30
30 RISIKO MANAGER 04|2017 Abb. 09 dass Risiken entsprechend ihrer Ausprägung durch geeignete Verteilungsfunktionen (beispielsweise eine Compoundfunktion, eine Weibull-Verteilung oder eine Dreiecksverteilung) dargestellt (vgl. hierzu Abb. 03) und im Rahmen einer stochastischen Simulation realistisch bewertet und aggregiert werden können. Dies trifft selbstverständlich auch auf die Chancen zu, die gleichwohl zu bewerten und in Relation zu den Risiken beispielsweise im Kontext der stochastischen Aggregation zu berücksichtigen sind. Die Anwendung muss letztlich in der Lage sein, den Risikoumfang und damit die Risikotragfähigkeit des Unternehmens zu berechnen. Weitere Kennzahlen, wie beispielsweise der Value at Risk (VaR), der Expected Shortfall (ES), der Return on Risk Adjusted Capital (RORAC) und Risk Adjusted Return on Capital (RAROC) sollten dabei als Risikomaße beziehungsweise Performancemaße berechnet und ausgegeben werden. Controlling Integrative Betrachtung von Risk Management, Controlling und Compliance Planungsrisiken Projektrisiken Investitionsrisiken Korruption Compliance Risk Management Die Controlling-Anwendung muss einerseits die notwendigen Plandaten für das Risikomanagement zur Verfügung stellen und andererseits die vom Risikomanagement gelieferten Daten in den Planungsprozess (Bandbreitenplanung beziehungsweise Korridorplanung) und das Reporting Betrug Controlling übernehmen. Dabei fließen die Simulationsergebnisse des Risikomanagements wiederum als Plandaten in den Controlling-Prozess ein [vgl. Gleißner/Romeike 2005, S. 87]. Compliance Reputationsrisiken Rechtsrisiken Geldwäsche Verbraucherschutz Die Compliance-Anwendung muss einen kompletten und strukturierten Überblick über alle relevanten regulatorischen Anforderungen vermitteln. Dabei geht es nicht im Allgemeinen darum, ob eine regulatorische Anforderungen überhaupt relevant für ein Unternehmen ist, sondern wie relevant sie für die Geschäfts- und Risikostrategie im Besonderen ist. Hier muss die Anwendung in der Lage sein, diese Relevanz klar zu bewerten und darstellen zu können. Übergreifende Funktionalitäten Um den dargestellten Ansatz, der Zusammenführung von Risikomanagement, Controlling und Compliance effizient umsetzen zu können, muss es nicht nur möglich sein, zwischen den Anwendungen Daten auszutauschen oder auf gemeinsame Daten zuzugreifen, sondern es muss auch gemeinsame beziehungsweise übergreifende Funktionalitäten geben. Insbesondere in den Bereichen Risikomanagement und Compliance muss auf spezifische Ereignisse oder Situationen in Form von adäquaten Maßnahmen reagiert werden. Während beim Risikomanagement eine proaktive Risikohandhabung und -vermeidung im Vordergrund steht, geht es bei Compliance vornehmlich um die umfassende Umsetzung der regulatorischen Anforderungen in Bezug auf alle im Unternehmen betroffenen Organisationseinheiten. In beiden Fällen sind systemgestützte Maßnahmen das geeignete Mittel, um die Umsetzung kontrolliert und termingerecht zu gewährleisten. Dabei sollte es möglich sein, für Maßnahmen Verantwortliche und Termine benennen zu können und deren Einhaltung automatisch zu überwachen. Obwohl die Umsetzung von Maßnahmen bereits überprüft wird, sind Kontrollen (siehe Internes Kontrollsystem, IKS) ein zusätzlich sinnvolles Mittel, um durch deren periodischen oder sporadischen Einsatz weitere Sicherheit zu schaffen. Dabei sollten vor allen Dingen der Deckungsgrad der Durchführung von Maßnahmen überprüft werden. Ein weiterer wichtiger Aspekt, der alle drei Bereiche betrifft, ist die Möglichkeit Beziehungen zwischen Objekten der einzelnen Bereiche herstellen zu können. Dabei wird beispielsweise eine Position in einer Plan-GuV mit einem oder mehreren Risiken verknüpft oder eine regulatorische Anforderungen mit einem Reputationsrisiko. Die Anwendung muss eine intuitiv bedienbare Benutzeroberfläche zur Verfügung stellen, auf deren Basis diese Verknüpfungen erstellt und ausgewertet werden können. Zudem sollte es möglich sein, unterschiedliche Arten von Verknüpfungen definieren und anwenden zu können. Diese dienen dazu, eine qualifizierte Auswertung von Verknüpfungen zu erleichtern. Fazit und Ausblick Die Integration von Risikomanagement, Compliance und Controlling sowie weiterer Funktionen (beispielsweise IKS) ist wichtig für die Effizienz, Funktionsfähigkeit und vor allem Akzeptanz in der Praxis. In Abb. 10 ist eine Reifegrad-Treppe (Risk Maturity Model) wiedergegeben, die die wesentlichen Schritte von einem initialen System
