24
24 RISIKO MANAGER 04|2017 ERM Risk Maturity Model Integration von Risikomanagement, Compliance und Controlling Nicht nur Unternehmen der Finanzindustrie, sondern Unternehmen aller Branchen sind mit sich immer schneller ändernden Marktbedingungen konfrontiert. Globale Wertschöpfungsketten, steigende Reputationsrisiken und disruptive Innovationen sind hier exemplarisch nur drei Stichwörter, die regelmäßig auf der Risikolandkarte der Unternehmen auftauchen. Parallel zur rapide steigenden Komplexität resultieren hieraus viele neue Risiken (und Chancen). Diese zunehmende Komplexität und Vielfältigkeit der Risikolandkarte verdeutlicht vor allem, dass Risikomanagement nicht isoliert auf einer „Unternehmensinsel“ stattfinden darf, sondern die Bereiche Unternehmenssteuerung, Strategieentwicklung, Controlling, Risikomanagement und Compliance nur dann effizient funktionieren und einen Mehrwert stiften, wenn die Zusammenhänge erkannt werden und integrativ gedacht und vor allem zusammengearbeitet wird. Hierbei genügt nicht nur der bloße Blick von oben. Sondern es müssen insbesondere die inneren Zusammenhänge einer qualifizierten Analyse unterzogen werden. Hierbei steht beispielsweise die Frage im Vordergrund, welche Beziehungen zwischen den einzelnen Risiken, den regulatorischen Anforderungen und den Komponenten des Controllings bestehen. Auch bei einer groben Analyse wird schnell deutlich, dass viele Risiken eine unmittelbare Beziehung zum Controlling aufweisen, wie beispielsweise Planungs-, Projekt- und Investitionsrisiken. Denn bei Risiken handelt es sich um potenzielle Plan- oder Zielabweichungen. Mit genau diesen Abweichungen beschäftigt sich auch das Controlling. Andere Risiken haben eine unmittelbare Beziehung zu Compliance, wie beispielsweise Reputations- und Rechtsrisiken sowie auch Risiken, die aus Verstößen in den Bereichen
ERM 25 Abb. 01 Upside- und Downside-Risiken Abgrenzung von Risiko und Unsicherheit Positive Abweichung Zielwert Negative Abweichung Chancen Gefahren Quelle: Gleißner/Romeike 2005, S. 27. Geldwäsche und Verbraucherschutz resultieren. Und Risiken, wie beispielsweise Korruption und Betrug haben sowohl Auswirkungen auf Controlling als auch auf Compliance, wie „Dieselgate“ praxisnah belegt. Die wenigen Beispiele zeigen auf, wie wichtig eine Gesamtbetrachtung ist, die die Anhängigkeiten zwischen den einzelnen Themen und auch Risiken identifiziert und entsprechende Maßnahmen zu deren Beherrschung und Eliminierung umsetzt. Risikomanagement und Controlling Realität: auch positive Zielabweichung Praxis: häufig nur negative Zielabweichung Zukunft Wahrscheinlichkeit € Erwartetes Jahresergebnis Eine der Hauptaufgaben des Controllings besteht darin, das Management bei der Planung der wirtschaftlichen Zukunft des Unternehmens zu unterstützen und die erarbeiteten Planziele zu verifizieren. Planung ist eine Vorausschau auf die Zukunft und ist damit immer mit Unwägbarkeiten und Unsicherheiten verbunden. Aber sie birgt nicht nur Risiken, sondern auch Chancen, die sich sowohl als negative als auch als positive Abweichungen vom Planungsziel manifestieren. Risiken sind die aus der Unvorhersehbarkeit der Zukunft resultierenden, durch „zufällige“ Störungen verursachten Möglichkeiten, von geplanten Zielwerten abzuweichen [vgl. Romeike/Hager 2013, S. 88]. Risiken können daher auch als „Streuung“ um einen Ziel- oder Planungswert betrachtet werden (vgl. Abb. 01). Risiken sind daher auch immer nur in einem direkten Zusammenhang mit der Planung eines Unternehmens zu interpretieren. Im Umkehrschluss bedeutet dies, dass Unternehmen, die keine Strategie beziehungsweise strategische Ziele definiert haben, auch keine Zielabweichungen haben können. In diesem Kontext ist der Aufbau eines Risikomanagements nicht möglich, da beispielsweise auch nicht bewertet werden kann, welche Maßnahmen überhaupt umgesetzt werden sollen und betriebswirtschaftlich sinnvoll sind. Mögliche Abweichungen von den geplanten Zielen stellen Risiken dar – und zwar sowohl negative Abweichungen („Gefahren“) wie auch positive („Chancen“) [vgl. Gleißner/Romeike 2005, S. 27]. Abb. 02 Nach dieser Definition sind Risiken klar von Entscheidungen unter Sicherheit abzugrenzen (vgl. Abb. 02). Bei Entscheidungen unter Sicherheit fehlt das Charakteristikum der „Zufälligkeit“, da ein Ereignis sicher eintritt. Die Eintrittswahrscheinlichkeit dieses Ereignisses p beträgt somit 100 Prozent. Risikomanagement konzentriert sich daher auf Entscheidungen unter Risiko sowie Entscheidungen unter Unsicherheit. Als Unsicherheit bezeichnet man einen bewusst wahrgenommenen Mangel an Sicherheit oder an Reliabilität und Validität. Bei Entscheidungen unter Unsicherheit sind die möglichen Szenarien mit ihren Auswirkungen nicht oder nicht vollständig bekannt; auch können für die Szenarien keine Eintrittswahrscheinlichkeiten angegeben werden. Bei Entscheidungen unter Risiko dagegen sind sowohl Informationen über die möglichen zukünftigen Alternativen als auch ihre Eintrittswahrscheinlichkeiten vorhanden. Im Hinblick auf die Charakteristika der Risiken kommt dem Grad der Unsicherheit in der Praxis eine sehr hohe Bedeutung zu. Der US-amerikanische Ökonom Frank H. Knight [vgl. Knight 1921] unterschied bereits zu Beginn des letzten Jahrhunderts bei Entscheidungen unter Sicherheit, Risiko beziehungsweise Unsicherheit Möglichkeit zur Prognose 1 Clear-(Enough) Future ÿÿ Ein Szenario ÿÿ Eintrittswahrscheinlichkeit p 1 = 1 2 Alternate Futures ÿÿ Mehrere Szenarien ÿÿ Eintrittswahrscheinlichkeit p 1 < 1 einzelner Parameterausprägungen bekannt Quelle: Eigene Abbildung in Anlehnung an: Weber, J./ Weißenberger, B.E./ Liekweg, A. 1999, S. 13. ÿÿ ÿÿ 3 Range of Futures Kein Szenario, aber Spannbreite der Parameterausprägungen Eintrittswahrscheinlichkeiten der Ausprägungen bekannt p 1 < ? ÿÿ Grad der Unsicherheit 4 True Ambiguity Keine Basis für Prognose
