Interview

Trigger-Schwellen

Wie ist der Stand des Risikomanagements in den Unternehmen? Was können sie besser machen? Wir fragten einen der erfahrensten Experten auf diesem Gebiet: Alexander Vocelka von Horváth & Partners.

 

Ukraine-Krise, Isis-Terror, Separatisten in Europa – die globalen Risiken wachsen. Wie sind Unternehmen gerüstet? 
Vocelka: Tatsache ist, dass die Unternehmen durch ihre globale Präsenz und Vernetzung mehr Risiken haben, und sie diese weder genügend analysieren noch in ihre Steuerung integrieren. Risiko wird immer noch als etwas Außergewöhnliches betrachtet und behandelt. Das ist gefährlich: Denn aufgrund der globalen wirtschaftlichen Vernetzung wächst nicht nur die reale Volatilität, sondern auch unsere subjektive Wahrnehmung der Risiken. Ereignisse, die uns früher verzögert und stark gefiltert über die Medien erreichten, betreffen uns heute in Echtzeit global. Das ist eine andere Realität, für die sich die Unternehmen rüsten müssen.

 

Und wieso sind sie so nachlässig?
Vocelka: Es ist das Naturell der Menschen, in allem das Positive, die Chance zu sehen – oder zumindest zu suchen, was unserem Überlebenstrieb geschuldet ist. Das Negative, das Risiko, blenden wir gern aus. Entsprechend schaut auch das Management nicht so gern auf die Risiken. Seien wir ehrlich: Meist zeigt es sich richtiggehend erleichtert, wenn der Risikoteil der Planungsrunden abgehakt ist. 

 

Stimmt da grundsätzlich etwas nicht?
Vocelka: Alle werden ja dafür bezahlt, Chancen für das Unternehmen zu realisieren. In kaum einer Scorecard steht die Früherkennung von Risiken und deren Behandlung an prominenter Stelle. Man ist froh, wenn der Teil «Was könnte noch schiefgehen?» in fünf Minuten abgewickelt ist. Demgemäß lesen sich die Risikoberichte vieler Unternehmen mehr wie eine Wettervorhersage: «Es könnte regnen, es könnte schneien, es könnte auch der Blitz einschlagen. Wir wissen es alle nicht. Aber hiermit haben wir erwähnt, dass es so sein könnte. Punkt. Nächstes Thema.» 

 

Immerhin gibt es Risikoabteilungen.  
Vocelka: Eine Abteilung macht noch kein Risikomanagment. Außer bei den Banken, Versicherungen und den Ölgesellschaften sind sie meist dünn besetzt und mit dürftigen Instrumenten ausgestattet: Es gibt große Unternehmen, bei denen das Risikomanagement auf der Konzernebene von einer 20 Prozent-Teilzeitkraft geführt wird. In einem anderen sammelt eine einzige Person auf Holdingebene alle Informationen zum Risikomanagement und leitet sie an den Vorstand weiter – bei einer Arbeitszeit von ein oder zwei Stunden an einem speziellen Tag in der Woche. Erkrankt diese Person, gibt es keine Vertretung. Dann fällt das Risikomanagement für diese Zeit eben aus. Oder man nimmt einfach den Risikobericht der Vorwoche.  

 

Welcome to Risk Management 2014? 
Vocelka: So fahrlässig gestaltet sich das sicherlich nicht bei allen Unternehmen. Aber in vielen Organisationen wird das Risikomanagement als Alibi oder nebenherbei behandelt und nicht in das Management integriert. 

 

Es ist also eine Systemfrage?
Vocelka: Offensichtlich gilt hier das Subsidiaritätsprinzip an der falschen Stelle. Das Motto lautet: Jede Produktions- oder Serviceeinheit kennt doch ihre Risiken am besten und kann sie demnach auch am ehesten managen. Dabei vergisst man aber, dass auch Risiken vernetzt sind. Viele Rückrufaktionen in der Automobilindustrie etwa haben ihre Ursache im kleinsten Detail. Zudem werden das Risiko- und das Qualitätsmanagement ver-mischt. Beispiel: Wenn ich eine 0,1-prozentige Fehlfunktionswahrscheinlichkeit bei einem Scheibenwischer habe, scheint das insignifikant. Aber was ist, wenn defekte Wischer in den USA fünf Unfälle verursachen? Solche Risiken haben gefährliche Verzögerungszünder. Manchmal schlummern sie jahrelang unter dem «Radar» des Managements. Oder die Bewertung geht im Zuge der Filterung und Aggregierung durch die Hierarchiestufen verloren. 

