Das Titelbild des Risk Management Congress 2021 ziert eine Hand, in der ein Kompass liegt. Ein Bild, das trefflich in unsere Zeit passt. Einer Phase der Orientierungssuche mit einer ganzen Bandbreite potenzieller Risiken – von den Corona-Auswirkungen für Menschen und Unternehmen über Cyber- und Supply-Chain-Risiken bis zum Rating in der Krise. Themen, die im Rahmen des Risk Management Congress am 17. und 18. Mai ausführlich betrachtet wurden. Oder wie es Ralf Kimpel, Vorstandsvorsitzender der RMA, zu Beginn der virtuellen Veranstaltung formulierte: „Wir sind stolz darauf, dass wir mit unserer digitalen Konferenz einen bunten Strauß an Risikomanagementthemen bieten können.“ Hier finden Sie einige ausgewählte Eindrücke.
Dynamik der Veränderung als einzige Konstante
In seiner Keynote: „Unternehmensrisikomanagement auf der grünen Wiese – Praxiserfahrungen aus dem Aufbau eines weltweiten Risikomanagements im globalen Umfeld“ führte Michael Ehrnsperger in die Konferenz ein. Ehrnsperger, Chief Risk Officer Allianz Technology SE, verdeutlichte die Dynamik des Unternehmenswachstums innerhalb der Allianz. Seiner Meinung nach sei die Dynamik der Veränderung die einzige Konstante im Unternehmen. In einem sich permanent verändernden Prozess mit mehr Standorten, Mitarbeiterzahlen und Umsatzsteigerungen braucht es vor allem Kommunikation. Daraus folgert Ehrnsperger: „Risikomanagement ist vor allem Kommunikation.“ Und diese Kommunikation ist unter anderem beim Kulturwandel innerhalb der Organisation wichtig. Der Risikomanager macht es an der Ausgangslage deutlich. So war das Risikomanagement nur rudimentär als Teil der Unternehmenskultur vorhanden. Ehrnsperger: „Kulturell sind wir nicht ausgerichtet auf Risikomanagement. Das liegt nicht in unserer DNA.“ Dass dieser Prozess hin zu einem integrierten Risikomanagement erst entsteht, zeigt sich auch an Sicherheitsmaßnahmen und Kontrollen, die in der Organisationsvergangenheit mehr als administrative Mehrbelastung denn als Mehrwert wahrgenommen wurden. Wichtig sei vor allem die die transparente Sicht auf Risiken und mögliche Kontrollschwächen. Nicht umsonst ist das interne Kontrollsystem mittlerweile Teil des unternehmensweiten Risikomanagements. Unter dem Strich ist ein einheitliches Kulturverständnis im Unternehmen essenziell. Mehr noch versteht Ehrnsperger eine einheitliche Kultur als wichtigen Faktor im Risikomanagementumfeld. Ein Gesamtrisikomanagement bietet hierfür einen stabilen Rahmen, trotz der dynamischen Veränderung.
Klinisches Risikomanagement – Risikowahrnehmung ausbaufähig
Apropos Veränderung. Dr. Reinhard Strametz, Professor an der Hochschule RheinMain, bezog sich im Rahmen seines Vortrags zum klinischen Risikomanagement auf die sich verändernden Rahmenbedingungen durch die Corona-Pandemie. Viele Erkrankte konnten während dieser Zeit nicht behandelt werden, seien es Herzerkrankte, Krebs- oder Schlaganfallpatienten. Der Grund: Es wurde alles auf die Pandemie und die Corona-Patienten ausgerichtet. Ein fataler Schritt. Hier hätte es nach Strametz Ansicht klare Strukturen gebraucht, um die Menschen über die Pandemie hinaus weiterhin zu behandeln, Vertrauen gegenüber den Patienten aufzubauen oder zurückzugewinnen. Das wiederum macht eine strukturierte Kommunikation als relevanter Teil der Risikostrategie im Gesamtrisikomanagement unabdingbar. Eine Ansicht, die sich mit der des Allianz-Managers Ehrnsperger deckt. Strametz: „Wir brauchen ein entschlossenes Krisenmanagement.“ Er nennt es „vor die Lage kommen“. Im Grunde geht es darum, offen mit den Menschen zu sprechen. Denn dann nehmen die Menschen die transparent formulierten Informationen auch dankend an. Gleichzeitig bedeute seiner Meinung nach der Digitalisierungsschub ein Ausdruck gravierender Infrastrukturdefizite. „Es kann nicht sein, dass wir versuchen, eine Pandemie mit Papier, Stift und Fax zu bewältigen“, unterstreicht Strametz und fügt an, dass eine nachhaltigere Krisenkommunikation notwendig sei. Gleiches zählt auch für den Ausbau des Kontinuitätsmanagements. Unter dem Strich ist die Risikowahrnehmung in allen Bereichen des Gesundheitsmanagements ausbaufähig, denn die Entscheidungsschwäche gefährdet den medizinischen Erfolg. Ein klarer Fingerzeig Richtung politisch Verantwortlicher, die globale Regeln aufsetzen – umgesetzt auf Länderebene in unterschiedlichen Ausprägungen, Regelwerken sowie Ge- und Verboten.
Der rasante Unternehmensaufstieg von BioNTech
Von null auf 100. So könnte man den rasanten Aufstieg des Unternehmens BioNTech beschreiben. Was wie ein Unternehmensmärchen klingt, ist für das Schritt halten des Unternehmensrisikomanagements nicht immer einfach. Denn vor 2019 arbeitete BioNTech noch unter dem Radar des Risikomanagements. Das änderte sich mit dem Börsengang im Oktober 2019. Plötzlich standen Fragen nach der Transparenz im Mittelpunkt. „Wir lagen plötzlich auf dem Silbertablett“, beschreibt Nina Huss von BioNTech diese Zeit. Denn mit dem steigenden Bekanntheitsgrad des Unternehmens stiegen auch Begehrlichkeiten, wie beispielsweise die Gefahr durch Cyberangriffe. „Ein herausforderndes Jahr“ nennt Huss die Phase und skizziert sie gleichsam als „Pfadfinderaktivitäten“. Damit meint sie die Findungsphase und das Herantasten an das Risiko- sowie Chancenmanagement. Huss: „Wir wollten ein Risikomanagementtool implementieren, das zu BioNTech passt.“ In diesem Zuge suchte das Unternehmen eine Softwarelösung, die der Organisation die notwendige Flexibilität im täglichen Arbeiten bot. Im Kern geht es dem Unternehmen beim Risikomanagement nicht um theoretische Ausfertigungen, sondern einen greifbaren Praxisbezug für die Unternehmensleitung herzustellen. Und das alles vor dem Hintergrund, dass BioNTech kein herkömmliches Unternehmen ist. Ein weiterer wichtiger Aspekt stand unter dem Motto, die Gesamtrisikosituation sinnvoll zu quantifizieren und Szenario-basierte Modellierungen zu ermöglichen. Nach den Worten von Huss gehe es nun vor allem darum, mit Mut die Dinge weiter anzupacken. Und dazu gehört vor allem die langfristige Planungsfähigkeit zu erhöhen – flankiert von einem professionellen und zukunftsweisenden Gesamtrisikomanagement. „Denn das Unternehmen wird erwachsener und wir wollen weiterhin großes erreichen“, wie es Nina Huss resümiert.
Krisen sind der Einschlag von bereits vorher bekannten Risiken …
Auf diese einfache Aussage brachte es zu Beginn seines Vortrags Prof. Werner Gleißner, Vorstand der FutureValue Group AG, zum Thema: „Entscheidungsorientiertes Risikomanagement und DIIR RS Nr. 2“. Seiner Ansicht nach wollen sich Menschen nicht mit Risiken auseinandersetzen. Gleißner nennt es Risikoblindheit. „Risiken werden verdrängt und wir lieben die Scheinsicherheit“, so Gleißner. Und er fügt hinzu: „Es besteht vielfach eine verzerrte Risikowahrnehmung.“ Darüber hinaus werden gesetzliche Anforderungen zum Risikomanagement in Organisationen nicht erfüllt. So zeigen verschiedene Studien, dass viele Risikomanagementsysteme bestandsgefährdende Entwicklungen nicht erkennen.
Gleißner fasst es wie folgt zusammen: „Bei den meisten Unternehmen in DAX und MDAX ist nicht erkennbar, dass diese definieren, was eine bestandsgefährdende Entwicklung ist.“ Hinzu komme die fehlende Risikoaggregation (Monte-Carlo-Simulation). Doch gerade die Risikoaggregation mittels einer Monte-Carlo-Simulation führt zu einer Bandbreitenplanung und ist notwendig, um bestandsgefährdende Entwicklungen (§93 AktG) aus Kombinationseffekten von Einzelrisiken zu erkennen. Und Gleißner schließt mit dem Hinweis: „Wir haben alle wesentlichen Bausteine, um ein Tragfähigkeitskonzept in Organisationen aufzusetzen.“ Denn die Krisenfrüherkennung ist Aufgabe des Risikomanagements – gerade um professionelle Risikoanalysen für unternehmerische Entscheidungen zu treffen. Und an dieser Stelle helfen reine Routine-Reports nicht weiter, um ein modernes und in die Zukunft gerichtetes Risikomanagement zu unterstützen.
Neue Denk- und Handelsweisen in einer disruptiven Arbeitswelt
„Finde das Risiko – und das Risiko im Risiko.“ Was sich hinter dem Titel verbirgt, das erklärten Dr. Andreas Kempf und David Mitterbauer von der Carl Zeiss AG. „Dreimal Risiko im Titel, das ist schon für eine Risikomanagementveranstaltung mehr als genug“, so Kempf zum Einstieg. Inhaltlich geht es um ein wirksames Risikomanagement durch die Kombination von qualitativen und quantitativen Methoden. Firmen entstehen und wachsen, weil jemand eine Idee hat. Das liefert nach seinen Worten einen Mehrwert für die Gesellschaft. Und doch gehen nicht wenige Unternehmen noch immer den Weg in eine Zukunft mit einer Fortsetzung des bereits Bekannten. Eine Denk- und Handelsweise, die in einer disruptiven Arbeitswelt nicht mehr funktioniert.
Wir stehen vor der unternehmerischen Gestaltungsaufgabe in einer Welt, die sich radikal verändert. Für das Management liegt darin eine Herausforderung, um Innovationen zu fördern und die Absicherung einer nachhaltigen Wertschöpfung im Blick zu haben. In dieser Gemengelage besteht das Problem der Risikoidentifikation und -einschätzung. Das Dilemma: Fehlende Informationen sind nicht durch quantitative Modellen lösbar. Es gibt keine Eindeutigkeit bei Innovationen. Hinzu komme nach Kempf, dass der Blick in die Bilanz kaum noch Aufschluss über die strategischen Erfolgsfaktoren gäbe – auch zu Auslösern einer möglichen Bestandsgefährdung. Wie finde ich die relevanten Risiken? „Hier wird es in der Literatur schnell dünn“, so Kempf. Es besteht vielfach kein Bezug zur Strategie. Vielmehr muss ein systematisches und integriertes Vorgehen im Risikomanagement im Mittelpunkt stehen. Damit ist auch gemeint, dass qualitative strategische Erfolgsfaktoren das Überleben der Organisation bestimmen. Im Umkehrschluss muss die Bewertung der Bestandsgefährdung auch dort starten. Um mögliche Bestandsgefährdungen zu erkennen, helfen Strategiemethoden – im spezifischen Kontext der Organisation und als integrierter Bestandteil der Strategieentwicklung. Wichtig auch deshalb, weil es um eine nachhaltige Geschäftstätigkeit inmitten einer Netzwerkgesellschaft geht. Und dabei kann ein professionelles Risikomanagement mit einem umfassenden Monitoring und geeigneten Frühwarnsystemen merklich unterstützen.
Der Prüfungsstandard PS 340
Jan Offerhaus, Vorstandsmitglied der RMA, hätte sich beim neuen Prüfungsstandard PS 340 mehr Präzision aus betriebswirtschaftlicher Perspektive gewünscht. Dies zeigt sich unter anderem bei der Einführung des Begriffs der Risikotragfähigkeit ohne konkrete Operationalisierung. Zudem sieht das Offerhaus einen zu großen Freiheitsgrad bei der Wahl der Methoden zur Ermittlung des Gesamtrisikoumfangs im Unternehmen. „Es besteht noch Anpassungsbedarf beim Prüfungsstandard“, fügt Co-Referent Daniel Oehlmann vom Wirtschaftsprüfungs- und Beratungsunternehmens Deloitte hinzu. Oehlmann stützt seine Aussage auf die „Deloitte Benchmark Studie 2020“. Das Positive zuerst: Der neue Prüfungsstandard sorgt seiner Meinung nach für eine Verbreitung von Risikotragfähigkeitskonzepten mit einem Fokus auf die Erfüllung regulatorischen Anforderungen. Zudem unterstützt der Standard die schnellere Verbreitung von Simulationsansätzen. Die Herausforderung sieht der Deloitte-Manager aber beispielsweise darin, den stringenten Ansatz in die „Breite“ der First Line zu tragen.
