliche, finanzielle und Reputationsrisiken wirksam vermeiden – ohne an Agilität, Geschwindigkeit und Effizienz zu verlieren.

In den letzten Jahren gab es nur eine Richtung für Deutschlands Unternehmen: auf, in die Welt. Deutsche Unternehmen profitierten von schwindenden steuer- und zollrechtlichen Grenzen, Güter und Dienstleistungen konnten frei gehandelt werden. Hinzutraten disruptive Entwicklungen sowie der digitale Fortschritt, was die Kommunikation und den schnellen Austausch von Informationen vereinfachte.

Doch in gleichem Tempo, stiegen die Risiken, welchen Unternehmen in einer globalisierten Welt ausgesetzt sind. Komplexere Lieferketten und eine exponentielle Zunahme an Zulieferern steigern die Abhängigkeiten und vervielfältigen die damit verbundenen Risiken. Auch das World Economics Forum (WEF) warnt in seinem aktuellen Risikobericht vor neuen Gefahren in einer risikoreicheren Welt. Die wohl aktuell größte sieht der Report in den noch immer wachsenden geopolitischen und geoökonomischen Spannungen zwischen den Weltmächten.

Wurde der freie Warenhandel lange Zeit als „Friedensstifter“ zwischen den Nationen betrachtet, ist er durch den grassierenden Nationalismus zu einem Werkzeug geopolitischer Interessen geworden. Standen früher die Suche nach „Win-Win-Situationen“ oder “Wandel durch Handel“ im Mittelpunkt des Interesses der meisten Mitglieder der Staatengemeinschaft, scheint dies zumindest teilweise unilateralen Interessen gewichen zu sein.

Kultur als entscheidender Faktor im Umgang mit Risiken

Dass sich Unternehmen zukünftig verstärkt mit der rasanten Entwicklung von Unsicherheiten beschäftigen müssen, reflektiert auch die Herausbildung neuer beziehungsweise die Novellierung bestehender Standards (COSO II, ISO 31000, IDW PS 981, IDW PS 340) für das Risikomanagement.

Wichtig ist hierbei zu betonen, dass es beim Risikomanagement von Unternehmen nicht darum gehen kann, alle Risiken zu vermeiden. Dies würde einem gesunden Geschäftsverständnis widersprechen. Vielmehr muss es darum gehen, Risiken eingehen zu können – aber auf verantwortliche Art und Weise und in Kenntnis der Chancen und Gefahren.

Für ein erfolgreiches Risikomanagement sollten Unternehmen insbesondere drei Erfolgsfaktoren in den Fokus nehmen: Integration, Risikokultur, Digitalisierung

Integration bedeutet die ganzheitliche Betrachtung der Corporate Governance (Risikomanagement, IKS, Compliance, Revision) durch integrierte Methoden, Systeme und Prozesse zur Erzielung von Kostenvorteilen und vollständiger Transparenz. Aber auch die Einbindung des Risikomanagements in die Unternehmensplanung und die operativen und strategischen Entscheidungsfindungsprozesse ist ein wichtiger Aspekt bei der Integration.

Zum einen geht es darum, das Risikomanagement eng mit Controlling und Unternehmensplanung zu verzahnen. Dies ist schon deshalb sinnvoll, weil beide Funktionen im Unternehmen letztlich dieselbe Aufgabe haben: die zukunftsorientierte Beratung des Managements auf der Grundlage ausgewogener Informationen. Von der Risikoidentifikation über die Risikobewertung bis hin zur Risikoberichterstattung – der unternehmerische Steuerungsprozess bietet eine Vielzahl von Möglichkeiten der Integration von Risikomanagement und Controlling. Möglichkeiten, welche die Transparenz über die Zukunftsfähigkeit eines Unternehmens erhöhen und die Qualität der Entscheidungsfindung steigern.

Integrierte Risikomanagementsysteme sollten, zweitens, eng mit anderen Governance-Funktionen im Unternehmen verzahnt werden. Die ganzheitliche Betrachtung der Corporate Governance (Risikomanagement, IKS, Compliance, Revision) durch integrierte Methoden, Systeme und Prozesse ermöglicht Kostenvorteile in der Generierung von Informationen und steigert die Transparenz.

