Risk Governance

Risk Governance ist die Durchdringung eines Unternehmens mit einer auf die verschiedenen Zielgruppen (Stakeholder) ausgerichteten Risikosteuerung aus strategischer Sicht. Risk Governance überbrückt die Lücke zwischen dem operativen Risikomanagement und der strategischen Corporate Governance. Ziel der Risk Governance ist es, das Geschäftsmodell eines Unternehmens kontinuierlich auf Risikobedrohungen hin abzuprüfen, es bei Bedarf anzupassen und auf diese Weise nachhaltig umfassend risikorobust zu gestalten.

Beschreibung

Risikosteuerungsproblem

Risk Governance bezieht sich auf die verantwortbare Steuerung von Risiken auf Gesamtunternehmensebene. Während Strategien die bewusste Risikoübernahme zwecks Erzielung von Gewinn im marktlichen Wettbewerb implizieren, ist es gleichzeitig notwendig, dass eingegangene, aber auch unvorhergesehene Risiken die vorhandene Risikotragfähigkeit nicht übersteigen.

Das Dilemma der risikobezogenen Unternehmenssteuerung besteht darin, dass es weder dem „traditionellen“ Risikomanagement noch der Corporate Governance hinreichend gelingt, unternehmensbedrohende Risiken zu erkennen, deren Auswirkungen auf das Geschäftsmodell rechtzeitig zu antizipieren und umgehend die notwendigen Anpassungen der bestehenden sowie der zukünftigen Strategien einzuleiten.^[1] Denn zum einen wendet das – in seiner Grundanlage eher operativ und mechanistisch ausgerichtete – Risikomanagement vielfach (internationalen Standards für das Risikomanagement wie zum Beispiel ISO 31000 oder COSO ERM folgende) standardisierte Risikomodelle und Risikomanagementprozesse auf vorselektierte Standardrisiken an und bewältigt Risiken weitgehend isoliert voneinander und damit nicht im strategischen Gesamtzusammenhang. Zum anderen scheitert die Corporate Governance in der Risikosteuerung, da sie zwar bezogen auf das Unternehmen als Ganzes eine umfassende Regeleinhaltung der Unternehmensleitung und damit eine strategische Risikominimierung sicherstellen soll, allerdings ihrerseits nur ansatzweise auf Geschäftsrisiken ausgerichtet ist und sich zudem häufig in der Erfüllung formaler Regelungsvorgaben und im Ausschluss von Haftungsrisiken erschöpft. In der Konsequenz bestehen in Unternehmen zwei voneinander isolierte Spezialfunktionen, denen die angemessene Berücksichtigung der immer stärker vernetzten und die Unternehmensgrenzen überschreitenden Risiken im Geschäftsmodell nicht durchgehend gelingt.

Philosophie

Risk Governance bietet einen Ausweg aus dem beschriebenen Dilemma, indem sie von übergeordneter Warte für eine proaktive Kontrolle aller Unternehmensrisiken sorgt. Eine auf das Gesamtunternehmen und seine Zielgruppen (Eigentümer, Banken, Kooperationspartner, Kunden, Lieferanten, Mitarbeiter, Öffentlichkeit etc.) bezogene Risikosteuerung wird als grundlegendes Prinzip für alle Entscheidungen im Unternehmen eingeführt. Dies deckt sich mit den rechtlichen Vorgaben zur Sorgfaltspflicht, denen Unternehmensleitungen unterliegen, nicht zuletzt aufgrund des „Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG): Der Vorstand einer Aktiengesellschaft beziehungsweise die Geschäftsleitung einer GmbH sind verpflichtet, geeignete Maßnahmen zu ergreifen, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, frühzeitig erkannt werden. Zudem müssen sie Aussagen zu den Risiken des Unternehmens im Lagebericht veröffentlichen und das Bestehen und den Betrieb des Risikofrüherkennungssystems vom Abschlussprüfer prüfen lassen. Risk Governance nimmt sich dieser Anforderungen an.

Die Philosophie von Risk Governance ist „die Durchdringung des Unternehmens mit einer stakeholderorientierten Risikosteuerung aus strategischer Sicht“^[2]. Hier wird die Verbindung zum Geschäftsmodell deutlich, denn in der Geschäftsstrategie werden die relevanten Stakeholder mit ihren Zielen und Interessen abgebildet. Risk Governance strebt eine proaktive Risikosteuerung aus dem Unternehmen heraus an. Zugleich wird Risk Governance indirekt den Normen der Good Corporate Governance verpflichtet, so dass den Stakeholdern im Hinblick auf risikobezogene Nachhaltigkeit klare ethische Signale gesendet werden können.

Aufgaben

Damit das Geschäftsmodell eines Unternehmens nicht durch nicht-antizipierte Risiken bedroht wird, stellt Risk Governance die Beziehung der vielfältigen Risiken zum Geschäftsmodell mittels vier Aufgaben her^[3]:

• Die erste Aufgabe ist das Design von Risikomodellen, die das Geschäftsmodell in geeigneter Form abbilden. Es gilt, die Art der Risikowahrnehmung, -priorisierung und -aggregation vor dem Hintergrund der konkreten Stakeholderbedingungen festzulegen. Dabei liegt der Fokus auf proaktiv ausgerichteten Risikomodellen, denn durch diese kann die Geschäftsführung neben aktuellen Risiken auch potenzielle Risiken besser wahrnehmen.
• Die zweite Aufgabe ist die Bestimmung von Modellrisiken, also die Identifikation fehlerhaft konzipierter Modelle, beispielsweise nicht valider Messvorschriften oder typischer Anwendungsfallen, als besondere Gefahren für das Geschäftsmodell. Die Risikomodelle werden dahingehend regelmäßig auf den spezifischen sich wandelnden Anwendungskontext bezogen und Stresstestszenarien unterzogen, um ihre Funktionalität dauerhaft zu sichern und die Risikosteuerung permanent zu rekontextualisieren. Dies wird weder von einer Corporate Governance noch von einem Risikomanagement systematisch geleistet.
• Die dritte Aufgabe ist die Forschung und Entwicklung in Risikothemen. Hier werden systematisch inhaltliche und methodische Fortschritte der Risikoforschung und -praxis als Treiber für die Modellentwicklung gesucht und an die spezifische Risikosituation des Unternehmens adaptiert.
• Die vierte Aufgabe ist die Beratung der Unternehmensleitung bei Risikothemen, also wie sie die Risikoinformationen für die Geschäftsprozessgestaltung nutzen. Dazu bedarf es der systematischen Weiterleitung risikosteuerungsbezogener Informationen in die Unternehmensspitze. Indem deren Fähigkeit zur dynamischen Einflussnahme auf den Marktreaktionsprozess ausgebaut wird, leistet Risk Governance einen wesentlichen Beitrag zur Erfüllung der Erwartungen des Gesetzgebers im Hinblick auf die umfassende Sorgfaltspflicht der Geschäftsleitung.

Prozess

Die Implementierung von Risk Governance erfolgt nicht primär als neue formale Struktur im Unternehmen – wobei am ehestens eine Projektorganisation als Risk Governance-Komitee denkbar ist –, sondern findet Eingang in die Entscheidungsprozesse aller betrieblichen Funktionen.

Sind alle betrieblichen Funktionen mit Risk Governance durchdrungen, übernehmen die jeweiligen Akteure zusätzlich zu ihrer fachlichen Aufgabe die Handlungsrolle, zur Erhöhung der Risikorobustheit des Unternehmensgeschäftsmodells beizutragen. Dies geschieht durch die systematische Integration der Risk-Governance-Ideen in das Prozessgeschehen der betrieblichen Funktion: Es werden die jeweiligen Risikomodelle bewusst beschrieben; es werden die mit ihnen verbundenen Modellrisiken ermittelt; es werden Innovationen aus der allgemeinen Beschäftigung mit Risikosteuerung auf die konkrete betriebliche Funktion bezogen; es werden der Geschäftsleitung wahrgenommene Risiken und mögliche Geschäftsmodellauswirkungen mitgeteilt. Des Weiteren wird darauf geachtet, dass die Entscheidungen der betrieblichen Funktion der allgemeinen Risikokultur des Unternehmens entsprechen und dass die obersten Führungskräfte in ihrem beispielgebenden Verhalten im Rahmen ihrer Mitarbeiter- und Stakeholderkommunikation den „Tone from the Top“ bewusst einsetzen.

Auf der Ebene der Geschäftsleitung ist es notwendig, dass sie das Geschäftsmodell des Unternehmens kontinuierlich auf Risikobedrohungen hin abprüft, es bei Bedarf anpasst und auf diese Weise nachhaltig umfassend risikorobust gestaltet. Dies impliziert das Hinterfragen unter anderem von Zielen, Meilensteinen, Ressourcen, Anreizen und Zukunftserwartungen. Auch wenn es schwierig ist, im Hinblick auf zukünftige, aber auch und gerade auf aktuelle Strategien aus den mit ihnen verbundenen strategischen Pfadabhängigkeiten auszubrechen, erlaubt doch gerade diese „dynamic capability“^[4] die Rekonfiguration von Zielsystemen, die Reallokation von Ressourcen und die Reorientierung von Anreizsystemen.

Nutzen

Risk Governance ersetzt weder die Corporate Governance noch das Risikomanagement, sondern bildet eine Brücke zwischen beidem und erhöht deren Wirksamkeit. Risk Governance leistet einen funktionalen Beitrag zum Erfolg eines Unternehmens, indem sie dessen Nachhaltigkeit und Risikotragfähigkeit unterstützt: Unternehmen, die Risk Governance implementieren, überprüfen ihre Geschäftsmodelle dauerhaft und immer wieder neu proaktiv auf alle möglichen Risiken und verhindern somit, dass das Unternehmen in einen Risikosteuerungs-Routinemodus verfällt.

Zugleich wird die Unternehmensleitung kompetenter im Hinblick auf ihre strategischen Risikoentscheidungen, so dass Risiken insbesondere aus dem Bereich des Managementversagens vermindert werden. Eine nachhaltige Risikokultur – also eine kollektive Orientierung an Prinzipien wie Vorsicht, Transparenz und Verantwortlichkeit im Umgang mit Risiko – wird im Unternehmen gestärkt.

Geschichte

Der Begriff der Risk Governance stammt aus der Politikberatung mit dem Ziel, systemische Makrorisiken zum Beispiel aus den Bereichen Gesundheit, Energiegewinnung, kritische Infrastruktur, Cybersicherheit, Umweltverschmutzung und Zukunftsmobilität zu steuern.^[5] Dieser gesellschaftlichen Risikolandkarte hat sich insbesondere der International Risk Governance Council (IRGC) angenommen.^[6][7] Seit 2016 existiert zudem das International Risk Governance Center, eine Kooperation des IRGC mit der Universität Lausanne, das sich auf die Steuerung von Risiken, die mit neuen Technologien zusammenhängen, spezialisiert. In dieser Tradition stehen auch einige Gesellschaften wie die Society for Risk Analysis, die sich unter anderem mit der Risk Governance in Bezug auf Schlüsseltechnologien wie Nanotechnologie, synthetischer Biologie oder Biomaterialien befasst und die Regulation der damit verbundenen Gesundheits- und Sicherheitsrisiken betrachtet. Akteure sind hier primär Regierungen und – auch supranationale – Regierungsorganisationen, zivilgesellschaftliche Organisationen, daneben akademische Institutionen sowie private Unternehmen.

Der spezifische Fokus der Risk Governance auf die unternehmerische Risikolandkarte wurde von einer Forschergruppe der Universität Siegen gelegt^[3]. Damit wurde Risk Governance auch für die Steuerung systemischer Mikrorisiken erschlossen.

Abgrenzung zu Enterprise Risk Management

Das Enterprise Risk Management (ERM) erweitert das traditionelle Risikomanagement im Sinne eines unternehmensweiten, ganzheitlichen oder strategischen Risikomanagements^[8] und wird – alternativ zur Risk Governance – als Reaktion von Unternehmen auf den zunehmenden externen Druck gesehen, eine umfassendere Risikosteuerung als die des „traditionellen“ Risikomanagements vorzuhalten und entsprechende Kritiken zu überwinden. Als Weiterentwicklung des Risikomanagements misst ERM alle Risiken auf Unternehmensebene als aggregiertes Gesamtrisiko, zentralisiert die Risikosteuerung und stellt sich proaktiv auf.^[9] Drei konstitutive Merkmale stehen im Vordergrund: der Prozessgedanke des ERM, die Verortung der Risikoanalyse zentral auf Gesamtunternehmensebene und der Abgleich des ermittelten Gesamtrisikos mit der Bereitschaft des Unternehmens, Risiken einzugehen.^[10] Nach wie vor besteht das Primat des Risikomanagements über die Governance-Aspekte, wobei im ERM einige Governance-Aspekte einen instrumentellen Beitrag dazu leisten, das Risikomanagementsystem an sich zu verbessern, indem sie dessen Steuerung bewusster regeln.^[11]

Im Gegensatz zur Risk Governance erfolgt die Integration operativer und strategischer Risikosteuerungserfordernisse beim ERM über die konzeptionelle Stärkung und Erweiterung des traditionellen Risikomanagements um governancebezogene Elemente – was umgekehrt auch bedeutet, ERM ist im Kern immer noch ein Risikomanagementsystem. Bei der Risk Governance erfolgt die Verbindung operativer mit strategischen Risikosteuerungserfordernissen über den konzeptionellen Lückenschluss zwischen Risikomanagement und Corporate Governance durch deren handlungsorientierte Verzahnung bei der Unternehmensleitung – was umgekehrt bedeutet, Risk Governance beschreitet neue Wege.

Anwendung

Unternehmen

Für Großunternehmen bietet sich Risk Governance an, weil sie klar managementorientiert ausgerichtet ist und die notwendige Verbindung zwischen der nach außen gerichteten Stakeholderorientierung mit der nach innen gerichteten Unternehmensführung mit einem expliziten Risikofokus versieht.

Gerade für kleine und mittlere Unternehmen (KMU) eröffnet die Risk Governance neue Perspektiven der strategischen Risikosteuerung: Vor dem Hintergrund der spezifischen Nach- und Vorteile von KMU gegenüber Großunternehmen wie Restriktionen in der Ressourcenausstattung, strukturelle Kleinheit, höhere Flexibilität und informellere Institutionalisierung ist Risk Governance konzeptionell so flexibel, dass sie individuelle Lösungen für KMU in unterschiedlichen Entwicklungsstufen bereitstellen kann. Gerade diese Flexibilität ist ihre besondere Stärke: Der Umfang der Risk Governance ist skalierbar im Hinblick auf die Bedürfnisse des Unternehmens. Für Unternehmen mit bereits stark ausgebautem quantitativen Risikomanagement wird der Schwerpunkt der Risk Governance eher auf der sinnvollen Verbindung zwischen Corporate Governance und Risikomanagement liegen. Unternehmen, die von ihrer Größe oder ihrer Präferenz her einem quantitativen Risikomanagement eher skeptisch gegenüberstehen, können mithilfe der Risk Governance die bereits qualitativ beurteilten Risiken gezielter mit dem Geschäftsmodell verzahnen.

Kreditinstitute

Unternehmen der Finanzbranche sind im Hinblick auf die Risikosteuerung besonders exponiert, da ihr Geschäftsmodell explizit die Risikotransformation adressiert und § 25a KWG deswegen explizit ein Risikomanagement einfordert. Es dient dazu, die mit dem Geschäftsmodell verbundenen Risiken zu identifizieren, zu analysieren, zu steuern und zu überwachen. Die Verbindung zur Strategie kommt in den Budgets und Limiten zur Risikotragfähigkeit und in der Optimierung des Rendite-/Risiko-Verhältnisses zum Ausdruck.

Im Zuge der Veröffentlichung der seit 2016 geltenden SREP-Leitlinien (Supervisory Review and Evaluation Process) durch die Europäische Bankenaufsichtsbehörde EBA^[12], die ihre Erwartungen an das Risikoverhalten von Kreditinstituten konkretisiert, hat die Europäische Zentralbank EZB den Begriff der Risk Governance explizit eingeführt^[13] und zur Prüfungsaufgabe nationaler Bankaufsichtsbehörden gemacht. Das SREP-Konzept basiert dementsprechend auf vier Säulen: der Analyse des Geschäftsmodells, der Bewertung der Governance- und Kontrollfunktionen, der Bewertung der Kapitalrisiken und der Bewertung der Liquiditätsrisiken. Damit werden vollumfänglich sämtliche Facetten abgebildet, aus denen für ein Kreditinstitut Risiken entstehen können. Explizit adressiert wird Risk Governance in der zweiten Säule.^[14] Der Ausbaustand der Risk Governance in Kreditinstituten wurde bereits empirisch untersucht.^[15]

Verwandte Themen

• Enterprise Risk Management als ganzheitliches, unternehmensweites Risikomanagement.
• Corporate Governance als Ordnungsrahmen für die Unternehmensleitung.

Siehe auch

• Risiko
• Risikomanagement

Literatur

• Volker Stein, Arnd Wiedemann (2016): Risk Governance: Conceptualization, Tasks, and Research Agenda, in: Journal of Business Economics 86 (8), S. 813–836. doi:10.1007/s11573-016-0826-4
• Arnd Wiedemann, Volker Stein (2017): Risk Governance – Lackmustest für das Geschäftsmodell, in: Stefan Kirmße, Stephan Schüller (Hrsg.), Aktuelle Entwicklungslinien in der Finanzwirtschaft – Teil 1. Festschrift zum 60. Geburtstag von Bernd Rolfes, Frankfurt am Main, S. 231–242.

Weblinks

• Risk Governance-Webseite der Universität Siegen mit betriebswirtschaftlichem Risk Governance-Schwerpunkt.
• Website des International Risk Governance Council (IRGC) mit Schwerpunkt auf systemischen Makrorisiken.
• Website des International Risk Governance Center (IRGC) der École Polytechnique Fédérale de Lausanne mit Schwerpunkt auf systemischen Risiken neuer Technologien.
• Website der Society for Risk Analysis (SRA) mit Schwerpunkt auf Risikoanalyse und risikobezogener Problemlösung.

Einzelnachweise

1. Volker Stein, Arnd Wiedemann: Das Risiko liegt im Risikomanagement. Hrsg.: Frankfurter Allgemeine Zeitung. 7. April 2016, S. 18. 
2. Redaktion RiskNET: Stakeholderorientiertes Risk Management aus strategischer Sicht. RiskNET, 25. Januar 2017, abgerufen am 7. August 2017. 
3. Volker Stein, Arnd Wiedemann: Risk Governance: Conceptualization, Tasks, and Research Agenda. In: Journal of Business Economics. Band 86, Nr. 8, 2016, S. 813–836, doi:10.1007/s11573-016-0826-4. 
4. David J. Teece: Explicating Dynamic Capabilities. The Nature and Microfoundations of (Sustainable) Enterprise Performance. In: Strategic Management Journal. Band 28, Nr. 13, 2007, S. 1319–1350, doi:10.1002/smj.640. 
5. Ortwin Renn: Risk Governance. Coping with Uncertainty in a Complex World. Earthscan, London / Sterling, VA 2008, ISBN 978-1-84407-291-0. 
6. IRGC: Risk Governance Deficits: An Analysis and Illustration of Most Common Deficits in Risk Governance. (PDF) 4. Januar 2004, abgerufen am 7. August 2017. 
7. IRGC: What is Risk Governance? 2015, abgerufen am 7. August 2017. 
8. Robert E. Hoyt, André P. Liebenberg: Evidence of the Value of Enterprise Risk Management. In: Journal of Applied Corporate Finance. