Ich möchte Sie etwas fragen? Sehen Sie Risikomanagement als:
- alleinige Aufgabe des Chief Risk Officer, als Pflichtübung, die jede Menge Papierkram – aber keine wirklichen Vorteile – bringt; oder
- Verantwortung von allen im Unternehmen und eine Chance, eine sichere Umgebung für heikle Geschäftsentscheidungen zu schaffen?
Natürlich sind diese beiden Auffassungen Extrempositionen. Sehr wenige Unternehmen werden wohl klar mit der ersten oder zweiten Aussage antworten. Aber wenn Ihr Unternehmen realistisch gesehen eher bei 1. als bei 2. liegt, sollten Sie sich Gedanken machen. Denn mit dieser Einstellung laufen Sie Gefahr, sich Image- und/oder finanzielle Schäden einzuhandeln.
Das Umfeld verändert sich
Bisher ging es bei Risikomanagement hauptsächlich um Compliance. Die Einhaltung von Richtlinien war oberste Priorität. Und Unternehmen ernannten einen Risk Officer, um dies sicherzustellen. Sache erledigt?
Nicht wirklich. Denn die Ernennung eines Risk Officer bringt auch Nachteile mit sich. Jeder im Unternehmen sieht ab sofort die Verantwortung für das Risikomanagement allein in dessen Händen und meint, nichts dazu beitragen zu müssen. Das gilt sogar für die oberste Managementebene, die es besser wissen sollte. Der Risk Officer ist also ganz auf sich selbst gestellt – und das schafft Probleme. Oftmals bekommt er nicht die notwendigen Informationen und Mittel, um die Anforderungen umzusetzen. Gleichermaßen werden die von der EU-Datenschutz-Grundverordnung (DSGVO) geforderten Data Protection Officer Schwierigkeiten haben, die Persönlichkeitsdaten im Unternehmen zu identifizieren, wenn sie keine Unterstützung von ihren Kollegen aus der Fachabteilung bekommen.
Noch schwerer wiegt die Tatsache, dass der Risk Officer unter Umständen keine Ahnung vom strategischen Umfeld hat, in dem das Unternehmen agiert – und von den damit verbundenen Herausforderungen. Das ist insofern wichtig, als viele der heutigen Risiken und Hürden, mit denen Unternehmen zu tun haben, jenseits der herkömmlichen Risikofelder liegen.
Schauen wir uns den Finanzsektor an. Viele Risiken sind bekannt und der Umgang mit ihnen ist Routine. Beispielsweise sind heute Algorithmen vorhanden, mit denen eine Bank ohne Mühe das Kreditrisiko vorhersagen und managen kann. Aufgrund der strengen regulatorischen Vorgaben sind diese Einschätzungen oftmals übervorsichtig. Nach der Finanzkrise ist es daher sehr unwahrscheinlich, dass Banken noch einmal an Kreditrisiken scheitern werden.
Das größte Risiko liegt wohl darin, von einem der wie Pilze aus dem Boden schießenden FinTechs abgehängt zu werden. Aber welcher Risk Officer ist schon in der Lage, eine Abwehr gegen eine solche „Gefahr“ aufzubauen? Mit diesem Thema muss sich in erster Linie die Geschäftsleitung unter Heranziehung der Gesamtstrategie beschäftigen. Und der Finanzsektor ist nicht die einzige Branche, in der disruptive Geschäftsmodelle die etablierten Player herausfordern. Alle Unternehmen sind gefordert, Risiken ganzheitlich, also abteilungsübergreifend, zu betrachten.
Ein aktueller Deloitte-Bericht zeigt, dass neue Technologien zu einer höheren Fehlertoleranz führen. Unternehmen sind bereit, Risiken einzugehen, wenn sie dafür unterm Strich mit Vorteilen rechnen können. Doch es ist wichtig, dass es sich dabei um kalkulierte Risiken handelt, die auf intelligenten, faktenbasierten Entscheidungen fußen.
In der Praxis bedeutet dies: Es müssen neben den bisherigen neue Datenquellen integriert werden, um – basierend auf den daraus gezogenen Daten – bessere, holistische (Risiko-)Modelle zu entwickeln. Beispielsweise könnten künftig Social-Media-Daten für individuelle Kreditrisikobewertungen berücksichtigt werden. Dies birgt die Möglichkeit, dem Kreditmarkt neue Kunden und damit neue Umsatzquellen zu erschließen, die allerdings mit einem gewissen Risiko einhergehen, da sie noch nicht auf den Prüfstand gestellt worden sind. Neue analytische Modelle helfen dabei, die Idee zu testen, zu prüfen und die Entscheidung zu treffen, ob sich das Modell sinnvoll in die Geschäftsprozesse integrieren lässt.
Herausforderung vernetzte Wirtschaft
Zusätzlich zu den erwähnten Veränderungen stellt die zunehmende Vernetzung der Wirtschaft neue Ansprüche an das Risikomanagement. Unternehmen sind keine alleinstehenden Entitäten mehr, sie teilen Daten miteinander – und damit Risiken. Crowdsourcing und andere kollaborative Modelle werden immer beliebter. In einem solch erweiterten ökonomischen System hat es ein einzelner Risk Officer jedoch noch schwerer, alle Risiken zu identifizieren und abzuwehren.
Stattdessen sollten Unternehmen und Stakeholder das Risikomanagement im Netzwerk oder „Ökosystem“ gemeinsam angehen. Sie müssen sich zudem darauf einigen, welches Risikolevel noch akzeptabel ist. Ein kollaborativer Ansatz ebnet den Weg für schwierige strategische – und manchmal sogar kulturelle – Entscheidungen, in welche Richtung es gehen soll.
Damit keine Missverständnisse entstehen: Die Ernennung eines Risk Officer – übergreifend oder für jedes einzelne Unternehmen – ist auf jeden Fall sinnvoll. Man darf nur nicht erwarten, dass er diesen Job alleine macht. Risiko und Risikomanagement müssen als „Everyone’s Business“ betrachtet werden, damit Unternehmen in diesem sich rasant ändernden Umfeld erfolgreich sind.
Machine Learning als treibende Kraft
Einen wichtigen Beitrag zu effektivem Risikomanagement können auch Machine-Learning-Algorithmen leisten. Marcel Lemahieu erläutert dies in seinem Blogbeitrag folgendermaßen: „Artificial Intelligence (AI), und insbesondere Machine Learning, ist vielversprechend, wenn es darum geht, einfache Tätigkeiten wie Autofahren oder das Wiedererkennen einer Person in der Menge zu automatisieren. Tatsächlich ahmen diese Techniken zunehmend menschliches Verhalten nach: Lernen, Klassifizierung, Korrelation, Vorhersage, Entscheidungsfindung. Sie reduzieren die Anzahl von Szenarien und helfen dabei, Ereignisse zu antizipieren, indem sie automatisch aus der Vergangenheit lernen.“ Diese Algorithmen erhöhen das menschliche Wissen und machen uns effektiver. Aber ist die Risikolandschaft bereit dafür?
