Energieversorgungsunternehmen (EVU) haben das Thema Risikomanagement in einigen Bereichen (z.B. Handel und Portfoliomanagement) bereits seit vielen Jahren als festen Bestandteil in die Geschäftssteuerung integriert. In anderen Bereichen haben sie sich lediglich auf die Erfüllung gesetzlicher Mindeststandards (z.B. KonTraG) beschränkt. Ein mit der Strategie verzahntes Gesamtkonzept war daher nicht die Regel und fand auch branchenübergreifend in international anerkannten Rahmenwerken wie z.B. COSO keine Berücksichtigung. Dass das Management von Risiken gleichzeitig ein Management von Chancen bedeutet, wird neuerdings sowohl in Theorie als auch in der Praxis zunehmend erkannt. Um dieser Entwicklung Rechnung zu tragen, wurde ein entsprechender performanceorientierter Ansatz für Energieversorger formuliert.
Das Geschäft von Energieversorgungsunternehmen ist in den letzten Jahren dezentraler und vernetzter geworden. Strukturen, die oft lange Jahre bestanden, brechen auf und neue Kunden, Partner und Wettbewerber treten in den Markt ein. Ebenso haben sich das energiepolitische und regulatorische Umfeld massiv geändert und werden es weiter tun. Während beispielsweise Großprojekte in der Vergangenheit in erprobten Partnerschaften und unter stabilen Rahmenbedingungen abgewickelt wurden, kommen heute neue Technologien und Unternehmen ins Spiel. Darüber hinaus ist die zeitgerechte Projektfertigstellung aufgrund des Regulierungsrahmens oftmals ein wesentlicher Treiber für die Wirtschaftlichkeit.
Vor dem Hintergrund der gestiegenen Unsicherheiten gilt es, das strategische Portfolio aktiv zu steuern, Chancen und Risiken bewusst einzugehen und diese über alle Aktivitäten hinweg in Einklang mit den strategischen Rahmenbedingungen des Unternehmens zu halten.
Verzahnung mit Geschäftsstrategie
Um den Fortbestand des Unternehmens nachhaltig zu sichern, ist eine gesamtheitliche und konsolidierte Sicht auf Risiken über die Grenzen von Organisationseinheiten hinweg von zunehmender Bedeutung. Enterprise Risk Management (ERM) hat sich mittlerweile in den meisten Unternehmen zumindest als Notwendigkeit etabliert. Die gesamtheitliche und konsolidierte Sicht auf Risiken über die Grenzen von Organisationseinheiten hinweg soll schadhafte Ereignisse vermeiden, Chancen nutzbar machen und dadurch den Fortbestand des Unternehmens nachhaltig steigern. Gängige ERM-Rahmenwerke gliedern den Risikomanagementprozess in vier Schritte:
- Risiken identifizieren und kartographieren;
- Risiken bewerten und artikulieren;
- Risiken steuern und Maßnahmen ergreifen;
- Risiken aggregieren und berichten.
Abb. 1: Performance Risk Management Prozess
Entlang dieser vier Schritte können bestehende Risikomanagementsysteme strukturiert analysiert und verbessert werden. Darüber hinaus ermöglichen die Technologien der Digitalisierung wie Big Data-Analysen, Künstliche Intelligenz und Vernetzung bereits heute immenses Potential bei der Identifizierung von Risiken oder bei der dynamischen Berechnung von Eintrittswahrscheinlichkeiten.
Die Abstimmung des Risikomanagements mit der Geschäftsstrategie und mit den damit einhergehenden strategischen Zielen kommt jedoch aus unserer Sicht in vielen Fällen zu kurz. Risikomanagement ist zu selten als Werttreiber in die Steuerungsfunktion des Unternehmens eingebunden. Das in 2017 veröffentlichte Update der COSO (Committee of Sponsoring Organizations of the Treadway Commission) – ERM Guideline betont ebenfalls die Notwendigkeit einer Abstimmung mit der Geschäftsstrategie. Wir empfehlen unseren Kunden, dies in Ihren Risikomanagementprozess zu integrieren.
Die Verzahnung erfolgt grundsätzlich in zwei Richtungen: Nach oben, bei der Formulierung der Geschäftsstrategie und in die Breite, bei der Umsetzung der strategischen Ziele.
Abb. 2: Verzahnug mit der Unternehmensstrategie
Im Strategieformulierungsprozess werden zusätzlich zu Faktoren wie Erwartungen relevanter Stakeholder, Kundenpräferenzen oder Mitbewerberinteressen dann auch Risikoaspekte miteinbezogen.
