Beim Chief Risk Officer laufen die Fäden zusammen
Risikomanagement ist Chefsache. Das belegt die PwC-Studie "Krise. Risiko. Management.": 90 Prozent der befragten Unternehmen haben die Steuerung von Risiken auf der höchsten Entscheiderebene verankert. Funktionsfähig ist ein Risikomanagement-System aber erst dann, wenn es von der strategischen Ebene auch in die operativen Bereiche getragen wird. Dafür müssen die Rollen, Verantwortlichkeiten und Prozesse entsprechend ausgestaltet sein. Bei der Umsetzung sollten Unternehmen auf technologische Unterstützung setzen.
"Risikomanagement kann nur funktionieren, wenn die Rollen und Verantwortlichkeiten klar definiert und in die organisatorischen Strukturen des Unternehmens eingebettet sind", ist Jörg Tüllner, PwC-Experte für Risikomanagement, überzeugt. In den meisten Unternehmen sei das Thema auf der obersten Hierarchieebene angesiedelt. In neun von zehn Firmen, die PwC für die Studie "Krise. Risiko. Management. Welche Konsequenzen ziehen deutsche Unternehmen aus der Wirtschaftskrise?" befragt hat, liegt die Verantwortung für das Risikomanagement auf der Ebene des Vorstands oder der Geschäftsführung.
Die genaue Ausgestaltung hängt stark von der Größe eines Unternehmens ab: In kleineren Unternehmen trägt der CEO häufig selbst die Verantwortung für das Risikomanagement. 40 Prozent der Unternehmen mit mehr als 500 Millionen Umsatz besetzen die Position eines Chief Risk Managers, bei dem die Fäden zur Risikosteuerung zusammenlaufen.
Die Köpfe im Risikomanagement: Verantwortung klar regeln
In der Praxis hat sich eine Aufteilung in drei zentrale Rollen bewährt: An der Spitze steht der Chief Risk Officer. Er trägt die oberste Verantwortung für das unternehmensweite Risikomanagement und vertritt das Thema gegenüber der Unternehmensleitung. Zu seinen Aufgaben gehört es, regelmäßig zu überprüfen, ob das Risikomanagement funktionsfähig ist. Bei Bedarf initiiert er eine Anpassung der Risikostrategie des Unternehmens an Veränderungen im Risikoumfeld. Zudem überwacht und unterstützt er Ressourcen auf der operativen Ebene. Dazu gehören die Risikomanager - die zweite wichtige Rolle.
Die zentralen Akteure im Risikomanagement:
- Chief Risk Officer: Hauptverantwortlicher für das Risikomanagement, vertritt das Thema gegenüber der Unternehmensleitung.
- Risikomanager: Berater bei Risikofragen und Bindeglied in die Fachbereiche.
- Risikoverantwortliche: Überwacher von Risiken in den Geschäftsbereichen.
- Risk Committee: Interdisziplinäres Gremium, das ein Forum für den Austausch bietet.
Die Risikomanager sind das Bindeglied zwischen den Geschäftsbereichen und dem Chief Risk Officer. Sie tragen keine direkte Verantwortung für einzelne Risiken, sondern haben in erster Linie Beratungs- und Überwachungsfunktion. Risikomanager verzahnen sich eng mit den operativen Bereichen, stellen risikorelevante Informationen bereit und beraten bei allen risikorelevanten Fragen. Dafür müssen sie die operativen Prozesse gut kennen.
In den Geschäftsbereichen sollte es zudem jeweils einen oder mehrere Risikoverantwortliche geben. Sie identifizieren kontinuierlich die Risiken innerhalb ihres Verantwortungsbereichs und setzen Maßnahmen zur Risikosteuerung um. Als Überwacher von Risiken ist es ihre Aufgabe, sofort aktiv zu werden, wenn ein Risiko auftritt. Wenn sie Veränderungen im Risikoumfeld beobachten, melden sie dies unmittelbar an den Risikomanager.
Von der Strategie zur operativen Umsetzung
"In der Praxis liegt die Schwierigkeit darin, den Risikomanagement-Prozess von der strategischen Ebene in die einzelnen Abteilungen zu tragen. Als Rahmen muss die Unternehmensleitung dafür nach dem Top-Down-Prinzip klare und unternehmensweite Vorgaben zur Umsetzung des Risikoprozesses machen", berichtet Uwe Herre, PwC-Experte für Risikomanagement. Zu diesen Regeln zählt ein einheitlicher Bewertungsmaßstab als Grundlage für eine konsistente Risikobewertung. Eine solche Vorgabe kann sein, dass die monetäre Bewertung von Risiken auf vergleichbaren Zeithorizonten basieren muss. Toleranzgrenzen und Eskalationsprozesse müssen definiert und Key-Risk-Indikatoren festgelegt werden.
Der Risikomanagement-Prozess basiert auf einem Regelkreislauf: Die Ziele, die Risikostrategie und die unternehmensweiten Vorgaben werden dadurch kontinuierlich überprüft und angepasst. "Alle Risiken sollten dort erkannt werden, wo sie entstehen. Um Risiken realistisch einzuschätzen und schnell weiterzuleiten, sind die Fachkompetenz und das Risikoverständnis der Mitarbeiter gefragt", erläutert Jörg Tüllner.
Das Risikoreporting stellt alle relevanten Risikoinformationen zusammen
Im nächsten Schritt bewerten und analysieren die Risikoverantwortlichen die identifizierten Risiken auf Basis zentral vorgegebener Bewertungskriterien. Anhand des Portfolios werden die Risiken analysiert und eine Gesamtsicht auf die Risikosituation des Unternehmens ermöglicht. Es bildet die Basis für die Analyse der Korrelationen der Risiken. Sind die Auswirkungen auf das Unternehmen bekannt, werden Maßnahmen zur Risikosteuerung initiiert.