Drittens ist das Risikomanagement dann integriert, wenn die Risikomanagementfunktion eng in operative und strategische Entscheidungsfindungsprozesse eingebunden ist. Was zunächst selbstverständlich klingt, ist in vielen Unternehmen nach wie vor nicht gelebte Praxis. Vor wichtigen Entscheidungen – beispielsweise der Akquisition von Unternehmen, dem Eintritt in neue Märkte oder dem Launch neuer Produktlinien – die Bewertung des Risikomanagements einzubeziehen, ist dabei nicht nur ökonomisch sinnvoll, sondern auch regulatorisch erforderlich, um den Anforderungen der Business Judgement Rule zu genügen.

Risikokultur muss als der entscheidende Faktor im Umgang, aber auch bei der Wahrnehmung von neuen Risiken in Unternehmen erkannt und etabliert werden.

Eine Risikokultur ist zunächst dann angemessen, wenn sie dazu beiträgt, die risikopolitischen Grundsätze eines Unternehmens in der Praxis mit Leben zu erfüllen. Jedoch kann eine zu stark ausgeprägte interne Regulierung negative Begleitphänomene bewirken, die Innovationskraft hemmen und die Agilität schwächen. Dies kann leistungsbereite Mitarbeiter, für die individuelle Freiräume wichtig sind, abschrecken und ein Unternehmen im „war for talents“ benachteiligen.

Eine „gute“ Risikokultur muss also mehr können. Sie muss ein risikoorientiertes Denken im Unternehmen fördern, das die Wahrnehmung von Chancen ermöglicht ohne dabei unvertretbare Risiken einzugehen. Es geht also nicht darum, Risiken grundsätzlich zu vermeiden, sondern Risiken bewusst und gezielt einzugehen, aber eben auf verantwortliche Weise.

Häufig wird die Risikokultur in Unternehmen nicht aktiv gestaltet. Sie wird als gegeben hingenommen. So komplex eine Risikokultur aber auch sein mag, ihre Ursache- und Wirkungszusammenhänge lassen sich analysieren und gezielt gestalten.

Digitalisierung sollte genutzt werden, um Struktur und Kontrolle in komplexe Beziehungen zu bringen.

Die Digitalisierung des Risikomanagements beginnt bei der Risikoidentifikation, die mithilfe von Automatisierungstechniken auf einer breiten Datenbasis aufsetzt und systematische Massendatenanalysen nach für ein Unternehmen relevanten Entwicklungen ermöglicht. Analysen, die den Menschen nicht ersetzen, wohl aber in der Durchführung repetitiver Aufgaben entlasten und dadurch sinnvoll ergänzen können.

Digitalisierung des Risikomanagements bedeutet auch, identifizierte Risiken mittels interner und externer Informationsquellen in Echtzeit zu überwachen, die Effektivität ergriffener Maßnahmen kontinuierlich zu bewerten und damit die Voraussetzung für ein Risikomanagement zu schaffen, das jederzeit aussagefähig ist zur Erreichbarkeit vereinbarter Unternehmensziele.

Und schließlich werden die digitalen Möglichkeiten des Risikomanagements dann genutzt, wenn es gelingt, die sich aus vielfältigen Quellen ergebenden, häufig in finanzmathematischen Kenngrößen ausgedrückten Risiko-Kennzahlen in der Risikoberichterstattung so zu veranschaulichen, das sie als verständlich empfunden, mittels Drilldown-Effekten gezielt vertieft und in die Entscheidungsfindung durch das Management einbezogen werden.

Denn nur so wird eine grundlegende Faktenbasis geschaffen, um Entscheidungsprozess zu verbessern und Effizienzgewinne im Risikomanagement zu erzielen, die ein Unternehmen auch insgesamt profitabler machen.

Ein gut gemachtes Risikomanagement ist in der Lage, die Erfüllung regulatorischer Anforderungen mit Leistungsorientierung in Einklang zu bringen. Wenn dies gelingt, dann trägt die Risikomanagementfunktion im Unternehmen auch zur langfristigen Wertschöpfungsfähigkeit bei.

von Stefan Otremba 25 Okt., 2020

“Food for Thought” im Rahmen der semi-virtuellen Auftaktveranstaltung der DNWE-Jahrestagung 2020 zum Thema “Integrität und Compliance in der Krise – oder: Warum Wirtschaftsethik gerade jetzt gebraucht wird”