So können politische Umwälzungen strategische Entscheidungen in bestimmte Märkte zu expandieren, beeinflussen; regulatorische Anforderungen ganze Geschäftsmodelle unrentabel machen oder extreme Preisschwankungen auf den Rohstoffmärkten zu erheblichen Liquiditätsrisiken führen. Eine moderne Risikomanagementfunktion wirkt dann steuernd auf die Geschäftsstrategie ein, indem sie einen zusätzlichen Blickwinkel auf strategische Entscheidungen bietet. Big Data Technologien wie Risiko-Radare können dabei wertvollen Input liefern.
Sind die Geschäftsziele gesetzt, unterstützt Performance Risk Management beim Erreichen dieser Ziele. Die richtige Kombination aus Top-Down-Steuerung und Bottom-Up-Management ist hier erfolgskritisch. Die dazu notwendigen Kernbausteine werden im Folgenden vorgestellt.
Risiko- Rendite Tradeoff
Strategische Ziele sind in der Regel mit Renditezielen verknüpft, die wiederum von einer Vielzahl von unsicheren Faktoren abhängig sind. Daher sollte auch dem Risiko, Ziele zu verfehlen, genügend Aufmerksamkeit geschenkt werden. Am besten gelingt das, indem Erwartungen entscheidender Stakeholder transparent gemacht werden und kontinuierlich mit der Realität abgeglichen werden.
Zunächst liefert eine wohldefinierte Risikostrategie das Fundament, auf dem dann ein effektives operatives Risikomanagement aufgesetzt werden kann. Ihre Bestandteile sind Leitprinzipien über den generellen Umgang mit Risiken, der unternehmensweit festgelegte Risikoappetit sowie ein klares Risikoprofil. Ein solches, vom Top-Management verabschiedetes, übergreifendes Dokument ist ein effektives Instrument, um den Umgang mit Risiken von oben vorzugeben und das Risikoprofil an interne wie externe Stakeholder zu kommunizieren. So wollen Anteilseigner nicht nur über die erwartete Rendite informiert werden, sondern auch über die Wahrscheinlichkeiten verschiedener adverser Szenarien. Es zeigt sich, dass ein transparenter Umgang mit Risiken mit niedrigeren Refinanzierungskosten honoriert wird. Auf Gesamtunternehmensebene definierte Risikoniveaus können dann auf Organisationseinheiten, Produktlinien oder Kundensegmente heruntergebrochen werden.
Damit ist die Basis geschaffen, um auf der operativen Ebene den Zielkonflikt zwischen Rendite und Risiko zu steuern und Maßnahmen einzuleiten. So kann ein IT-Systemausfall durch ein redundantes IT-System mitigiert oder die Zuliefererbasis diversifiziert werden. Die Risikokosten sollten dabei stets mit Kosten der Bewältigungs-Maßnahme in Beziehung gesetzt werden. Die Abwägung zwischen Risiko und erwarteter Rendite wird auf operativer Ebene folglich durch den Vergleich der Kosten von alternativen Gegenmaßnahmen modelliert.
Abb. 3: Risiko-Rendite Allokationen
Identifizieren, messen, bewerten und artikulieren
Eine Schlüsselrolle zur Operationalisierung der unternehmensweiten Vorgaben spielt die Quantifizierung. Sind relevante Risiken identifiziert und mittels Risiko-Metriken (Key Risk Indicator, KRI) bewertet, werden sie auf einer Art Risikolandkarte verortet und transparent gemacht. Eine einheitliche Risikotaxonomie erleichtert dabei die organisationsübergreifende Kommunikation sowie die (automatisierte) Aggregation.
Welche Risikotaxonomien gewählt und wie KRIs berechnet werden, variiert je Organisation. Klassische Kategorien wie Markt-, Kredit-, Operationelles oder Liquiditätsrisiko sind oft ein guter Ausgangspunkt und können beispielsweise um strategische Risiken oder Lieferkettenrisiken ergänzt werden. Zugrundeliegende Berechnungen können auf Expertenschätzungen, extrapolierte, historische Werte sowie auf modernen Big Data Technologien basieren.
Aufbrechen von Silos
Es existieren in der Praxis viele Beispiele, in denen mehrere Organisationseinheiten entlang der Wertschöpfungskette koordiniert zusammenarbeiten müssen, um Vorgaben im Sinne der Unternehmensführung umzusetzen. Wir beobachten, dass hierbei oft inkonsistent mit Risiken umgegangen wird. So werden beispielsweise Gegenparteirisiken im Handelsbereich nicht einheitlich gesteuert oder Reputationsrisiken entlang der Wertschöpfungskette ignoriert.
Abhilfe schafft die klare Positionierung der Risikomanagementfunktion im Unternehmen. Die Autoren empfehlen eine Art Schaltzentrale, die als Schnittstelle zwischen Unternehmenssteuerung und operativen Einheiten fungiert. Sie ist verantwortlich für die Kaskadierung der Risikostrategie in die Organisation und für die Aggregation zurück auf die Ebene des Gesamtunternehmens.