"Das Risikoreporting stellt alle relevanten Risikoinformationen zusammen und leitet sie an die Unternehmensleitung und wichtige Entscheider weiter. Durch diesen Prozess kann jedes Unternehmen sein individuelles Risikoportfolio aufbauen, steuern und überwachen", so Tüllner.
Abb. 1: Der Regelprozess im Risikomanagement, Quelle: PwC
Technologie: Der Antrieb für eine gute Informationsbasis
Fundierte Informationen sind die unentbehrliche Grundlage für unternehmerische Entscheidungen. Risikorelevante Fakten müssen im Tagesgeschäft und bei strategischen Fragen jederzeit nutzbar sein. "Die Herausforderung liegt in vielen Firmen darin, dass die Informationen zwar vorhanden sind, aber an vielen verschiedenen Stellen verteilt", sagt Uwe Herre. Die PwC-Studie belegt, dass in dieser Hinsicht Optimierungspotenzial besteht: Die befragten Unternehmen sind der Meinung, dass IT-Systeme bei der Erkennung und Steuerung von Risiken noch nicht ausreichend unterstützen.
Dabei ist das Potenzial vorhanden: Technologie kann dazu beitragen, Risiken zu identifizieren, diese zu steuern und den Prozess zu unterstützen. Wichtig ist dabei, dass Informationen in automatisierten Prozessen standardisiert erfasst werden. Die Daten müssen jederzeit abrufbar sein und mit weiteren Daten zu neuen Informationen verknüpft werden, sodass die Abhängigkeiten sichtbar bleiben.
Technologie zeigt ihre Stärke insbesondere dort, wo es um mathematische oder statistische Bewertungsmodelle für Risiken geht. Verschiedene Anwendungen berechnen Risikoszenarien und nehmen komplexe Simulationen vor. Technologie leistet aber auch dann gute Dienste, wenn zu einem Risiko nur eine Eintrittswahrscheinlichkeit und die zu erwartenden finanziellen Auswirkungen erfasst werden sollen.
Im Gespräch mit Jörg Tüllner und Uwe Herre, Experten für Risikomanagement bei PwC:
Jörg Tüllner
Frage: An welchen Stellen hakt es in Unternehmen, wenn die Rollen und Verantwortlichkeiten für Risikomanagement im Unternehmen festgelegt werden?
Jörg Tüllner: Ich beobachte häufig, dass in Unternehmen Mitarbeitern zwar die formale Verantwortung für das Risikomanagement übertragen wird. Oft fehlen ihnen aber beispielsweise die Autorität und die Ressourcen, um ihre Aufgaben auszuführen. Oder die Mitarbeiter tragen offiziell die Verantwortung, aber die Ergebnisse ihrer Aktivitäten werden nicht angemessen zugerechnet - positiv wie negativ. Deshalb ist eine klare Zuordnung der Rollen und Verantwortlichkeiten so wichtig. Nur so kann das Risikomanagement als Steuerungsinstrument funktionieren.
Frage: Die Schwierigkeit liegt darin, Risiken frühzeitig zu erkennen und sachgerecht zu beurteilen. Mit welchen Methoden und Ansätzen kann das gelingen und wie kann, falls notwendig, eine schnelle Reaktion sichergestellt werden?
Uwe Herre
Uwe Herre: Um Risiken frühzeitig zu erkennen, sollte ein Unternehmen typische Frühwarnindikatoren festlegen und laufend überwachen. Für die Beurteilung der Risiken sollte eine standardisierte Beurteilungsmethodik zur Verfügung stehen und ein Katalog von adäquaten Gegenmaßnahmen vorhanden sein. Für die Reaktionsgeschwindigkeit auf neue Risiken sind dabei klare Berichtsstrukturen und Entscheidungswege von entscheidender Bedeutung. Ein Beispiel: Ein Energieversorger hat einen Kundenstamm mit großer Produkttreue; die Wechselbereitschaft unter den Kunden ist gering. Drängt ein neuer Wettbewerber mit aggressiver Werbung auf den Energiemarkt, können Frühwarnindikatoren die Stimmung oder die Wechselbereitschaft der Kunden messen. Mögliche negative Auswirkungen auf den eigenen Kundenstamm kann das Unternehmen verhindern. Indem es beispielsweise Kundenbindungsmaßnahmen rechtzeitig initiiert. So kann der Energieversorger drohende Umsatzverluste begrenzen oder im Idealfall vermeiden.
Frage: Welche Rolle spielt technologische Unterstützung beim Einsatz eines Risikomanagement-Systems?
Tüllner: Eine ganz wichtige! Die Technologie ist der Motor der Informationslogistik: Setzen Unternehmen gute Technologien ein, erhöht sich die Effizienz der Informationslogistik und die Qualität der Informationen. Mit den geeigneten Systemen lassen sich Risikoinformationen standardisiert erfassen, jederzeit abrufen und verknüpfen. Alle Mitarbeiter sollten identifizierte Risiken ohne Aufwand und jederzeit melden können. Dazu eignen sich beispielsweise Webformulare im Intranet. Aber das ist nur ein Beispiel. Zentrale Monitoring- und Reportingplattformen, Portaltechnologien, statistische Bewertungsmodelle. An ganz vielen Stellen unterstützten moderne Technologien ein professionelles Risikomanagement.
Lesen Sie dazu
Dienstleistungen
- Jörg Tüllner
- Frankfurt am Main
- Tel: +49 69 9585-1915
- Fax: +49 69 9585-3102
- Uwe Herre
- Frankfurt am Main
- Tel: +49 69 9585-1456
- Fax: +49 69 9585-3430