 

Was können Leader besser machen? 
Vocelka: Sie sollten eine ganzheitliche Sicht auf alle internen und externen Risiken, aber auch die Chancen einfordern. Beide können durch Kausal- oder Treibermodelle visualisiert und verfolgt werden. 

 

Das klingt sehr anspruchsvoll... 
Vocelka: Die entsprechenden Instrumente, wie etwa Risikoradars und -sensoren, sind heute verfügbar. Das Management sollte alle Risikoaspekte in einem Unternehmen ganzheitlich erfassen, darstellen, verfolgen und behandeln können. Dazu gehört auch Compliance. Der Prozess des Risikomanagements sollte als konzentrischer Kreis in den gesamten Steuerungsprozess eingebaut und die Frage nach Risiken nicht mehr vom Moment oder der verfügbaren Zeit abhängen, sondern Standard und Pflicht sein. Ich behaupte: Das eröffnet eine ganz andere Sicht auf das Unternehmen und sein globales Wirkungsumfeld.    

 

Entscheiden nicht viele Leader – unabhängig von der Risikomanagementabteilung – einfach punktuell? 
Vocelka: Leider stimmt das vielfach. Der CFO eines großen Unternehmens etwa, der normalerweise keine Zeit zum Fernsehen hat, sah im Urlaub die TV-Bilder der sich entwickelnden Ukraine-Krise. Plötzlich wurden ihm die Konsequenzen für sein in Russland wie auch in der Ukraine tätiges Unternehmen klar. Besorgt rief er im Büro an, und innerhalb kürzester Zeit wurden eine ganze Reihe von Maßnahmen entschieden und auch umgesetzt. Aber waren das auf die Schnelle die richtigen Maßnahmen? Dieses Ad-hoc-Risikomanagement ist leider weiter verbreitet als man glaubt. 

 

Kann das Risikomanagement eines Großkonzerns vom zufälligen TV-Konsum seines Finanzchefs abhängen? 
Vocelka: Das ist sicherlich ein Extremfall. Dennoch gehört das gesamte Risikomanagement der Unternehmen auf den Prüfstand: die verbreitete Risikomatrix genauso wie alle Tools und Methoden.  

 

Gibt es bereits positive Ansatzpunkte? 
Vocelka: Es gibt mehrere richtungsweisende Ansätze, die das Risikomanagement zu einer hart messbaren Funktion machen. Oft fragen mich Manager, welche neuen Möglichkeiten es heute anders als vor 15 Jahren gebe. Ich sehe zwei wesentliche Punkte: das Internet und Big Data. Das Internet teilt sich derzeit sogar in drei gleichwertige, wenn auch sehr verschiedene Informationsquellen: das Internet of People, das Internet of Biosphere und das Internet of Things. Diese Kombination verleiht uns heute eine unglaubliche Sicht. Wir können heute Dinge sehen, die noch vor 20 Jahren unvorstellbar waren. 

 

Was ist an Neuem möglich?
Vocelka: Zum Beispiel die Fähigkeit, quantifizierbare Risikoprofile zu erstellen, die in Kombination mit einem Risikomanagementsystem verändert werden, was wiederum eine Verhaltenstransformation bewirkt. Unternehmen können sich so dank dieses modernen Risikomanagementsystems viel agiler und chancenorientierter bewegen – ohne das absolute Risiko zu erhöhen. Man verändert also die tatsächliche Risikoprämie.  

 

Mit welchen Folgen für die Manager? 
Vocelka: Das Management hat sich beim Eintritt von Risiken oder nachteiligen Trends und Entwicklungen, wie etwa disruptive Innovationen, meist nicht dafür zu verantworten, ob es schuld ist am Eintritt eines Risikos, sondern mehr, inwieweit es auf solche Situationen generell vorbereitet ist. Investoren und Shareholder stellen dagegen meist drei Fragen: Hätte das Management das Risiko erkennen können? Hätte es präventiv handeln können? Hätte es auf die Herausforderung richtig reagieren können? Wer nur eine dieser drei Fragen bejahen muss, hat unmittelbaren Handlungsbedarf. Es ist auch eine Frage der moralischen Verantwortung, denn wenn keine Vorschrift missachtet wurde, heißt das noch nicht, dass ich nichts falsch gemacht habe. Gerade bei Risiken bin ich als Manager auch für all das verantwortlich, was ich nicht unternommen habe.  

