Risikomanagement als Grundlage jeder Vorstandsentscheidung: In Europa und Lateinamerika fürchtet man vor allem operationale Ausfälle, in Nordamerika und Nahost Cyberangriffe und in Asien das Finanzrisiko.
"Das Risikomanagement ist zur Grundlage jeder Vorstandsentscheidung geworden und im Sinne aller Stakeholder unerlässlich." Das meinte einer der befragten Vorstände in der Studie "In the Boardroom: Risk Governance Review", die von Eversheds Sutherland in Kooperation mit dem Marktforschungsinstitut Oxford Economics durchgeführt wurde. Dabei wurden rund 400 Vorstände und Aufsichtsräte weltweit zur Rolle des Risikos bei ihrer Entscheidungsfindung befragt. Die überwiegende Anzahl der Interviewten gab dabei an, dass jede ihrer Entscheidungen zumindest indirekt von Risiko beeinflusst wird. Gleichzeitig sind sie größtenteils davon überzeugt, bereits jetzt alles Notwendige zu tun, um Risiken in ihrem Unternehmen zu identifizieren und minimieren.
Unterschiedliche Einschätzung je nach Branche und Region
Sieht man sich die Ergebnisse der Studie an, wird klar, dass die Vorstände je nach geografischer Lage, die verschiedenen Arten von Risiken unterschiedlich priorisieren. So gaben knapp die Hälfte aller Vorstände in Nordamerika und im Nahen Osten an, dass das Cyberrisiko (das Gefährdungsrisiko durch Viren und Angriffen aus dem Internet etc.) für sie die größte Bedrohung darstelle. Zwar betrachten Vorstände aus anderen Regionen dies ebenfalls als ernstzunehmende Gefahr, dennoch sind für Vorstände aus Europa und Lateinamerika die operationalen Risiken (wie Geräteausfall, Versagen von internen Verfahren, Systemen oder Mitarbeitern des Unternehmens etc.) am immanentesten. In Asien wiederum messen Vorstände dem Finanzrisiko die größte Bedeutung zu.
Zudem zeigt die Studie, dass der Umgang mit Risiken wesentlich davon abhängt, in welcher Branche das Unternehmen tätig ist. So zwingen die strengen Compliancevorschriften Unternehmen in stark regulierten Sektoren wie der Finanz- oder Pharmabranche, sich intensiv mit operationalen Risiken auseinanderzusetzen. Im Gegensatz dazu müssen sich Unternehmen, deren Businessmodell durch die digitale Transformation bedroht wird, wie etwa Medien- und Handelsunternehmen, auf die daraus resultierenden strategischen Risiken fokussieren.
Der digitale Wandel wird als Risiko oder Chance gesehen
Die Auswirkungen der digitalen Transformation machen vor beinahe keiner Branche halt. Diesbezüglich identifizieren die Befragten vor allem zwei unterschiedliche Risikoszenarien: Das erste ist die Bedrohung durch branchenfremde Rivalen, sogenannte Digital Natives, die plötzlich einfallen und das eigene Geschäftskonzept auf den Kopf stellen. Das zweite sind die potenziellen Opportunitätskosten, die entstehen, wenn Unternehmen es vernachlässigen, neue Technologien in ihre Langzeitwachstumsstrategie zu integrieren.
Im letzten Punkt sehen die Studienteilnehmer gleichzeitig aber auch die Chance, die Konkurrenz abzuhängen. Der digitale Wandel sei deshalb nur dann ein Risiko, wenn er nicht richtig genutzt werde. Entsprechend gaben mehr als die Hälfte der Geschäftsleiter an, mit dem mittleren Management regelmäßig potenzielle Fusionen oder Übernahmen zu besprechen, welche die digitale Wettbewerbsfähigkeit noch weiter steigern könnten. Darüber hinaus beschäftigen 79 Prozent der befragten Unternehmen zumindest ein Vorstandsmitglied mit umfangreicher technologischer Expertise.
Die unterschiedlichen Aussagen der Befragten zeigen auf, dass es für eine effektive Risikoüberwachung keine allgemeingültige Herangehensweise gibt. Dementsprechend gibt es signifikante Unterschiede in den Risikomanagementstrategien. Doch ein Blick auf die wirtschaftlich erfolgreichsten Unternehmen zeigt, dass sie alle eines gemeinsam haben: Sie gehen sehr proaktiv mit dem Thema Risiko um. Ein Vorstandsvorsitzender eines bekannten Finanzdienstleistungsunternehmens fasste dies pointiert so zusammen: "In unserem Geschäft sind Risikofragen mit allem verknüpft, was wir tun. Manche knüpfen Teppiche, wir bewältigen Risiken."
Die Zahl der Risikobeauftragten ist massiv gestiegen
Doch wie begegnen die Vorstände nun tatsächlich den Risiken in ihren jeweiligen Unternehmen? Diesbezüglich haben sich Risikomanagementtools, wie Risikoregister oder Risikostrategiepläne etabliert. Diese sollen sicherstellen, dass bei den permanenten Compliance- und Risikoüberwachungsprozessen nichts übersehen wird. Dabei sollte man beachten, dass diese Tools am nützlichsten sind, wenn sie an die individuellen Bedürfnisse des Unternehmens angepasst werden. Einige Vorstände übertragen die Verantwortlichkeiten für Risikoregister beispielsweise an bestimmte Geschäftsbereiche, die dann an einen Risikoausschuss oder den Audit-Beauftragten berichten, welcher wiederum an den Vorstand berichtet. Andere lassen die Geschäftsbereiche direkt an den Vorstand berichten. Manche Vorstände übertragen die Verantwortlichkeiten wiederum an einen eigenen Risikobeauftragten (Chief Risk Officer) oder eine Person mit ähnlichen Befugnissen.
Gerade der Bereich des Risikobeauftragten hat dabei eine deutliche Entwicklung durchgemacht. Zwar schreibt das Gesetz den Unternehmen in manchen Branchen, wie beispielsweise im Finanzdienstleistungssektor, zwingend das Einrichten eines Risikobeauftragen beziehungsweise eines Risikoausschusses vor. Dennoch hat im Jahr 2018 unabhängig davon die Mehrheit (57 Prozent) der befragten Unternehmen einen Risikobeauftragten angestellt. Demgegenüber hatten 2014 nur 28 Prozent der befragten Unternehmen einen Risikobeauftragten.
Darüber hinaus gaben mehr als 50 Prozent der Befragten an, sich auch externer Berater zu bedienen, um Risikomanagementverfahren zu verfeinern oder potenzielle Schwachstellen aufzudecken. Diese könnten neue Sichtweisen einbringen und so dazu beitragen, eingefahrene Denkweisen zu durchbrechen.
Die Studie zeigt, dass die meisten Vorstände und Aufsichtsräte von ihrem Risikomanagement überzeugt sind und dieses als essenziellen Bestandteil ihrer Unternehmensstrategie sehen. Dennoch wissen sie, dass sie sich nicht auf den Lorbeeren ausruhen dürfen. So sollten die unternehmensinternen Systeme kontinuierlich an die neuen Herausforderungen angepasst und weiterentwickelt werden. Zudem sollten die Risikoverfahren des Unternehmens ständig überprüft und hinterfragt werden.
Um die Effektivität des Risikomanagements zu verbessern, sollten Unternehmen für klare Verantwortlichkeiten sorgen (einen Risikobeauftragten ernennen oder einen Geschäftsführer/Vorstand mit dem Risikomanagement betrauen); die Überwachung der digitalen Strategie ernst nehmen, um nicht von Branchenumbrüchen digitaler Newcomer überrumpelt zu werden; und Geschäftsführer, Vorstände beziehungsweise Aufsichtsräte mit Technologieerfahrung einsetzen oder gegebenenfalls externe Berater holen, um Cyberbedrohungen und Risiken des digitalen Wandels rechtzeitig zu erkennen.