Die Risikolandschaft ist heute komplexer, vernetzter und dynamischer als jemals zuvor. Dem Risikomanagement kommt dabei eine Schlüsselrolle zu. Indem es diese Komplexität überblickt und frühzeitig kritische Verflechtungen erkennt, können Unternehmen sich schützen und Ziele zuverlässiger erreichen. Die Praxis zeigt jedoch, dass dies eine enorme Herausforderung für das Risikomanagement darstellt. „Silo-Denken“, fragmentierte Risikomanagementaktivitäten, die nicht an die Unternehmensziele und -steuerung geknüpft sind, eine fehlende Einbindung technologischer Möglichkeiten sowie ein Mangel an Risikokultur stellen nur einige der Hürden dar. Mit welchen Erfolgsfaktoren sind Unternehmen für die Zukunft gewappnet?
Wir leben in einer Welt multipler und vernetzter Krisen, in der plötzlich neu aufkeimende Risiken bereits bestehende verstärken. Das World Economic Forum spricht vom Zeitalter der „Polykrisen“ (Quelle: World Economic Forum (weforum.org)).
Im Rahmen der neuen Flagship-Veranstaltung „Horváth Risk Perspectives“ wurden wesentliche Erfolgsfaktoren erarbeitet, die Risikomanagern dabei helfen sollen, Hürden zu überwinden und sich für die Zukunft zu wappnen. Im Fokus stand dabei die grundlegende Fragestellung, welche Prämissen gegeben sein müssen, um Unternehmen im Zeitalter der Polykrisen resilienter zu machen.
Das integrierte Risikomanagement als Prämisse für Resilienz
Unter Resilienz wird die Widerstandsfähigkeit verstanden. Resiliente Organisationen erkennen Störungen frühzeitig, sind auf diese vorbereitet, sind aber zugleich auch in der Lage, sich schnell und strukturiert an Störungen anzupassen – bei Horváth bezeichnen wir dies als Trusted Governance.
Eine Trusted Governance ist die ultimative Form des integrierten Risikomanagements, die nah an die ursprüngliche GRC (Governance, Risk, Compliance)-Definition der OCEG angelehnt ist (Quelle: OCEG). Dabei rückt insbesondere der Begriff der „Governance“ in den Fokus. Die Governance bildet das Fundament einer Organisation, indem sie ermöglicht, aber auch sicherstellt, dass die Organisation ihren „Purpose“, ihre Werte und ihre Ziele zuverlässig erreichen kann.
Dies kann jedoch eine Herausforderung darstellen, da die Risikolandschaft und damit verbundenen Unsicherheiten, die sich auf die Ziele auswirken können, weitaus dynamischer und vernetzter sind als je zuvor. Zumal Risikomanagement-Aktivitäten häufig in Silos praktiziert werden. Das Risikomanagement fungiert dabei häufig bestenfalls als „Collector“ der Daten, nicht jedoch als „Connector“. Informationen werden separat von Risikomanagement, Business Continuity, Compliance, ISMS und weiteren Funktionen gesammelt und gemeldet.
Darüber hinaus werden Risiken oft bereits implizit von Abteilungen gemanagt, ohne es explizit als Risikomanagement zu bezeichnen. So zum Beispiel vom Qualitätsmanagement, wenn steigenden Ausschussquoten entgegengesteuert wird oder vom HR-Bereich, wenn Maßnahmen gegen die sinkende Mitarbeiterzufriedenheit umgesetzt werden. Dies führt zu blinden Flecken. Interdependente Risiken werden nicht oder zu spät erkannt und es bleibt somit weniger Zeit, um Störungen frühzeitig zu antizipieren. Solch eine Risikolandschaft macht einen integrierten Risikomanagement-Ansatz unabdingbar.
Die Idee der Trusted Governance geht dabei über die Integration der klassischen GRC-Funktionen hinaus. Als Bindeglied zwischen der Unternehmensvision, -strategie und dem Geschäftsmodell sowie der Unternehmensorganisation umfasst sie auch funktionale Risikomanagementaktivitäten. Hierbei wird berücksichtigt, wie aus den Unternehmenswerten und -zielen über verschiedene Funktionen und Ebenen einer Organisation Ziele operationalisiert und Unsicherheiten gesteuert werden.
