Teil 1 des Interviews mit Frank Romeike, Risikomanagementexperte und Geschäftsführer von RiskNET
Die Welt des Risikomanagements ist im Wandel und damit sind neue Wege und Methoden im Umgang mit den Chancen und Risiken unserer Zeit gefragt. Soweit die Theorie. In der Praxis sieht das allerdings in vielen Fällen anders aus. Das heißt: Unternehmen setzen noch zu wenig auf fundierte Risikomanagementmethoden. Wir sprachen mit Frank Romeike, Gründer des Kompetenzportals RiskNET, unter anderem über seine Methodensicht und die Erfolgsfaktoren eines modernen Risikomanagementsystems – auch mit Blick auf die Digitalisierung.
3GRC: Der französische Philosoph und Mathematiker René Descartes sagte einmal: „Zur Erforschung der Wahrheit bedarf es notwendig der Methode.“ Das war im 17. Jahrhundert. Heute, im 21. Jahrhundert, hat es oft den Anschein, als ob viele Unternehmen und ihre Entscheider von dieser Methodensicht und damit der Suche nach der Wahrheit nichts oder nur sehr wenig wissen möchten? Warum ist das so?
Frank Romeike: In Entscheidungssituationen werden nicht selten mögliche Stressszenarien oder existenzbedrohende Risiken komplett ausgeblendet. Die potenzielle Wirkung einer Entscheidung wird nicht methodisch sauber – etwa basierend auf einer Bow-Tie-Analyse oder eine strukturierten Szenarioanalyse – durchdacht. Vielmehr agieren Entscheider nach Artikel 2 und 3 des „Rheinischen Grundgesetz“: „Et kütt wie et kütt“ beziehungsweise „Et hätt noch immer joot jejange“.
Wir kennen dieses Verhalten aus der Psychologie: Individuen neigen dazu, mögliche Ereignisse bzw. Ergebnisse, deren Eintritt zeitlich weit entfernt ist oder als sehr unwahrscheinlich angesehen wird, zu ignorieren. Ergänzend kann es vorkommen, dass die Existenz von Risiken im Allgemeinen zwar eingestanden wird, eine persönliche Betroffenheit aber abgestritten wird (unrealistischer Optimismus).
Mit den richtigen Werkzeugen und einer gelebten Risikokultur kann man eine höhere Risikotransparenz in den Unternehmen schaffen. Kurzum: Man könnte aus der Zukunft lernen – anstatt zu häufig in den Rückspiegel zu schauen.
In der Praxis dominiert nicht selten eine „Risikobuchhaltung“ basierend auf Voodoo-Methoden. Da wird etwas als Risiko bezeichnet, das eigentlich die Ursache oder die Wirkung eines Risikos darstellt. Ein Reputationsverlust ist beispielsweise in der Regel immer die Wirkung eines anderen Risikoeintritts (siehe „Dieselgate“). Oder Prozessverantwortliche werden mit Fragen nach Eintrittswahrscheinlichkeit und dem Schadensaumaß für potenzielle Risiken traktiert. Das Ergebnis sind lange Risikoinventare, die den Vorstand oder Aufsichtsrat nur langweilen.
Man sollte stattdessen über zukünftige Szenarien nachdenken und diese dem Vorstand präsentieren: Was bedeutet Digitalisierung für unser Geschäftsmodell? Welche Cyberrisiken können uns aus der Spur bringen? Welche disruptiven Geschäftsmodelle könnten uns gefährlich werden? Welche Relevanz haben zunehmende Handelsrestriktionen und geopolitische Risiken für unser Unternehmen?
Das Ergebnis: Man beschäftigt sich mit den wesentlich 20 bis 30 relevanten Risiken und nicht mit mehreren Hundert oder gar Tausenden operativen Klein-klein-Themen, die in der Regel gar keine Risiken sind, sondern allerhöchstens Ursachen für potenzielle Risiken.
Aus meiner Sicht haben wir in der Praxis zu wenig Methoden- und Anwendungskompetenz im Risikomanagement. Um mit René Descartes abzuschließen: „Denn es ist nicht genug, einen guten Kopf zu haben; die Hauptsache ist, ihn richtig anzuwenden.“
3GRC: Was sind Ihrer Meinung nach die Erfolgsfaktoren für den Aufbau eines Risikomanagementsystems in Unternehmen?
