In den letzten Jahren haben sich, auch geprägt durch Risikomanagement-Standards sowie Prüf- und Revisionsstandards, in vielen Unternehmen Best Practice Prozesse und Instrumente im Risikomanagement etabliert. Der Trend geht – aus Sicht der Autorin – momentan in Richtung einer stärkeren Verzahnung von Risikomanagement mit der strategischen und operativen Steuerung sowie in Richtung einer stärker quantitativ und entscheidungsorientierten Ausrichtung des Risikomanagements.
Zur methodischen Unterstützung der Prozesse werden zahlreiche Instrumente empfohlen und angewendet:
- Risikokataloge unterstützen eine strukturierte Risikoidentifikation
- Risk Maps veranschaulichen Eintrittswahrscheinlichkeit und Schadensausmaß von Risiken
- Key Risk Indicators unterstützen das Monitoring der Risiken
- Risikosimulationsmodelle zeigen die Gesamtrisikoposition der Unternehmen, auch unter Berücksichtigung von Abhängigkeiten zwischen Risiken
- Instrumente wie Tail Risk Assessments, Stress Testing, Scenario Planning und War-gaming helfen, Risiken und Risikowirkungen (vor allem externer Risiken) frühzeitig vorauszusehen
Allerdings ist die Kenntnis dieser Instrumente noch nicht ausreichend, um die Risiken des Unternehmens rechtzeitig und zuverlässig zu erkennen und zu bewältigen. Auch der Faktor Mensch – Management, Mitarbeiter und Person des Risikomanagers – spielt eine wichtige Rolle.
Der Auseinandersetzung mit Risiken stehen typischerweise zahlreiche kognitive Barrieren entgegen. Kahneman/Lovallo ( beschreiben den „wahnhaften“ Optimismus („Rosa Brille“) von Führungskräften bei der Bewertung von strategischen Projekten und unterscheiden folgende kognitive und organisatorische Barrieren, die auch den Umgang mit Risiken beeinflussen:
- Ankern – Manager tendieren dazu, ihre Einschätzungen an leicht verfügbare Daten anzupassen, obwohl bekannt ist, dass die lineare Extrapolation von Vergangenheitsdaten in die Zukunft fehlerbehaftet ist.
- Vernachlässigung von Wettbewerbern – Manager vergessen häufig, die Reaktion der Wettbewerber auf Strategien zu berücksichtigen
- Überschätzung der eigenen Fähigkeiten und Steuerungsmöglichkeiten – Menschen tendieren dazu, positive Ergebnisse den eigenen Fähigkeiten zuzuschreiben, während negative Ergebnisse auf externe Faktoren zurückgeführt werden
- Organisationen genehmigen die Projekte mit der höchsten Misserfolgswahrscheinlichkeit – Projekte konkurrieren um beschränkte Ressourcen. Da nur die meistversprechenden Projekte realisiert werden, werden typischerweise zu optimistische Prognosen erstellt. Zu optimistische Projekte werden dadurch häufiger realisiert.
- Manager belohnen Optimismus und interpretieren Pessimismus als Illoyalität – Dieses Verhalten verstärkt eine unrealistische Perspektive der Zukunft und verhindert kritisches Denken im Unternehmen.
Risikomanager müssen daher nicht nur geeignete Instrumente zur Risikoidentifikation und -bewertung zur Verfügung stellen, sondern sich auch mit diesen kognitiven Barrieren und ihrer Bewältigung auseinandersetzen. Oder anders formuliert: Risikomanager müssen damit rechnen, dass Risk Owner einen wesentlichen Teil der Risiken nicht in den Risikomanagementprozess einmelden können (weil sie sie selbst nicht erkennen aufgrund der „Rosa Brille“) oder wollen (weil sie Interessen haben, für die ein Bekanntwerden der Risiken nicht günstig wäre).
Risikomanager müssen daher in Abhängigkeit von den Risiken und den existierenden kognitiven Barrieren unterschiedliche Rollen im Unternehmen einnehmen:
Der Risikomanager hat zunächst die Rolle eines unabhängigen, internen Koordinators. Er koordiniert die Risikomanagement-Aktivitäten im Unternehmen, überwacht das System und unterstützt bei der Identifikation und Bewertung der Risiken.
Sobald aber kognitive Barrieren existieren, muss der Risikomanager in der Lage sein, diese zu erkennen, existierende Annahmen des Managers zu hinterfragen und Risikoinformation auf Augenhöhe mit dem Management zu diskutieren. Dies erfordert neben der intensiven Kenntnis des Unternehmens auch eine detaillierte Kenntnis der Risikobereiche – der Risikomanager muss hier entweder selbst Experte oder in der Lage sein, Risikoinformation von dezentralen Experten zu sammeln, beispielsweise in Risikoworkshops und Risk Review Meetings, zu hinterfragen und für die Unternehmensführung aufzubereiten.
Im Rahmen des Managements externer Risiken liegt der wesentliche Fokus der Risikomanagement-Rolle auf der Unterstützung der Risikoidentifikation, häufig von Risiken mit geringer Eintrittswahrscheinlichkeit und großer Risikowirkung („Katastrophenrisiken“). Gefordert ist hier neben der Beherrschung des Instrumentariums (z. B. Szenarioanalyse, Wargaming) ein Risikomanager, der die Rolle des Advocatus Diaboli beherrscht und in Entscheidungsprozessen gezielt die Ergebnisse hinterfragt und auf mögliche externe Risiken überprüft.
Es liegt auf der Hand, dass diese Rollen eine entsprechende Positionierung des Risikomanagers im Unternehmen erfordern. Neben Fachkompetenz und guter Kenntnis des Unternehmens sind auch persönliche und soziale Kompetenzen des Risikomanagers gefordert.
Aber nicht nur der Risikomanager ist gefordert, auch die Unternehmensführung. Die Auseinandersetzung mit Risiken ist für viele Manager eher konterintuitiv und schmerzvoll und steht im Widerspruch zur „Wir-schaffen-das“-Mentalität, die notwendig ist, um herausfordernde Projekte erfolgreich und termingerecht umsetzen zu können.
Daher ist die Unternehmensführung gefordert, das Risikomanagement im Unternehmen entsprechend zu positionieren, um die oben dargestellten Risikomanagement-Rolle auch zuzulassen. Dies ermöglicht eine offene, interaktive Auseinandersetzung über die Risikosituation des Unternehmens. Nur dadurch können Risiken rechtzeitig erkannt und bewältigt werden.
Das Controller-Institut veranstaltet Ende des Jahres ein Seminar zum Thema “Psycho-Logik im Risikomanagement”. Mehr Informationen dazu finden Sie hier.
_____________________________________________________________________
Dr. Karin Exner, Senior Advisor Strategy, Contrast EY Management Consulting, Lehrgangsleiterin Certified Corporate Risk Management, Controller Institut.