Im vorliegenden Beitrag (Video: https://www.youtube.com/watch?v=7AfP9BNCDsM&feature=emb_logo ) beschäftige ich mich mit der Frage, wie Compliance und Risikomanagement – die zwei tragenden Säulen der regulatorischen Corporate Governance – in der aktuellen Situation gefordert, wie sie durch diese beeinflusst sind und wie sie dazu beitragen können, diese Situation, nennen wir sie Krise, zu bewältigen. Im Folgenden werde ich mich diesen Fragen in drei Schritten zuwenden. Zunächst werde ich Ihnen aufzeigen, was ich annehme, wenn ich von einer sogenannten “Krise” spreche. Anschließend werde ich Ihnen darlegen, welche Auswirkungen diese Krise für die Unternehmen hat, um abschließend den Versuch zu unternehmen, einen Ausblick zu wagen, was die Corporate Governance Funktionen im Allgemeinen und Compliance und Risikomanagement im Besonderen tun müssen, um diesen Herausforderungen zu begegnen.

 

Was verstehe ich unter „Krise“?

Die Psychologie definiert eine Krise als einen durch ein überraschendes Ereignis oder akutes Geschehen hervorgerufenen schmerzhaften seelischen Zustand, der entsteht, wenn sich eine Person Hindernissen bei der Alltagsbewältigung gegenübersieht und diese nicht mit den gewohnten Problemlösungsmethoden bewältigen kann.

Übertragen auf unsere Gesellschaft werden Sie unweigerlich an COVID-19 denken, die pandemische Krise, die unsere Gesellschaft seit Monaten in Atem hält. Das ist nicht falsch – aber auch nicht ganz richtig. Es ist nicht COVID-19 alleine, welche die Omnipräsenz des Begriffes “Krise” erklärt. Vielmehr handelt es sich um ein multiples Krisengeschehen, das erst durch das wechselseitige Zusammenwirken einer Reihe krisenähnlicher Entwicklungen seine volle Wirkung entfaltet: Erst das kombinierte Auftreten der durch die Pandemie ausgelösten und noch nicht bewältigten Krisen, beispielsweise der noch nicht einmal im Ansatz bewältigten Klimakrise, der ebenfalls noch nicht gelösten sogenannten Flüchtlingskrise, sowie durch die jüngsten Skandale in einzelnen Wirtschaftsunternehmen und deren Aufsichtsbehörden ausgelösten Vertrauenskrise in ökonomische und staatliche Institutionen. Diese Krisen führen zu einem Zustand, den viele als Verlust der Kontrolle, als Verlust der Perspektive und schließlich als Überforderung empfinden und die durch einen versäumten Strukturwandel in ganzen Branchen und Regionen ausgelöste tiefergehende ökonomische Krise.

Hinzu kommt ein weiterer wichtiger Punkt: Es sind nicht die soeben beschriebenen Krisen und deren Symptome allein, die uns umtreiben. Es ist die Dissonanz zwischen unseren Überzeugungen hinsichtlich notwendiger Maßnahmen zur Bewältigung der unterschiedlichen Krisen einerseits und unserem tatsächliche Verhalten andererseits – soziologisch formuliert: eine kollektive kognitive Dissonanz  – die unsere Gesellschaft im Jahr 2020 prägt – und ich denke, besonders deutlich wird dies an unserem Umgang mit Flüchtlingen, an unserem Umgang mit dem Klima, und es wäre ein leichtes weitere Beispiele hierfür zu finden.

Mit anderen Worten: Wenn ich von den Auswirkungen der “Krise” auf die Corporate Governance spreche, dann meine ich dieses multiple Krisengeschehen und unsere verbale Aufgeschlossenheit bei gleichzeitiger Verhaltensstarre , die unsere Gesellschaft an sich und die Unternehmen als wichtige gesellschaftliche Akteure herausfordern.

 

Welche Auswirkungen hat die Gemengelage für Unternehmen und deren Governance?

Auf einer gesamtgesellschaftlichen Ebene beobachte ich eine deutlich gewachsene Bedeutung des Staates – und zwar in zweierlei Hinsicht:

Zum einen als normgebenden Akteur bei der Bewältigung des multiplen Krisengeschehens und als Orientierungsstifter in unsicheren Zeiten. Mit anderen Worten: Die Komplexität unserer Welt im Jahr 2020 führt zu einem Mehr an institutioneller Gestaltung. Zum zweiten verstärkt der Staat seine Rolle als wirtschaftlicher Akteur, indem er durch arbeitsmarktpolitische Maßnahmen (Kurzarbeitergeld), durch wirtschafts- und geldpolitische Maßnahmen über die Zentralbanken (“deficit spending”) die konjunkturellen Auswirkungen abzufedern versucht – mit allen fiskalpolitischen Konsequenzen für die kommenden Jahre und Jahrzehnte.