Frank Romeike: Basierend auf meiner mehr als 20-jährigen Erfahrung beim Aufbau von wirksamen und gelebten Risikomanagement-Systemen, können die Erfolgsfaktoren auf 4 Dimensionen reduziert werden, die sich allerdings wechselseitig beeinflussen: Methoden, Kultur, Organisation und Prozess.
Über Methoden und die Defizite in diesem Bereich hatten wir bereits kurz gesprochen. Wichtig sind hier fundierte Methoden, die trotz alledem dem KISS-Prinzip (Keep it simple, stupid) folgen. Das ist kein Widerspruch, sondern funktioniert in der Praxis einwandfrei. Das beweisen Unternehmen z.B. aus der Luftfahrtindustrie oder der Rückversicherungsbranche, die Risikomanagement in einem hohen Reifegrad seit Jahren erfolgreich leben . Prozessverantwortliche haben in der Praxis keinerlei Schwierigkeiten ein Szenario zu beschreiben: wie häufig kann irgendein Szenario passieren und was sind mögliche Wirkungen? Aber Fragen nach Eintrittswahrscheinlichkeiten und einem fixen Schadensausmaß sind erstens unsinnig und zweitens von den Prozessverantwortlichen nicht zu beantworten, da die Fragestellung falsch ist.
Außerdem sehe ich in der Praxis immer wieder, dass Methoden extrem „verbogen“ werden und krampfhaft für Fragestellungen angewendet werden, für die sie nie entwickelt wurden und schlichtweg untauglich sind. So wird beispielsweise die Fehlermöglichkeits- und Einflussanalyse (FMEA) im Automotive-Bereich für Fragestellungen eingesetzt, für die sie einfach keine sinnvollen Ergebnisse liefert. Zudem wird ausgeblendet, dass die Multiplikation der ordinal skalierten Merkmale B (Bedeutung), A (Auftretenswahrscheinlichkeit) und E (Entdeckungswahrscheinlich) zur Ermittlung der Risikoprioritätszahl (RPZ) streng mathematisch nicht definiert ist.
Zum zweiten geht es um einen professionellen und reifen Risikomanagement-Prozess, der auch von den Anwendern akzeptiert wird. Ganz wesentlich ist hierbei die Integration diverser Themen in einen Prozess: Interne Kontrollen sind beispielsweise Teil des Regelkreises im Risikomanagement; Compliance sollte Teil der Risikoidentifikation und -bewertung sein – analog zu allen anderen Risiken im Unternehmen.
Zum dritten braucht es eine effektive und schlanke Risikomanagement-Governance und Organisation. Diese beinhaltet beispielsweise klare Rollen und Verantwortlichkeiten. Auch gehört hierzu eine gewisse Flexibilität in der Anwendung, damit Risikomanagement nicht zu einem bürokratischen Vehikel verkommt.
Die vierte Dimension ist aus meiner Sicht die wichtigste und gleichzeitig die größte Baustelle in der Praxis: Risikomanagement muss in der Organisation gelebt werden und Teil der Unternehmenskultur sein. Grundlegend ist hierfür vor allem ein aktives Wollen der Unternehmensleitung, also ein klarer „Tone from the top“ aber auch „Tone from the Middle“. Risikokultur – analog zur Unternehmenskultur – hat viel mit Fehlerkultur, Umgang mit Werten und einer „Speak-up“-Kultur zu tun. Und das muss man trainieren und üben. Denken Sie hier beispielsweise an die Pilotenausbildung: Ein Pilot lernt Fehler- und Risikokultur nicht in der Theorie, sondern im Simulator und in realen Entscheidungssituationen. Davon können andere Branchen eine Menge lernen.
3GRC: Wie lassen sich der Erfolg und die Wirksamkeit der eingesetzten Systeme methodisch untersuchen, überwachen und vor allem justieren?
Frank Romeike: Die Wirksamkeit eines Risikomanagement-Systems proaktiv zu analysieren, ist alles andere als trivial. Allein die Definition des Begriffes „Wirksamkeit“ ist nicht einfach.
Ich liefere Ihnen mal ein Beispiel aus der Praxis aus meiner Zeit als Chief Risk Officer in einem multinationalen Konzern: Unser Frühwarnsystem hatte für ein spezifisches Risiko die Ampel auf „rot“ gesetzt. Das Szenario war ziemlich eindeutig: „You should not do it.“ Das Risikomanagement-System war scheinbar wirksam! Die Entscheidung der CEOs und CFOs war jedoch völlig konträr: „We will double the risk and chance as our incentive system is so defined.“ Nach wenigen Monaten ist der Vorstand mit dieser Entscheidung komplett gegen die Wand gefahren. Schaden: ein schmerzhafter Millionenschaden. War das Risikomanagement-System nun wirksam? Nein!
Die Wirtschaftsprüfer liefern uns regelmäßig schöne Beispiele von testierten und anscheinend völlig unwirksamen Risikomanagement-Systemen, wenn nämlich Unternehmen plötzlich in einer Schieflage oder gar Insolvenz geraten. Im veröffentlichten Risikobericht – als Teil des Lageberichts im Rahmen des Jahresabschlusses – können wir hingegen regelmäßig lesen, dass keine existenzbedrohenden Risiken existieren und dass man eh alles im Griff hat. Die letzte Finanzkrise war ein Paradebeispiel für weitestgehend unwirksame Risikomanagement-Systeme, da nämlich die Verbindung zur Unternehmenssteuerung komplett fehlte und das Element „Risikokultur“ vernachlässigt wurde. Potemkinsche Dörfer par excellence!
Um das Thema Wirksamkeit nun stärker auf die Agenda zu setzen, hat im Jahr 2017 das Institut der Wirtschaftsprüfer in Deutschland (IDW) den neuen Prüfungsstandard (PS) 981 veröffentlich, der Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen gemäß § 107 Absatz 3 Aktiengesetz (AktG) beschreibt. Neben einer Wirksamkeitsprüfung ist auch die Beauftragung einer Prüfung möglich, die sich nur auf die Angemessenheit und Implementierung der in der RMS-Beschreibung dargestellten Regelungen bezieht. Nach dem IDW-Standard besteht das System aus acht miteinander in Wechselwirkung stehenden Grundelementen.
Grundsätzlich nicht falsch – allerdings wird eine Wirksamkeitsprüfung so nicht möglich sein, da ein ganz wesentliches Element im Standard fehlt. Nämlich eine klare Definition eines „Maturity Levels“, also eines angestrebten Reifegrads. Der IDW fokussiert sich primär auf die Assurance-Funktion eines Risikomanagement-Systems. In einem hohen Reifegrad sollte sich Risikomanagement jedoch eher auf eine Performance-Funktion konzentrieren (und Assurance ist dann eher ein Nebenprodukt). Aber auch in einem hohen Reifegrad ist Risikomanagement nur dann wirksam, wenn die Erkenntnisse in die (strategische) Steuerung einfließen und beispielsweise Performancemaße risikoadjustiert sind.
Die Justierung eines Risikomanagement-Systems bedingt, dass zunächst der Status Quo des Reifegrads und anschließend der angestrebte Reifegrad definiert wird. Hierfür haben wir aus der Praxis heraus ein Reifegradmodell entwickelt, dass bei Vorständen und Aufsichtsräten auf eine sehr hohe Akzeptanz stößt. Basierend auf dem Erfüllungsgrad kann anschließend recht einfach die Wirksamkeit analysiert und angepasst werden.
Freuen Sie sich in der nächsten Woche auf den zweiten Teil des Interviews mit den Kernthemen Digitalisierung und Risikomanagement, Methodenkompetenz und Weiterbildung.
Frank Romeike ist Gründer des Kompetenzzentrums RiskNET – The Risk Management Network. Er ist Geschäftsführer und Eigentümer der RiskNET GmbH sowie Gründer und Gesellschafter von RiskNET Advisory & Partner. Romeike zählt international zu den renommiertesten und führenden Experten für Risiko- und Chancenmanagement und coacht seit rund 20 Jahren Unternehmen aller Branchen und Unternehmensgrößen rund um die Themengebiete Risiko- bzw. Chancenmanagement und wertorientierte Unternehmenssteuerung.