<img src="https://secure.leadforensics.com/91138.png" style="display:none;">

Warum das Risikoappetit-Konzept Quatsch ist

Risikoappetit-ist-Quatsch.png

Ich lese gerne die Artikel des russischen Risikomanagement-Experten Alex Sidorenko. Er regt mit seinen kontroversen Sichtweisen und Thesen zum Nachdenken und Reflektieren über Risikomanagement-Themen an. Es gelingt ihm immer wieder, mich mit seinen Erfahrungen und Praxisbeispielen für das Kernthema und umliegende Forschungsgebiete zu begeistern. Er „erdet“ das Thema und holt viele vermeintliche Risikomanagement-Experten hinter den Lehrbüchern hervor und auf den harten Boden der Risk Management-Praxis zurück.

Den folgenden Artikel vom März dieses Jahres habe ich auf seiner lesenswerten Seite „Risk Academy“ gefunden. Und weil vielen LinkedIn-/Xing-Mitgliedern, genau wie mir, das Lesen von Fachtexten auf Deutsch leichter fällt als auf Englisch (geschweige denn Russisch) und weil ich den Artikel so interessant fand, habe ich mich entschlossen, diesen frei zu übersetzen.

Risikoappetit: Alter Wein in neuen Schläuchen

Obwohl das Konzept des Risikoappetits (Englisch „Risk Appetite“) schon seit längerer Zeit existiert, stiftet es in der Risk Management-Community eigentlich mehr Verwirrung und Unsicherheit, als dass es hilft. Und so fragen sich Risikomanager zu Recht, wie sie den abstrakten Begriff des „Risikoappetits“ eigentlich quantifizieren, formalisieren und dokumentieren sollen. Sidorenkos Antwort: Es gibt eigentlich keinen Grund, dies zu tun. Denn es gibt einen besseren Weg.

Seine Argumentation: Die meisten Unternehmen (mit Ausnahme von Finanzdiensteistern, für die das Konzept des Risikoappetits wahrscheinlich gut funktioniert) haben Ihren Risikoappetit bzw. Ihre Risikotoleranzen bereits in der ein oder anderen Form für z.B. Geschäftsentscheidungen oder Geschäftsaktivitäten dokumentiert. Typische Bereiche, in denen das der Fall ist, sind u.a.

  • Aufgabentrennung / Segregation of Duties,
  • Limits für Finanztransaktionen,
  • Auswahlkriterien und Mindestanforderungen für Lieferanten,
  • Investmentkriterien,
  • Null-Toleranz für Betrug, Belästigung am Arbeitsplatz oder
  • EHS („Safety First“: Umweltschutz und Arbeitsplatzsicherheit)

Unterschiedliche Risikoappetite für unterschiedliche Geschäftsbereiche und Funktionen existieren schon seit Jahrzehnten  und zwar lange bevor der Begriff „Risikoappetit“ en vogue war.

Was ist also so neu an dem Risikoappetit-Hype?

Laut Alex Sidorenko nicht wirklich viel. Es handelt sich seiner Einschätzung nach lediglich um ein weiteres Buzzword aus dem Berater-Jargon. Denn jeder Versuch, Einzelrisiken zu einem einzigen Risikoappetit quasi "hochzuaggregieren" ist sowohl unnötig als auch unrealistisch (zumindest für Nicht-Finanzdienstleister). Selbst einige getrennt von einander formulierte Risikoappetit-Statements gehen nach Sidorenkos Meinung völlig am eigentlichen Kern vorbei.
(An dieser Stelle ruft Sidorenko seine Leser auf, mit ihm zu diskutieren, ob Risikoappetit mehr ist als ein Entscheidungstool für das Management und eine „Tick-the-Box“-Übung, um Entscheidungen für Shareholdern vermeintlich transparent darzustellen.)

80% sind vorhanden, 20% müssen entwickelt werden

Anstatt also viele neue und voneinander losgelöste „Risikoappetite“ zu definieren, sollten Risk Manager vielmehr die bereits existierenden Vorgaben bzw. Policies und Vorgehensweisen auf Vorstandsebene in Bezug auf Aussagen zum Risikoappetit und zu Toleranzgrenzen überprüfen.

So haben die meisten Unternehmensentscheidungen bereits implizit einen gewissen Risikoappetit definiert. Zum Beispiel könnten die Unternehmensvorgaben Geschäftstätigkeiten mit anderen Unternehmen untersagen, die für die Herstellung ihrer Produkte auf Zwangs- oder Kinderarbeit zurückgreifen, oder die mit Wirtschaftssanktionen belegt sind. Oder es existiert die dokumentierte Anforderung, Investitionen in Hochrisikoprojekte ausschließlich mit Eigenkapital zu finanzieren. Oder das Unternehmen hat die Vorgabe, schlechten Schuldnern keinen zusätzlichen Finanzierungsspielraum zu geben.

In den Bereichen, in denen bereits ein Risikoappetit definiert wurde, ist es Aufgabe des Risikomanagers, zusammen mit dem internen Auditor zu überprüfen, ob die Aussagen und Grenzen zur Risikotoleranz a) realistisch gesetzt sind und b) auch tatsächlich eingehalten werden.

Laut Sidorenko werden bereits heute 80% einer Geschäftsentscheidung auf Basis von qualitativ / quantitativ definierten Risikoappetiten getroffen. Der Risikomanager muss daher „nur“ diese bereits existierenden Toleranzgrenzen validieren, überwachen und ungewöhnliche bzw. nicht-konforme Aktivitäten melden.

Für die verbliebenden 20%, für die also kein Risikoappetit auf Basis von Vorgabe und Vorgehensweisen definiert wurde, sollte der Risk Manager mit den Verantwortlichen Grenzwerte erarbeiten und diese in bestehende Policies und Prozeduren einbetten. Risikotoleranzen kann nach Sidorenko in drei Gruppen unterteilt werden:

  • Null-Toleranz,
  • akzeptabel innerhalb definierter quantitativer Grenzen, oder
  • akzeptable innerhalb definierter qualitativer Schwellenwerte.

Zwecks Dokumentation des Risikoappetits können sich Risikomanager den bekannten Methoden wie Monte-Carlo-Simulation, Szenario-Analyse oder Entscheidungsbäume bedienen. Einmal definierte Toleranzen sollten regelmäßig auf Ihre Relevanz und Anwendbarkeit überprüft werden.

Wie Sidorenko denke auch ich, dass das Thema Risikoappetit und eigentlich das gesamte Risikomanagement noch viel stärker auf Vorstandsebene verankert werden kann und muss. Die Dokumentation von unterschiedlichen Risikotoleranzen und deren Integration in bestehende „Policies & Procedures“ der Unternehmensführung ist ein Schritt in die richtige Richtung.

 

Alles was Sie fuer den Kauf eines RMIS wissen muessen

Kategorien: Risikomanagement Ansichten und Aktuelles