Auf der Ebene des einzelnen Unternehmens beobachte ich – je nach Branchenzugehörigkeit und Geschäftsmodell – vier Entwicklungen:

Zum einen zum Teil heftige Umsatz- und Gewinneinbrüche, insbesondere als Folge von COVID-19, aber auch bedingt durch eine Beschleunigung des Strukturwandels in zahlreichen Branchen. Folglich deutlich erhöhten Kostendruck, insbesondere durch eine Eintrübung der Wirtschaftslage, aber auch durch notwendige Investitionen in die Förderung künftiger Wertschöpfungspotenziale – von der Digitalisierung über notwendige Strukturmaßnahmen bis hin zur Nachhaltigkeit. Des Weiteren ein Mehr an Anforderungen durch eine Vielzahl an Stakeholdern, hier vor allem in den Umwelt-, Sozial-, Arbeitnehmer und Governance-Themen und abschließend eine sich immer weiter verschärfende Orientierungslosigkeit zahlreicher Unternehmen beim Finden einer Balance zwischen den zahlreichen sich teils widersprechenden Entwicklungen und beim Umgang mit dem eingangs beschriebenen multiplen Krisengeschehen.

 

Was heißt das nun für die Corporate Governance von Unternehmen?

Zweifelsohne werden die normativen Anforderungen an Unternehmen weiter zunehmen und mit ihnen die Bedeutung von Compliance und Risikomanagement als Gatekeeper einer wirksamen Corporate Governance. Mit dem Sorgfaltspflichtengesetz (“Lieferkettengesetz”) steht ein neues Gesetz vor der Tür – als Folge eines völlig unzureichenden Ergebnisses aus einer Bestandsaufnahme zum Umgang mit menschenrechtlichen Sorgfaltspflichten in der Praxis im Rahmen des NAP. Neben diesem erwartet uns das Verbandssanktionengesetz und mit ihm die erstmalige Einführung eines Unternehmensstrafrecht im deutschen Raum. Glücklich schätzen kann man sich zudem über die EU-Hinweisgeberrichtlinie, die im kommenden Jahr in deutsches Recht umgesetzt wird. Mit ihr wird der Schutz von “Whistleblowern” in Unternehmen deutlich gestärkt. Auch im internationalen Kontext sehen sich Unternehmen mit einer zunehmend volatilen Geopolitik sowie mit der systematischen Verknüpfung von Rechtsverstößen einerseits und deren Zugang zu Produktions- und Absatzmärkten andererseits konfrontiert. In bemerkenswerter Weise auf die Spitze getrieben im chinesischen “Corporate Social Credit System”.

Jedoch gilt es hier nicht allein die regulatorischen Vorgaben zu nennen. Auch und vor allem die durch eine Vielzahl und Vielfalt an Stakeholdern geprägten Anforderungen an Unternehmen setzen die Corporate Governance von Unternehmen unter Druck. Nie zuvor war die Straße so laut in der Artikulation ihrer Ambitionen, so vielschichtig, in der Benennung ihrer Forderungen und so mächtig, in der Beeinflussung der politischen und wirtschaftlichen Agenda! Ich bin der festen Überzeugung, dass die anstehende Bundestagswahl ganz wesentlich von der Klimadebatte geprägt sein wird. Risikomanagement und Compliance werden in dieser Debatte gebraucht. Neben der Funktion des aufmerksamen Beobachters, auch als Berater und nicht zuletzt als Vermittler in einem zunehmend lebhaften Diskurs, der durch die sozialen Medien verstärkt und nicht allein mit Pressemitteilungen geführt wird.

Eng damit verknüpft ist die Rolle von Risikomanagement und Compliance als Schutzfunktion im und für das Unternehmen. Ich bin der Ansicht, dass staatliche Institutionen ihre Möglichkeiten zur Durchsetzung geltenden Rechts künftig stärker ausschöpfen werden – um leere Kassen infolge so mancher Staatsintervention wieder zu füllen, aber auch, um auf offensichtlich gewordene Defizite in der Führung und Überwachung von Unternehmen zu reagieren. Risikomanagement und Compliance sollten diese finanziellen, rechtlichen und Reputationsrisiken abschätzen, ihre Risikoinventare vervollständigen, ihre Risikouniversen neu kalibrieren und Prioritäten überdenken.