Dies gelingt in enger Abstimmung mit den dezentralen Risikomanagern in den operativen Einheiten sowie unter Zuhilfenahme moderner IT-Lösungen. Modernes Risikomanagement fungiert folglich als Berater und als Sparringspartner sowohl für die Unternehmensführung als auch für die Akteure im täglichen Geschäft.
Abb. 4: Enterprise Risk Management Hub als Schaltzentrale
Werden Zielwerte nicht eingehalten, müssen Gegenmaßnahmen eingeleitet und nachgehalten werden. Es hat sich bewährt, das Management der Gegenmaßnahmen in den operativen Einheiten zu halten und deren Wirksamkeit im Sinne eines internen Kontrollsystems regelmäßig zu prüfen.
Risk Scorecard
Entscheidend für die effektive Gestaltung der oben beschriebenen Risikomanagementfunktion ist eine kompakte und adressatengerechte Zusammenfassung der Risikostrategie. Angelehnt an die Balanced Scorecard, die die Geschäftsstrategie konkretisiert, bringt die Risk Scorecard die Risikostrategie auf den Punkt.
Dabei werden Risikokennzahlen und abgeleitete Handlungsindikationen über ein adressatengerechtes Dashboard kompakt und aktuell kommuniziert. Maßnahmen können so einfach definiert, dokumentiert und nachgehalten werden.
Unserer Beobachtung nach können Unternehmen ihre Geschäftsziele besser umsetzen, wenn diese in konkrete Maßnahmen überführt werden. Daher empfehlen wir, den Risikoappetit klar zu definieren und zu visualisieren. Darauf aufbauend kann durch IT-Lösungen der Automatisierungsgrad erhöht werden, indem beispielsweise Risikomanager personalisierte Zugänge erhalten oder interne Daten via Schnittstellen verarbeitet werden.
Abb. 5: Schematisches Beispiel einer Risk Scorecard
Digitalisierung im Risikomanagement
Die fortschreitende Digitalisierung bietet auch im Risikomanagement neue Möglichkeiten. Während in der Vergangenheit das Sammeln und Auswerten von Daten einen großen Anteil der Risikomanagementressourcen beansprucht hat, werden Aufgaben in Zukunft vermehrt durch automatisierte Systeme erledigt. Für Risikomanager bedeutet das mehr Zeit für die Analyse von Ursachen und für die Verfolgung geeigneter Maßnahmen.
Zum einen werden sich Volumen und Transparenz von internen Daten erhöhen. Zum anderen werden unternehmensinterne Informationen in viel höherem Maße mit externen Daten angereichert. Wurden in der Vergangenheit vor allem manuell und aufwendig zusammengestellte interne Daten punktuell mit externen Daten wie Ratings von Auskunfteien ergänzt, so steht mittlerweile eine Vielzahl an Informationen über einzelne Kunden zur Verfügung.
Auf der Grundlage hoher Datendichte und hoch-performanter Rechenkapazitäten bekommen bisher nur in der Theorie bekannte Algorithmen Praxisrelevanz. Neuronale Netzwerke, Künstliche Intelligenz, semantische Textanalysen oder Risikoradare können Risiken und Chancen trennscharf vorhersagen und werden so den Wertbeitrag des Risikomanagements auf die nächste Stufe bringen.
Fazit
Die Autoren vertreten die Meinung, dass es einer engen Verzahnung zwischen Strategie und Risikomanagement bedarf. Nur wenn Risikomanagement als Instrument zur aktiven Steuerung von Chancen und Risiken verstanden wird, kann es einen positiven Wertbeitrag für die Unternehmen leisten. Die Entwicklung eines entsprechenden Verständnisses ist nicht zuletzt deswegen essenziell, da nur so die Führungskräfte ein intrinsisches Interesse am Thema Risikomanagement entwickeln werden. Für Energieversorger mit oftmals diversifizierten Geschäftsmodellen heißt es hierbei, das richtige Maß zwischen zentraler Steuerung und dezentraler Verantwortung zu finden.
Andreas Hopfener ist Senior Project Manager bei Horvath & Partners und dort für das Thema Risikosteuerung verantwortlich. Seine langjährige Projekterfahrung umspannt vielfältige Bereiche des Risikomanagements in verschiedenen Industrien. Er ist Diplom-Volkswirt und verfügt über betriebswirtschaftliche Abschlüsse mit dem Fokus Risiko. Co-Autor des Artikels ist Andreas Schwenzer, Principal bei Horváth & Partners und verantwortlich für Risikothemen im Energiesektor.