<img src="https://secure.leadforensics.com/91138.png" style="display:none;">

Was zeichnet eine gute Risikokultur aus?

Was-ist-eine-Risikokultur.png

Eine gute, bzw. effektive Risikokultur zeichnet sich dadurch aus, dass sie Entscheidungsträger auf allen Hierarchieebenen belohnt und befähigt, die richtigen Risiken einzugehen und zwar so informiert wie möglich.

Eine erfolgreiche Risikokultur lässt sich unter anderem anhand der folgenden Kriterien erkennen:

  • Leitungskultur („Tone from the Top“): das Senden von klar erkennbaren und konsistenten Signalen seitens der Unternehmensleitung, welche Risiken akzeptiert werden und welche zu vermeiden sind.
  • Verantwortlichkeiten der Mitarbeiter (Accountability): Die unternehmensweite Erkenntnis, dass Risikomanagement keine einmalige „tick the boxes“ Übung, sondern eine kontinuierliche Managementaufgabe ist, mit klaren Prozessen, Verantwortlichkeiten und Feedbackschleifen.
  • Offene Kommunikation und kritischer Dialog: Risikoinformationen sind transparent, aktuell und für jedermann innerhalb der Organisation zugänglich. Auch schlechte Risiken (im Sinne von möglichen finanziellen Verlusten) werden zeitnah und offen kommuniziert, ohne Angst vor möglichen negativen Folgen. Das Melden von und Lernen aus Vorfällen, Beinaheunfällen und verdächtigen Aktivitäten durch Mitarbeiter auf allen Ebenen wird aktiv gefördert.
  • Angemessene Anreizstrukturen (Incentives): Angemessenes und risikobewusstes Verhalten wird belohnt und gefördert, unangemessenes Risikoverhalten wird in Frage gestellt und sanktioniert.
  • Es werden keine Mühen und Kosten gescheut, die Auswirkungen von Risiken auf die Zielerreichung umfassend zu verstehen (und zwar bevor über eine adäquate Risikobewältigungsmaßnahme entschieden wird).
  • Die Funktion des Risk Managers ist in der Unternehmensstruktur fest verankert: die Arbeit des Risikomanagers wird geschätzt, er ist mit angemessenen Ressourcen (Mitarbeitern, Fähigkeiten, Finanzmitteln) ausgestattet und erhält Unterstützung von der Unternehmensführung.
  • Eine Risikokultur braucht eine Unternehmenskultur, die die Vielfalt von Meinungen und Ansichten schätzt, sich nicht auf dem Status Quo ausruht und fortwährend bestrebt ist, Dinge zu verbessern.

Und was genau bedeutet Risikokultur?

Ähnlich der Unternehmenskultur ist auch der Begriff der Risikokultur schwierig zu definieren, da die Definition selbst abstrakte Begriffe wie Werte, Normen und Einstellungen enthält. Dennoch versuche ich es mit der Definition des Basler Ausschusses für Bankenaufsicht (BCBS):

„Risikokultur ist die Gesamtheit der Normen, Einstellungen und Verhaltensweisen eines Unternehmens in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement. Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen.“

Jede Organisation (unabhängig von der Rechtsform und Größe) hat eine Unternehmens- und Risikokultur. Die entscheidende Frage ist, ob diese Kultur eher positiv oder schädlich für den langfristigen Unternehmenserfolg ist.

Sie könnten auch sagen: Risikokultur ist wie eine Petrischale, in der gutes Risikoverhalten wachsen kann und schlechtes nicht.

Warum ist Risikokultur so wichtig?

Jedes Unternehmen muss zur Erreichung seiner Ziele bestimmte Risiken eingehen. Die vorherrschende Risikokultur trägt maßgeblich dazu bei, wie gut oder schlecht das Unternehmen darin ist, diese Risiken zu managen. Die Risikokultur hat also einen großen Einfluss auf die Entscheidungsfähigkeit und die Unternehmensperformance.

Unternehmen ohne eine angemessene Risikokultur rufen Mitarbeiter quasi unfreiwillig dazu auf, Risiken einzugehen, die außerhalb von festgelegten Toleranzgrenzen, Policen und Verhaltensweisen liegen.

Schlimmer noch: die inakzeptablen Risiken, die einzelne Mitarbeiter oder Gruppen eingehen, bleiben oftmals unbemerkt (oder es interessiert keinen)!

Im schlimmsten Fall kommt es zu gravierenden finanziellen Schäden und/oder einem nachhaltigen Reputationsverlust.

Und was ist die Aufgabe von Geschäftsleitung und Risk Manager?

Die Entwicklung und Förderung einer angemessenen und nachhaltigen Risikokultur ist originäre Aufgabe der Geschäftsführung eines jeden Unternehmens. Teil der Risikokultur ist der durch die Geschäftsleitung im Rahmen der Risikostrategie individuell definierte „Risikoappetit“. Letzterer ermöglicht das bewusste Eingehen von und den Umgang mit Risiken innerhalb der Risikotragfähigkeit zur Erreichung der strategischen Ziele.

Es obliegt also der Geschäftsleitung, die Risikokultur „top-down“ zu kommunizieren und kontinuierlich sicherzustellen, dass Risikokultur und strategische Unternehmensziele im Einklang sind. Die oben erwähnte Leitungskultur (Tone from the Top), also die Einstellung der Geschäftsleitung selber, spielt dabei eine entscheidende Rolle. Die Unternehmensleitung sollte sich die folgenden Fragen stellen:

  • Wie sieht unserer Risikokultur zur Zeit aus und wie können wir das Risikomanagement innerhalb dieser Kultur verbessern?
  • Was wollen wir an unserer Risikokultur verändern? Wohin wollen wir?
  • Was müssen wir tun, um dahin zu kommen? Wie sieht die Roadmap aus? Wen oder was benötigen wir hierfür?

Noch herrscht unter Risikomanagern kein Konsens darüber, wie sie die Unternehmensleitung bei der Beantwortung dieser Fragen bestmöglich unterstützen können. Organisationen wie das Institute of Risk Management (IRM) glauben allerdings, dass Risk Manager als „Agents of Change“ eine wesentlichen Beitrag dazu leisten können, die Risikokultur und das Risikomanagement innerhalb einer bestehenden Unternehmenskultur zu verbessern.

If you can’t measure it, you can’t manage it

Die Neuausrichtung der Risikokultur ist ein nicht zu unterschätzendes Change-Management-Projekt, dessen Fortschritt und Zielerreichungsgrad - wie jedes andere Projekt auch – regelmäßig überwacht werden muss. Neben der Definition von Prozessen und Verantwortlichkeiten spielt ein zentrales und einfach zu bedienendes IT-Tool eine entscheidende Rolle.

Denn getreu dem Motto „If you can’t measure it, you can’t manage it“, das Peter Drucker zugeschrieben wird, schafft eine zentrale Risikomanagement-Plattform erst die Grundlage für die effiziente, strukturierte und kontinuierliche Erfassung, Bewertung und Überwachung relevanter Unternehmensrisiken. Zudem bietet es eine Kommunikationsplattform, über die sich Risk Owner, Risk Manager und anderer Stakeholder zeit- und ortsunabhängig über Risiken, Maßnahmen und Aufgaben informieren und sich über Best Practices und Lessons Learned austauschen können.

Besseres Risikomanagement mit einem ERM

 

Kategorien: Enterprise Risk Management