Anknüpfend daran, befasste sich Sönke Thun von der Deutschen Telekom mit dem Thema des PS340 unter dem Aspekt „Risiko oder Chance?“ Auch in seinem Vortrag ging es um das Risikotragfähigkeitskonzept. Denn die Deutsche Telekom muss nachzuweisen, dass keine Bestandsgefährdung für das Unternehmen besteht. Hierzu setzt das Unternehmen auf eine Monte-Carlo-Simulation, um die Gesamtrisikoposition des Konzerns zu berechnen. Bei der Risikoaggregation baut der Konzern auf qualitativ bewertete Risiken und Chancen, die unter Berücksichtigung der jeweiligen Portfoliowerte automatisch in eine quantitative Bandbreite überführt werden.
Basis für die Aggregation und „value@risk-Berechnung“ sei laut Thun die Quantifizierung jedes Risikos. Mit Bezug auf Extremwertszenarien entsteht bei der Deutschen Telekom eine neue Anforderung. Und die lautet: Risiken mit einer sehr niedrigen Eintrittswahrscheinlichkeit, aber einem sehr hohen Ausmaß (Extremwertszenarios), müssen bei der Aggregation berücksichtigt werden. Wichtig ist auch die Risikokultur. „Wir versuchen viel zu machen, um die Kollegen zu erreichen“, erklärt Thun. Das Unternehmen fördert eine aktive Risikokultur mit Trainings, Bewertungsworkshops und Präsentationen. Das Ziel ist eine offene und transparente Kommunikation von Risiken, Rollen & Verantwortlichkeiten zu fördern. Dieses Engagement erklärt sich vor dem Hintergrund, dass die Risikokultur als Teil der Unternehmenskultur verstanden wird. Das umfasst die grundsätzlichen Einstellungen und Verhaltensweisen beim Umgang mit Risiken. Thun: „Sie beeinflusst das Risikobewusstsein in Unternehmen und bildet die Grundlage für ein Risikomanagement-System.“ Als Fazit überwiegen die Vorteile beim neuen Prüfungsstandard, sei es aufgrund einer verbesserten Informationsvollständigkeit, dank der Qualität der Gesamtaussage oder aufgrund der digitalen Umsetzung.
Die Ablösung des Three Lines of Defense Modells
Über die Ablösung des „Three Lines of Defense Model“ durch das „Three Lines Model“ referierte Prof. Ulrich Bantleon von der Hochschule Offenburg. Als Stärken des Three Lines of Defense Model (TLoD) sieht Bantleon unter anderem die Effektivität des Modells, um das Risikomanagement zu organisieren. Zudem sei es seiner Meinung nach leicht verständlich, ist flexibel anwendbar und bietet Best Practice für börsennotierte Unternehmen. Demgegenüber sehen Kritiker durch die Anwendung von TLoD die Förderung des Silo-Denkens der einzelnen Governance-Funktionen voranschreiten sowie eine zu geringe Betonung der Chancensicht und Strategieorientierung. Kritiker bemängeln darüber hinaus, dass das Model nicht flexibel genug für kleinere, öffentliche und nicht regulierte Organisationen ist. Mit dem neuen Three Lines Model (TLM) verbinden die Macher das Ziel, Organisationen besser zu unterstützen, um Strukturen und Prozesse zu identifizieren, die der Zielerreichung dienen. Damit verbunden sind auch eine starke Governance und ein wirksames Risikomanagement. „Im Grunde geht es um Koordination und Kooperation“, so Bantleon. Und er ergänzt: „Eine Botschaft des Modells ist es, miteinander zu reden.“ Nach Ansicht Bantleons sind Modell und grafische Darstellung weiterhin einfach und verständlich. Im Gegensatz zum TLoD-Modell ist das TLM als breit angelegtes Instrument der Governance konzipiert, das Wertschöpfung und Wertsicherung als offensive und defensive Aspekte des Managements von Risiken verbindet. Und darin liegt zunächst eine stärkere Betonung der Chancen- und Strategieorientierung. Abschließend beurteilt Bantleon: „Das Modell hilft die Probleme abzuschwächen und uns weiterzuentwickeln.“
Noch viele weitere interessante Themen wurden auf dem zweitägigen Risk Management Congress besprochen. Eine ausführlichere Nachlese finden Sie hier.