Das Ganze erfolgt vor dem Hintergrund eines zunehmenden Kosten- und Wettbewerbsdrucks für nahezu alle Unternehmen. Aus meinen Gesprächen mit zahlreichen Vorständen und Aufsichtsräten kenne ich den Eindruck, dass die CG-Debatte der vergangenen Jahre zwar zu teils riesigen Bereichen geführt hat, ein unmittelbarer Mehrwert für die Entscheidungsträger im Unternehmen aber nicht erkennbar ist. Riskmanagement und Compliance werden künftig noch stärker in Entscheidungsfindungsprozesse eingebunden sein, Lösungen entwickeln und das Management unterstützen müssen, um als Mehrwertstifter im Unternehmen wahrgenommen zu werden. Nur dann wird es ihnen gelingen, in den sich abzeichnenden Einsparrunden in vielen Firmen verschont zu bleiben und in ihrer umfassenden Rolle als Beratungs-, Ordnungs- und Schutzfunktion geschätzt zu werden.

Und schließlich: Je komplexer Unternehmensumfeld und –Umwelt sind, desto bedeutsamer werden die organisationalen Fähigkeiten der Polylingualität und der Transkulturalität für das diskursive Erkennen der Interessen von internen und externen Mitarbeitern, von den Handlungen eines Unternehmens betroffener Personen. Die über ethnische, kulturelle und Generationengrenzen hinweg reichende Anschlussfähigkeit ist eine wesentliche Kompetenz, die in Zukunft immer stärker beeinflussen wird, inwiefern es dem Management eines Unternehmens gelingt, die Ansprüche der Stakeholder zu erkennen und eigene Werte und Ziele so zu kommunizieren, dass sie eine Chance auf Verwirklichung haben.

Dass dies nicht allein mithilfe von Richtlinien und internen Kontrollen erreicht werden kann, dürfte in den meisten Unternehmen mittlerweile angekommen sein. Jedoch fehlt es noch viel zu oft an Mechanismen der Partizipation und der systematischen Rückkopplung, kurzum: an einer von moralischen Anreizstrukturen getragenen und durch Integrität geprägten offenen Kommunikations- und Kooperationskultur. Es ist diese spezifische diskursive, kognitive und empathische Kompetenz – getragen von einem profunden Verständnis zu Ethik, Ökonomik und Recht – die zur Signatur der Corporate Governance in den kommenden Jahren  wird und meiner Überzeugung nach über alle anderen Fragen entscheidet. Charles Darwin hat einmal gesagt:

„Es ist nicht die schnellste Spezies, die überlebt, nicht mal der schlaueste, sondern diejenige, die in der Lage ist, sich am besten auf sich verändernde Umfeldbedingungen anzupassen.“

Was für die natürliche Evolution gilt, das gilt in gewisser Weise auch für Unternehmen. Die CG-Funktionen haben eine wichtige Aufgabe dabei, Unternehmen auf diesem Weg zu unterstützen. Zweifelsohne werden Sie noch stärker Orientierung stiften müssen, wo regulatorische Vorgaben ungenau sind oder fehlen. Sie werden noch stärker Sicherheit geben müssen, wo Informationslagen unvollkommen bleiben und sie werden noch stärker aus ihren jeweiligen Silos herauskommen und stattdessen interagieren müssen. Erst die interdisziplinäre Verknüpfung der CG-Funktionen auf allen Verteidigungslinien wird das volle Potenzial eines resilienten Unternehmens entfalten können. Vor allem aber werden sie daran mitwirken müssen, jenseits aller Regeln und Kontrollen den Werte-Kompass der Mitarbeitenden zu stärken und damit der Integrität in Unternehmen zur Geltung zu verhelfen.


Sie können diesen Beitrag unter dem folgenden Link als Video ansehen:

https://www.youtube.com/watch?v=7AfP9BNCDsM&feature=emb_logo

von Dr. Stefan Otremba 15 März, 2020
Was jetzt getan werden kann, um die Auswirkungen der Corona-Pandemie einzudämmen
von Dr. Stefan Otremba 12 Dez., 2019
Wer sich auf Krisen vorbereitet, hat mehr Raum, Chancen zu ergreifen.
von Dr. Stefan Otremba 26 Juli, 2019
Warum deutsche Maschinen- und Anlagenbauer mögliche Gefahren offener darstellen sollten
von Dr. Stefan Otremba 27 Juni, 2019
Vernetzt statt fragmentiert: Wie IT-Systeme dabei helfen, das Risikomanagement effizient zu gestalten.
Mehr anzeigen
Share by: