key: cord-0066395-1tb1gfyu authors: Schäffer, Utz; Brückner, Lars title: Fünf Herausforderungen für das Risiko-Management date: 2021-08-05 journal: Control Manag Rev DOI: 10.1007/s12176-021-0398-1 sha: 4c21c446c96ae5bed0fa9f0906f0057f91c179d4 doc_id: 66395 cord_uid: 1tb1gfyu nan Das Risiko-Management ist in Unternehmen ganz unterschiedlich organisatorisch verortet. Das spiegelt sich nicht zuletzt auch in unserer Befragung wider: 54 Prozent der befragten Finanzvorstände und Controller geben an, dass das Risiko-Management organisatorisch im Controlling verankert ist. Bei 14 Prozent ist es Teil von Legal und/oder Compliance, bei sechs Prozent Teil der internen Revision und 13 Prozent der Unternehmen verfügen über eine eigenständige Risiko-Managementeinheit außerhalb der genannten Bereiche. Weitere Antworten verteilen sich vor allem auf die Verankerung in der Geschäftsführung oder die geteilte Verantwortung mehrerer Abteilungen. Zu denken gibt dabei, dass offenbar nur 50 Prozent der befragten Controller und Finanzvorstände in ihrem Unternehmen klare Verantwortlichkeiten für das Risiko-Management sehen. Und noch ein zweiter Befund regt zum Nachdenken an: Obwohl das häufig propagierte "Three Lines of Defense"-Modell das operative Management als erste Verteidigungs linie des Risiko-Managements vorsieht (vergleiche etwa FERMA/ECIIA 2010; Bantleon et al. 2017; Gleißner 2020a) , berichten nur 24 Prozent der befragten Fi-nanzvorstände und Con troller, dass das operative Management selbst intensiv mit dem Management von Risiken befasst ist. Das deckt sich mit un serer Erfahrung, nach der das Risiko-Management vielfach eher als bürokratische Pflichtübung gesehen wird, wie auch die folgenden Zitate zweier Studienteilnehmer illustrieren: "Es muss halt gemacht werden." Und: "Oftmals Papier, bei konkreten Ereignissen wird dann doch ganz anders reagiert." Theorie und Praxis des Risiko-Managements passen also mit Blick auf die gelebte Verantwortung in vielen Fällen nicht optimal zusammen. Das erscheint bedauerlich -nicht zuletzt vor dem Hintergrund eines weiteren Befunds der Studie: Je stärker sich die Geschäftsleitung in der Einschätzung der Befragten selbst intensiv um das Thema kümmert und damit den Stellenwert des Umgangs mit Risiken unterstreicht, desto höher wird auch die Qualität des Risiko-Managements wahrgenommen. Der gleiche Zusammenhang gilt auch, wenn das operative Management stärker involviert ist. Wir meinen daher: In dem Maße, wie dem Umgang mit Risiken in einem durch Volatilität, Unsicherheit, Komplexität und Ambiguität geprägten Umfeld eine ausreichend hohe Bedeutung zukommt, müssen beide, Geschäftsleitung und operatives Management, dem hohen Stellenwert des Risiko-Managements gerecht werden und sich noch stärker selbst mit dem Thema befassen. In meinem Unternehmen beschäftigt sich das Management sehr intensiv mit … Zustimmung zu den jeweiligen Aussagen auf einer Skala von 1 = "stimme gar nicht zu" bis 7 = "stimme voll und ganz zu"; Einteilung der Kategorien in der Abbildung: "stimme nicht zu" (Antworten 1 und 2); "teils/teils" (Antworten 3, 4 und 5); "stimme zu" (Antworten 6 und 7) Zustimmung zu den jeweiligen Aussagen auf einer Skala von 1 = "stimme gar nicht zu" bis 7 = "stimme voll und ganz zu"; Einteilung der Kategorien in der Abbildung: "stimme nicht zu" (Antworten 1 und 2); "teils/teils" (Antworten 3, 4 und 5); "stimme zu" (Antworten 6 und 7) die Position des Controlling-Leiters oder eine andere Führungsposition in der Finanzfunktion inne und berichten direkt an den CFO oder kaufmännischen Leiter, 29 Prozent sind in anderen Positionen in der Finanzfunktion tätig, beispielsweise als Team-Leiter oder Mitarbeiter im Controlling. 16 Prozent der Befragten fühlen sich "gar nicht" informiert hinsichtlich des Risiko-Managements in ihrem Unternehmen. Diese Teilnehmer haben im vorliegenden Beitrag nur die Frage zur organisationalen Verankerung des Risiko-Managements beantwortet. Die übrigen im Text berichteten Ergebnisse beziehen sich auf Zustimmung beziehungsweise Ablehnung zu den jeweils abgefragten Aussagen (Werte 6 und 7 beziehungsweise 1 und 2 auf einer 7er-Skala von 1 = "stimme gar nicht zu" zu bis 7 = "stimme voll und ganz zu"). Risiken verstehen. Entsprechend gilt es, die Rolle einer ersten Verteidigungslinie wahrzunehmen, die durch Risiko-Management, Controlling und andere Funktionen in einer zweiten Linie ergänzt und unterstützt werden kann (vergleiche FERMA/ ECIIA 2010; Bantleon et al. 2017; Gleißner 2020a) . Art und Umfang dieser Unterstützungsaufgabe sollten sich an dem zugrunde liegenden Risikotyp orientieren. Bei strategischen Geschäftsrisiken und externen, unkontrollierbaren Risiken steht der Dialog im Zentrum. Die traditionell vorherrschende, weitgehend auf Quantifizierung, Reporting und Kontrolle reduzierte Unterstützungsleistung greift zu kurz, Rationalitätssicherung muss eher auf die Orchestrierung eines Risikodialogs im Management und die Rolle eines wertstiftenden Business Partners abzielen. Eine so verstandene Unterstützungsrolle umfasst nicht zuletzt die Bereitstellung von Methoden und Prozessen, insbesondere auch die Gestaltung von Workshops zu strategischen Risiken, Szenario-Analysen und Wargames. Controller, Risiko-Manager oder strategische Planer können dabei den Dialog moderieren, Aussagen von Managern hinterfragen und mit entsprechenden Techniken darauf hinwirken, dass kognitive Verzerrungen der Beteiligten möglichst in den Hintergrund treten. Sie sollten zudem sicherstellen, dass der Dialog auch in konkrete Entscheidungen und Maßnahmen mündet, dass die Ergebnisse der Risikoprozesse angemessen dokumentiert und berichtet werden und schließlich, dass sowohl die Umsetzung der vereinbarten Maßnahmen als auch die Entwicklung von strategischen Risiken und relevanten Frühwarnsignalen lau- Zustimmung zu den jeweiligen Aussagen auf einer Skala von 1 = "stimme gar nicht zu" bis 7 = "stimme voll und ganz zu"; Einteilung der Kategorien in der Abbildung: "stimme nicht zu" (Antworten 1 und 2); "teils/teils" (Antworten 3, 4 und 5); "stimme zu" (Antworten 6 und 7) fend überwacht wird (vergleiche Kaplan/Mikes 2012; Schäffer/ Weber 2016; Gius et al. 2018; Gleißner 2020a Zustimmung zu den jeweiligen Aussagen auf einer Skala von 1 = "stimme gar nicht zu" bis 7 = "stimme voll und ganz zu"; Einteilung der Kategorien in der Abbildung: "stimme nicht zu" (Antworten 1 und 2); "teils/teils" (Antworten 3, 4 und 5); "stimme zu" (Antworten 6 und 7) Das Three-Lines-of-Defence-Modell: Ein Beitrag zu einer besseren Corporate Governance? Entstehung und Rezeption durch Standardsetzer und Regulatoren Guidance on the 8th EU company law directive: Article 41, www.iia.nl/SiteFiles/ECIIA%20FERMA.pdf (letzter Abruf: 05.05.2021) How to build risk into your business model: Smart companies design their innovations around managing risk Value and resilience through better risk management Integratives Risikomanagement: Schnittstellen zu Controlling Robuste Strategien oder optimale Anpassung und Effizienz? oder Wie überlebt man disruptive Innovationen und Wirtschaftskrisen?, in: Risk Management & Rating Association e. V. (Hrsg.): Krisenbewältigung mit Risikomanagement -Jahrbuch Risikomanagement 2020 Managing risks: A new framework The risks you can't foresee: What to do when there's no playbook Levers of organizational resilience Wirklich rationale Entscheidungen: Die nächste Herausforderung für das Controlling Der nächste Schock kommt bestimmt Levers of control The black swan: The impact of the highly improbable