Diese Grundidee trägt unmittelbar zur Resilienz eines Unternehmens bei, da:
Risikomanagement dezentralisiert wird, wodurch Risiken schneller erkannt und gesteuert werden können
der Fokus des Risikomanagements klar auf der Steuerung kritischer Risiken liegt, um Werte und Ziele einer Organisation zu schützen
Akteure von Risikomanagement-Aktivitäten an einem gemeinsamen Strang ziehen und sich sinnvoll ergänzen, beispielsweise durch die Verzahnung der Risikofrüherkennungsmechanismen des Risikomanagements, die Identifikation vulnerabler Assets im Business Continuity und die gezielte Stärkung der Reaktionsfähigkeit im Krisenmanagement
Die Verzahnung von Risk und Performance verbessert die Risikofrüherkennung
Mit Blick in die Vergangenheit sowie in die Zukunft wurde auf der „Horváth Risk Perspectives“ die Leitfrage diskutiert, ob das Risiko- und Performance-Management jemals wirklich miteinander verzahnt sein werden und was hierfür bisher fehlt. Dabei zeigt sich, dass in der Praxis in den vergangenen Jahrzehnten das Risikomanagement häufig aufgrund regulatorischer Anforderungen sehr stark auf eine stichtagsbezogene Risikoberichterstattung beschränkt war.
Um Risk & Performance jedoch miteinander zu verzahnen, braucht es im Risikomanagement ein gutes Verständnis des Steuerungsmodells des Unternehmens. Es muss klar sein, wie sich Unsicherheiten auf die verschiedenen KPIs auswirken können und welche Folgen dies für das Steuerungsmodell hätte. So lassen sich mögliche Zielabweichungen frühzeitig antizipieren.
KI unterstützt, übernimmt jedoch (noch) nicht die Risikofrüherkennung
Kontrovers diskutiert wurde die Frage, inwiefern der Einsatz von KI (Künstliche Intelligenz) im Risikomanagement dabei unterstützen kann, unbekannte Risiken und Kausalzusammenhänge vorauszusagen.
Bisher sind Anwendungsfälle im Risikomanagement noch sehr rar. Mit den jüngsten technologischen Entwicklungen, wie beispielsweise ChatGPT, können typische Risikodaten bald einfacher vorausgefüllt, komplettiert und sogar validiert werden.
Kontrovers bleibt jedoch die Frage, ob die KI jemals wirklich bei der Früherkennung unbekannter Risiken sowie kritischer Kausalketten, idealerweise im Sinne einer „Cognitive Analytics“ sogar direkt mit gezielter Empfehlung für bestmögliche Gegenmaßnahmen, unterstützen wird. Zurückzuführen ist dies einerseits auf technologische Hürden, beispielsweise die dahinterliegenden Modelle aber auch auf das Paradoxon fehlender historischer Daten für unbekannte Risiken. Auch würde dies auf methodischer Seite einen immensen Aufwand erfordern, um nicht nur Risikotreiber zu identifizieren, aber auch zu verstehen, inwiefern sich diese auf die geschäftsmodellspezifischen Ziele eines bestimmten Unternehmens auswirken.
Risikokultur als Voraussetzung für ein dezentrales Risikomanagement
Unter dem Credo „Everyone is a Risk Manager” wurde diskutiert, ob dieses Idealbild die Rolle des zentralen Risikomanagements überflüssig macht.
Risiken werden heute schon an vielen Stellen im Tagesgeschäft gemanagt, teilweise auch ohne es explizit Risikomanagement zu nennen. Es ist die tägliche Aufgabe aller Mitarbeitenden in einem Unternehmen, sich um die Erfüllung der eigenen Ziele zu bemühen und dabei mit Unsicherheiten umzugehen. Die Personalabteilung ist nicht dazu da, „HR zu machen“ sondern um sicherzustellen, dass die richtigen Personen zur richtigen Zeit im Unternehmen sind. Jeder ist also schon eine Art Risikomanager.
Die Aufgabe des Risikomanagers ist es, Prozesse und Methoden bereitzustellen, die auf zentraler Ebene eine konsistente Berichterstattung für Transparenz ermöglichen, sich jedoch an die Art und Weise anpassen, wie Risiken bereits Tag für Tag dezentral gemanagt werden.