 

Welchen Nutzen bringt ein stärker analytisches Risikomanagement? 
Vocelka: Gerade weil Big Data das Silver Bullet für das Risikomanagement darstellt, ist die Analytik das zentrale Instrument. Hier aber müssen wir differenzieren: Risikomanagement beinhaltet Big Data, die Modellierung von Risikosystemen und Algorithmen. Und hier sehen wir, dass Business Analytics und Risikomanagement zwei Seiten einer Medaille sind. Während Business Analytics bisher sehr stark für die Suche nach Kosten, Profit oder Marktchancen allgemein eingesetzt wurde, verlangt das Risikomanagement vor allem, die andere Seite der Medaille zu analysieren.

 

Wo genau liegt der Unterschied?
Vocelka: Während Business Analytics bisher stark korrelativ und extrapolativ arbeitete und dabei die Extrapolation oft mit Prädiktion vermischt wurde, arbeiten Risikomodelle etwas anders: Sie filtern aus Big Data relativ wenige, aber relevante, sogenannte «Low Frequency»-Daten. Oftmals auch aggregierte Massendaten, die ein Subsystem bündig beschreiben. Und auf einer Makroebene werden die verschiedenen Systeme zu größeren Risikosystemen auf der Basis von Beziehungsmodellen verknüpft. Hier werden Trends und Events sowohl intern als auch extern simuliert und verfolgt. Alle diese Systeme sind lernend – ob überwacht oder nicht.

 

Helfen diese Modelle auch der strategischen Unternehmensleitung? 
Vocelka: Absolut! Genau dafür sind sie gemacht. Diese Modelle sind vom Typ «Expertensystem». Das heißt, sie sind nicht nur lernend, sondern sie nutzen auch die menschliche Expertise und Erfahrung in Initial- oder Randbedingungen, ebenso aber durch Experten-Updates. 

 

Welchen Vorteil bringt das? 
Vocelka: Diese Modelle, aufgestellt und entwickelt von Data Scientists, haben den Charme, dass sie das Topmanagement mit seinem Wissen und seiner Erfahrung genauso einbeziehen wie Fachleute oder Maschinendaten. Das ist revolutionär: Zum ersten Mal steht der «Bauch» des Managements nicht gegen die Maschinendaten, sondern entscheidet im Einklang mit Daten, Modellen und Algorithmen. Entscheidend ist nicht mehr, woher das Wissen stammt, sondern wie relevant es für die Entscheidungs- oder Risikobewertung ist. 

 

Ob ein Unternehmen aus einem Risiko  eine Chance macht, liegt also an der Qualität seines Wissens über die Risikofaktoren im Markt?
Vocelka: Das ist der Charakter der Dualität. Die Chance eines Fußballklubs etwa ist das Risiko des anderen und umgekehrt. Erkenne ich ein Risiko, muss die Frage lauten: Wie wirkt sich das für den Wettbewerb aus? Alles spielt sich nur im Informationsraum ab. Betriebswirtschaftlich ist Delta «Risiko» gleich Delta «Wissen». Und Delta «Wissen» ist gleich Delta «Profit». Diese drei Faktoren stehen in einer Kettengleichung. 

 

Bedeutet das zugespitzt: Einem Unternehmen, das behauptet, keine Risiken zu haben, fehlt das werthaltige Wissen und somit auch die Gewinnchancen? 
Vocelka: Ja, denn dann wäre der Gewinn gleich Null. Zudem dürfte es nicht sehr langlebig sein. Ein Unternehmen ohne Risiken ist völlig unrealistisch. Eine sorgfältige Risikoanalyse aber eröffnet mindestens genauso viele Chancen wie Risiken.

 

Welche Chancen eröffnen sich genau? 
Vocelka: Wir bekommen heute Informationen, die wir früher schlichtweg nicht hatten – zum Beispiel die umfassenden Produktbeurteilungen der Verbraucher in Internetportalen. Mittels Big Data-Analysen erhalten wir Einblick in Chancen, die wir früher nicht einmal erahnten. 

 

Können Sie ein Beispiel nennen?
Vocelka: Wir haben etwa die Qualitätsvarianz einiger Produkte anhand von Rezensionen in Relation zueinander analysiert. Da liegt pures Gold für Unternehmen, und es ist direkt sichtbar. Einige Druckerhersteller beispielsweise haben doppelt so viele Modelle, wie der Markt und die Kunden benötigen – und durchweg eine so schwache Qualität, dass bei etlichen Modellen über 20 Prozent der Geräte retourniert werden. Da lässt sich exakt herauslesen, dass all die Kunden gern zehn bis 15 Prozent mehr bezahlt hätten, als solche Fehlkäufe zu verkraften. Wie stark kann man also die Qualität in der Produktion mit zehn Prozent mehr Aufwand steigern?  Das Internet of Things ermöglicht Herstellern, Produkte enger an sich zu binden – und besser zu verstehen, wie sie benutzt werden. Das sind Daten, die kein Testlabor generiert. Darum ist eine Big Data-Strategie für das Risikomanagement so wichtig. 

 

Welche Rolle spielen Compliance-Vorschriften für das Risikomanagement? 
Vocelka: Sie sind sehr stark nach innen gerichtet, auf die internen Prozessrisiken wie etwa Funktionstrennung, Kernkapitalquote oder Vier-Augen-Prinzip – und auf bekannte Risiken. Regularien, die wegen vergangener Ereignisse, sei es die Bankenkrise oder die «Mad Cow Disease», kreiert werden, sind symptomatischer und punktueller Natur. Sie sind meist nicht systemisch ausgerichtet oder wirksam. Jede Regel mag eine Antwort auf ein vergangenes Ereignis sein, aber sie fördert kein Verständnis für Zusammenhänge, für das Risikomodell insgesamt.

 

Und vernachlässigen externe Risiken? 
Vocelka: Ja, diese bleiben dabei unberücksichtigt. Es gibt zum Beispiel für Fluglinien keine verbindlichen Vorschriften, ob sie über ein Kriegsgebiet fliegen dürfen. Solche Entscheidungen muss das Management der Airline treffen, nicht die Aufsichtsbehörden. Es stellt sich zum Beispiel die Frage: Setzen wir wegen einer Abkürzung von 500 Kilometern Menschenleben aufs Spiel? Compliance kann hier eine gefährlich exkulpierende Wirkung haben. Dagegen steht die «Moral Accountability», die Verantwortliche immer öfter verzweifelte Entscheidungen treffen lässt.

 

Was Malaysian Airlines wohl tat und nun nach dem zweiten abgestürzten Flugzeug vor dem Konkurs steht. Was können Manager besser machen? 
Vocelka: Die erste Regel in der globalen Welt lautet: Es gibt viel mehr  «Schwarze Schwäne» als man denkt. Hätte Malaysian Airlines einen Chief Risk Officer gehabt, hätte er – bei guter Governance – sofort Tabula Rasa gemacht und alle nur denkbaren Risiken einmal auf den Tisch gelegt und überprüft, was fehlt.  

 

Und die anderen Fluggesellschaften? 
Vocelka: Es dauerte Tage, bis sie aufhörten, über die Ostukraine zu fliegen. Deutlich gesagt: Sie hatten einfach alle Glück. 

 

Lohnt sich die systematische Analyse externer Risiken auch außerhalb der Hochsicherheitsindustrien? 
Vocelka: Ja, beispielsweise bei der Einführung eines innovativen Produkts in einem neuen Markt: Dabei sollte nicht nur geprüft werden, ob die Funktionalität oder der Name für das betreffende Land geeignet sind, sondern auch, ob politische oder soziale Risiken bestehen. Viele Unternehmen wissen sehr viel über sich selber, aber sehr wenig über ihre Märkte und den Kontext, der diese beeinflusst. Zu berücksichtigen sind vor allem Entwicklungen unterhalb der Oberfläche, wie etwa ein sich veränderndes Umweltbewusstsein.  

 

Insofern ist Risikomanagement auch ein Wetten auf die Zukunft? 
Vocelka: Ich würde nicht «wetten» sagen. Risikomanagement ist eine Investition in die Zukunft – und zwar eine, die aktuell den höchsten Return erzielt. 

 

Inwiefern?
Vocelka: Unternehmen geben noch immer viel Geld aus, um die Vergangenheit granularer zu erfassen und lernen dadurch kaum Neues für die Zukunft. Das Risikomanagement ist das einzige Instrumentarium, das sich voll der Zukunft widmet.

 

Wie wichtig ist in diesem Kontext die Integration externer Risiken? 
Vocelka: Sehr wichtig, weil disruptive Risiken, wie Konflikte etwa in Nigeria, oder Trendrisiken, wie eine technologische Innovation, ein global agierendes Unternehmen viel häufiger und direkter betreffen als früher. Ein Beispiel: der Kampf zwischen Sony und Toshiba bei der Entwicklung optischer High-Definition-Speichermedien vor zehn Jahren. Als sich ein großer Kunde für Sonys Blu-Ray-Standard entschied, gab Toshiba innerhalb von zwei Wochen auf. Oder Kodak: Der Pionier der Fototechnik verschlief den Digitaltrend und ging mit einem großen Teil seine Produktportfolios sehenden Auges unter. 

 

Inwieweit müssen dabei auch längerfristige Risiken einbezogen werden? 
Vocelka: Es gibt Trendrisiken beispielsweise auf dem Gebiet der Demografie: Die zunehmende Zahl der Alten aber auch gebrechlicher Menschen reist immer mehr – und braucht zum Beispiel Rollstühle. Die Airlines sollten heute schon daran denken, wie sie das Design der Flugzeuge und der Abfertigung ändern. 

 

Wie können diese Erkenntnisse in Entscheidungsprozesse integriert werden?  
Vocelka: Trendrisiken können einen langsamen oder einen schnellen Verlauf nehmen. Oft haben sie einen Sigmaverlauf: erst langsam und schwer wahrnehmbar, und plötzlich entwickeln sie ein Momentum. Wie alle Risiken werden sie nach ihrem langfristigen Potential aufgenommen und verfolgt. Um sie zu erkennen, lassen sich konditionierte Suchradare einsetzen. Zum Beispiel Innovationsradare, die anhand eines Produkts oder Services Trends aufspüren. Das Treibermodell selbst hat «Trigger-Schwellen», die bei plötzlichen Veränderungen klare Entscheidungen fordern. Ansonsten verfolgt man die Trendrisiken im regulären Prozess und entscheidet entlang der Maßnahmen: vermeiden, adaptieren, entschärfen. 

 

Risikomanagement braucht also eine ganzheitliche, strategische Sicht?
Vocelka: Absolut! Es geht nicht mehr an, nach dem Motto zu handeln: Ich schaue aus drei Fenstern heraus, aber das Küchenfenster spare ich mir, da passiert schon nichts. Dann kommt das Unheil – frei nach Murphy – durch das Küchenfenster. Wir brauchen eine umfassende Sicht in die Breite und weit nach vorn. 

 

Die zum Beispiel den Banken im Vorfeld der Weltfinanzkrise 2007 fehlte?  
Vocelka: Ja, sie unterschätzten die Entwicklung völlig. Obwohl sie im Gegensatz zu den meisten anderen Branchen über ein dediziertes Risikomanagement verfügen. Aber es besaß keine hinreichenden Makromodelle, sondern nur halbherzige Mikromodelle: Man blickte auf seine Positionen und sah nicht den umfassenden Systemzusammenhang. Die Banken managten zwar ordnungsgemäß ihre internen Kernrisiken, übersahen aber die externen Gefahren komplett – zum Beispiel die Netz- und Dominorisiken.  

 

Wäre das heute besser? 
Vocelka: In erster Linie haben sich Regulierungsbehörden um die Kapitalisierung der Banken gekümmert, aber das korrigiert nicht das Systemproblem. Finanzsysteme sind stark positiv rückgekoppelt, das heißt, sie können leicht schwingen – bis zum Zusammenbruch. Das Problem ist, dass die Finanzbranche immer mehr mit Maschinen und Algorithmen arbeitet. Hochfrequenzhandel ist nur eine Form. Im Vergleich dazu haben Unternehmen der Realwirtschaft es geradezu leicht.

