Am 27. April dieses Jahres hat das KonTraG seinen 15. Geburtstag gefeiert. 15 Jahre ist es jetzt her, dass der Deutsche Bundestag dem Thema „Risikomanagement“ im Rahmen eines umfangreichen Regelungspakets zur Verbesserung der Corporate Governance eine gesetzliche Grundlage gegeben hat. Bis dahin hatte diese Thematik weder auf der Agenda der Praxis noch in der Wissenschaft einen sonderlich hohen Stellenwert eingenommen. Vielmehr standen Fragestellungen der Strategie, des Marketings, des Controllings und des Supply-Chain/ Demand-Chain-Managements im Mittelpunkt der Interesses, was angesichts der sich damals dramatisch verändernden Marktrahmenbedingungen nicht verwundert.
Seither hat sich viel getan, sowohl auf der Gesetzesseite, vor allem im Finanzdienstleis- tungsbereich, als auch in der „Theorie“, wo die Thematik seinerzeit schnell aufgegriffen und zunehmend intensiver bearbeitet wurde. Dadurch haben wir heute ein sehr genaues Verständnis davon, wie Risikomanagement erfolgen muss, wenn es ein Unternehmen stabilisieren und vor existenziellen Krisen bewahren soll. Hierzu ist es vor allem erforderlich, Risikomanagement als kontinuierlichen Steuerungsprozess nach dem Rekursionsprinzip im Unternehmen als Ganzes sowie in allen Teilbereichen des Unternehmens zu implementieren.
Der erste Schritt des Steuerungskreislaufes besteht dabei darin, bestehende Risiken zu identifizieren und hinsichtlich ihres Bedrohungspotenzials zu systematisieren (Risikoinventur/Risikoinventar). Die identifizierten, steuerungsrelevanten Risiken sind im zweiten Schritt mit Hilfe geeigneter Messverfahren (z.B. Value-at-Risk) hinsichtlich ihres
Bedrohungspotenzials zu bewerten und den verfügbaren Deckungsmitteln gegenüberzustellen (Tragfähigkeitsanalyse). Auf der Grundlage der Ergebnisse der Tragfähigkeitsanalyse in Verbindung mit der geplanten Entwicklung des Unternehmens wird im dritten Schritt eine geeignete Sicherungsstrategie entwickelt, deren Umsetzung im vierten Schritt hinsichtlich ihrer Wirkung und möglicher Fehleinschätzungen laufend überprüft wird.
Aber ist mit diesen organisatorischen Maßnahmen allein wirklich schon sichergestellt, dass Risikomanagement seine Ziele erreicht? Diese Frage drängt sich angesichts der Entwicklungen der vergangenen Jahre zunehmend auf, denn die Erfahrung zeigt, dass Risikomanagementsysteme trotz „regelgerechter“ Ausgestaltung versagen können. Angesprochen ist damit der Umstand, dass Risikomanagementsysteme selbst – nicht unerhebliche – Risiken bergen. Einige kurze Beispiele sollen dies illustrieren:
Kommunikationsfehler
Steuerungsrelevante Risiken sind identifiziert und es besteht auch ein Frühwarnsystem, das den Risikoeintritt anzeigt, allerdings sind keine klaren Regeln definiert, wie die entsprechenden Informationen innerhalb der Organisation laufen müssen. So kommt es, dass risikorelevante Informationen zu spät oder gar nicht bei den Risikoverantwortlichen ankommen und dementsprechend nicht auf eingetretene Risiken reagiert wird bzw. Fehlentscheidungen getroffen werden, die von erheblicher Tragweite sein können. So hat die KfW beispielsweise ein solcher Kommunikationsfehler im Jahr 2008 rund 300 Mio. Euro „gekostet“ – die Dimension des Schadens spricht für sich.
Modellierungsfehler
Die Quantifizierung bestehender Risiken erfolgt, sofern möglich, in der Regel mit Hilfe des Value-at-Risk, einem sehr leistungsfähigen Tool, das sich unter stabilen Rahmenbedingungen durchaus bewährt hat. Aus verschiedenen Gründen ist es allerdings gefährlich zu glauben, dass der VaR die Risikosituation eines Unternehmens in jeder Situation realitätsgerecht widerspiegelt. Vor allem, wenn sich die Volatilität des
Risikofaktors erhöht, wirkt sich diese – sehr wesentliche – Veränderung der Rahmenbedingungen (zunächst) nur unwesentlich auf den Risikowert aus und verdeckt damit die tatsächliche Entwicklung der Risikosituation. Ist das Risikomanagementsystem für diese Problematik nicht oder nicht durchgängig sensibilisiert, kann dies dazu führen, dass notwendige Sicherungsmaßnahmen allein auf Grund unrealistischer Modellierung unterbleiben.
Wahrscheinlichkeitsillusion
In der Entscheidungstheorie wird „Risiko“ als eine Entscheidungssituation definiert, in der verschiedene zukünftige Entwicklungen eintreten können, die „vorhersehbar“ (bekannt) sind und denen Eintrittswahrscheinlichkeiten zugeordnet werden können. Wahrscheinlichkeiten spielen im Risikomanagement eine zentrale Rolle und viele Entscheidungen beruhen auf Wahrscheinlichkeitseinschätzungen. Dabei wird jedoch mitunter übersehen, dass eine Wahrscheinlichkeit stets nur eine „Tendenzaussage“ ist, und dass es immer auch eine Gegenwahrscheinlichkeit gibt. So darf beispielsweise nicht davon ausgegangen werden, dass wenn eine Situation mit 99,99 prozentiger Wahrscheinlichkeit eintreffen kann, sie tatsächlich auch eintrifft; die Realität ist „eigensinnig“ und so kann die Gegensituation eintreten, obwohl sie eigentlich fast unmöglich erschien. Das Beispiel LTCM hat dies eindrucksvoll unterstrichen.
Wahrnehmungsdifferenzen
Paul Watzlawick hat mit seinen Arbeiten gezeigt, dass jede „Wirklichkeit“ nur konstruierte Wirklichkeit ist (vgl. z.B. P. Watzlawick: Wie wirklich ist die Wirklichkeit, München und Zürich 2005). Und so kann es durchaus vorkommen, dass die „Wirklichkeit“ einer Risikolage, so wie sie im Risikomanagement nach bestem Wissen und Gewissen herausgearbeitet worden ist, an anderer Stelle völlig anders wahrgenommen wird (kognitive Dissonanz). So lange ein sachlicher Diskurs hierüber geführt wird, bei dem am Ende die Fakten sprechen, kann so eine Wahrnehmungsdifferenz fruchtbar sein und neue Perspektiven eröffnen. Wenn sie aber darauf hinausläuft, dass Entscheidungsträger die Hinweise aus dem Risikomanagementsystem nicht (mehr) zur Kenntnis nehmen, sie abändern wollen oder ihre Meinung durch „eigene“ Analysen und Experten zu bestätigen suchen, ergibt sich hieraus ein erhebliches Gefährdungspotenzial für ein Unternehmen. Vielen Risikomanagern dürfte das Phänomen „kognitive Dissonanz“ aus der Bewertung großer Kreditengagements vertraut sein.
Diese vier Aspekte sind nur einige Beispiele dafür, dass Risikomanagementsysteme versagen können, obwohl sie – zum Beispiel im Sinne der MaRisk – „regelgerecht“ bzw. „idealtypisch“ ausgestaltet sind. Risikomanagement ist mehr als die Steuerung der „bekannten“ Geschäftsrisiken, es ist auch – und vielleicht in Zukunft vor allem – die Steuerung der Risiken des Risikomanagements selbst. Hier stehen Unternehmen und Wissenschaft noch ganz am Anfang, doch es ist klar, dass Risikomanagement nur dann erfolgreich sein kann, wenn es gelingt, auch die Risiken des Risikomanagements sachgerecht zu managen. Das Risikomanagement der Zukunft – Risikomanagement 2.0 – wird andere Wege als zunehmende Regulierung und Formalisierung einschlagen müssen, wenn es sein Versprechen, Unternehmen zu stabilisieren, einlösen will.