31 Abb. 10 Reifegrad-Treppe im Risikomanagement Strategisches/operatives Steuerungsinstrument Regulatorische Pflichterfüllung ÿÿ ÿÿ ÿÿ ÿÿ ÿÿ Initial Primär regulatorisch motiviert Ausgewählte Risiken qualitativ erfasst und dokumentiert („Risikobuchhaltung”) Kollektionsmethoden Es dominiert „Management by Zufall und Glück”, Entscheider erkennen keinen Mehrwert! RM ist Teilzeitfunktion ÿÿ ÿÿ ÿÿ ÿÿ ÿÿ ÿÿ Basic RM und RM-Funktion primär für Reporting Einheitlicher Ansatz, um Risiken/Chancen zu erfassen und zur bewerten Gute „RM Insellösung” in einigen Funktionen (sh. QM, IT-Security, IKS) Begrenzte Harmonisierung Regelmäßiges Reporting zum Management Kein großes Interesse am Thema auf Entscheiderebene ÿÿ ÿÿ ÿÿ ÿÿ ÿÿ Evolved Einheitlich definierter und dokumentíerter RM-Ansatz („one language”) RM Funktion arbeitet mit „1st line of defence” zusammen und unterstützt diese. Analytische Methoden dominieren; Definition von wesentlichen Szenarien Konsistente und vollständige Erfassung der Risiken In weiten Teilen gute Kooperation zwischen den RM-Silos ÿÿ ÿÿ ÿÿ ÿÿ ÿÿ ÿÿ ÿÿ ÿÿ Advanced R/O werden als Planabweichungen definiert („Bandbreitenplanung”) Methodisch fundierte Aggregation Abhängigkeiten werden erfasst und beschrieben Methodisch fundierte Analyse und Bewertung von Maßnahmen RM-Funktion versteht sich als „Business Partner” mit einer unabhängigen Sicht. Transparenz über „Eigentümer” von Risiken Fundierter und umfangreicher „Werkzeugkasten” GRC integriert ÿÿ ÿÿ ÿ ÿ ÿÿ ÿÿ ÿÿ ÿÿ Leading R/O-Management als integriertes Instrument zur strategischen Steuerung Starker Fokus auf analytische Methoden und Kreativitätsmethoden „Gelebte Risikokultur” auf allen Ebenen R/O-Management ist in alle Geschäftsprozesse integriert (keine Silos) Performancemaße zur Steuerung sind „risikoadjustiert” Schlanke und methodisch fundierte RM-Funktion (2nd line of defence), um Entscheidungen zu unterstützen. Frühwarnsignale fließen in die U-Steuerung ein und erhöhen die Robustheit Quelle: RiskNET GmbH. Maturity Level / Zeit hin zu einem „Leading“-System skizziert. Auf der Reifegrad-Stufe „Evolved“ erfolgt immerhin bereits eine gute Kooperation zwischen den existierenden Silos auf Risikomanagement, Compliance-Management und Controlling. Bei „Advanced“ erfolgt zum einen eine Verknüpfung von Planung und Risikomanagement in Form einer „Bandbreitenplanung“ sowie die Integration von Compliance-Management und Risikomanagement zu einem GRC-System (Governance, Risk & Compliance). In der höchsten Ausbaustufe („Leading“) werden Risiko-/Chancenmanagement als strategisches Instrument der Unternehmenssteuerung verstanden. Compliance-Management, IKS und Controlling sind hier selbstverständlich integriert in ein einheitliches Methodensetting und System. Außerdem sind Risikound Chancenmanagement (beziehungsweise Risk-/Opportunity-Management) voll integriert in die Geschäftsprozesse. Basierend hierauf werden Risiko-/Chancenmanagement in der gesamten Organisation gelebt (Risikokultur) und gehören zu den Kernprozesse des Unternehmens. Weiterführende Literaturhinweise: Gleißner, Werner/Kalwait, Rainer (2010): Integration von Risikomanagement und Controlling – Plädoyer für einen völlig neuen Umgang mit Planungssicherheit im Controlling, in: Controller Magazin, Ausgabe 4/2010; S. 23 - 34. Gleißner, Werner/Romeike, Frank (2010): Risikoblindheit und Methodikschwächen im Risikomanagement, in: Romeike, Frank (2010) [Hrsg.]: Die Bankenkrise – Ursachen und Folgen im Risikomanagement, Bank-Verlag Medien, Köln 2010, S. 59-88. Gleißner, Werner/Romeike, Frank (2005): Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung, Haufe Verlag, Freiburg im Breisgau 2005. Hauschka, Christoph/Moosmayer, Klaus/Lösler, Thomas (2016): Corporate Compliance, Handbuch der Haftungsvermeidung im Unternehmen, 3. Auflage, München 2016. Nguyen, Tristan/Romeike, Frank (2013): Versicherungswirtschaftslehre, Grundlagen für Studium und Praxis, Wiesbaden 2013. Romeike, Frank (2007): Hans-Werner Sinn, Ökonom und Präsident des Münchener Ifo-Instituts (Köpfe der Risk-Community), in: RISIKO MANAGER, Ausgabe 06/2007, Seite 23. Romeike, Frank/Hager, Peter (2013): Erfolgsfaktor Risikomanagement 3.0: Lessons learned, Methoden, Checklisten und Implementierung, 3. komplett überarbeitete Auflage, Springer Verlag, Wiesbaden 2013. Romeike, Frank/Spitzner, Jan (2013): Von Szenarioanalyse bis Wargaming - Betriebswirtschaftliche Simulationen im Praxiseinsatz, Wiley Verlag, Weinheim 2013. Romeike, Frank (2016): Disruptive Innovation, in: Der Aufsichtsrat, 10/2016, S. 147. Sinn, Hans-Werner (1980): Ökonomische Entscheidungen bei Ungewißheit, Tübingen 1980. Taleb, Nassim Nicholas (2008): Der Schwarze Schwan – Die Macht höchst unwahrscheinlicher Ereignisse, Carl Hanser Verlag, München 2008. World Economic Forum (2016): The Global Risks Report 2016, 11th Edition, Cologny/Geneva 2016. Autoren: Frank Romeike ist geschäftsführender Gesellschafter der RiskNET GmbH sowie verantwortlicher Chefredakteur der Zeitschrift RISIKO MANAGER. Joachim Teller ist geschäftsführender Gesellschafter der focus DV-Technologie, Beratung und Entwicklung GmbH.