 

Wie sollte Risikomanagement organisatorisch aufgestellt werden? 
Vocelka: Den Anstoß zum Aufbau eines professionellen Risikomanagementsys-tems sollte idealerweise der CFO geben. Ich plädiere bei Großunternehmen für einen Chief Risk Officer (CRO), wie er bei Finanzinstituten Standard ist. Unter dessen Verantwortung lassen sich Business- und Compliance-Risiken zusammenfassen. In mittleren Unternehmen kann der CRO auf der zweiten Ebene neben dem Leiter Controlling agieren. Warum sollte man immer warten, bis Brüssel oder Washington oder andere im Rahmen der Gesetzgebung und Compliance vorgeben, was zu tun ist? 

 

Weil Risikomanagement oftmals als akademischer Luxus gilt. 
Vocelka: Das ist definitiv kein Luxus. Es gibt zum Beispiel Unternehmen, die haben eine komplette Abteilung für Working Capital-Management. Sie erzielen in dem Bereich kontinuierlich wertschöpfende Optimierungen, die die Kos-ten bei weitem aufwiegen. Wenn wir an die Milliarden Kosten durch eingetretene Risiken aller Arten denken, die Großunternehmen zunehmend treffen, könnte man dafür in einigen Fällen jedes Jahr ein komplett neues Risikomanagement einführen, und es würde immer noch den höchsten Return aller Supportfunktionen erzielen. Es geht ja darum, alle bestehenden Risikomanagement-Prozesse zu integrieren, besser zu instrumentalisieren und auf Konzern-ebene als feste Funktion zu etablieren.  

 

Wie ist das in unserer immer komplexeren Welt überhaupt zu leisten? 
Vocelka: Benötigt wird das richtige Instrumentarium. Beispielsweise bei der Business Compliance. Bislang reichte es, wenn Unternehmen die Vorschriften der wesentlichen Industrienationen einhielten, die im Rest der Welt allenfalls leicht modifiziert angenommen wurden. Klagen erreichten die großen Unternehmen vor allem aus den USA und der EU. Das ändert sich gerade dramatisch. Die multipolare Welt zeigt sich darin, dass die BRIC-Staaten (Brasilien, Russland, Indien, China) eigene Regulierungen aufstellen und auch deren Nichteinhaltung sanktionieren werden. Wir sprechen dann nicht mehr von zwei wesentlichen Regulatoren, sondern zehn und bald 20 oder mehr. Und alle werden sich unterscheiden. Denn Regulation ist Wirtschaftspolitik. Außerdem wird die neue Multipolarität auch Rating-Agenturen und die Branche der Wirtschaftsprüfer treffen. Auch hier werden die USA in zehn Jahren nicht mehr die Standards setzen.

 

Welche praktischen Konsequenzen hat das für die Unternehmen? 
Vocelka: Nehmen wir das Beispiel Sanktionen: Heute gehen die Treasurer meist wöchentlich die US-Black Lists durch. Denn an Geschäftspartner, die auf diesen Listen stehen, können keine Überweisungen gemacht werden. Künftig müssen wir das mal 20 oder 50 nehmen. Die Frequenz, wer wen gerade sanktioniert, wird sicher zunehmen. 

 

Lassen sich Organisationen in diesem globalen Regel-Dschungel überhaupt noch steuern? 
Vocelka: Ja, und er bietet sogar neue Chancen: Unternehmen beispielsweise, die mithilfe von integriertem Risikomanagement vor ihren Wettbewerbern erkennen, dass sich bestimmte Sanktionen dem Ende zuneigen, und frühzeitig die Weichen für Investitionen stellen, sichern sich künftige Aufträge. Amerikaner und Russen etwa bereiten derzeit schon präventiv eine Investitionsoffensive im Iran vor. Flugzeugersatzteile von Boeing durften dabei ausnahmsweise bereits geliefert werden. 

 
 

Quelle: BUSINESS INTELLIGENCE MAGAZINE, www.bi-magazine.net 
© ProfilePublishing Germany GmbH 2014_2015. Alle Rechte vorbehalten. 
Vervielfältigung nur mit Genehmigung der ProfilePublishing Germany GmbH

 
Business Intelligence Magazine: Springe zum Start der Seite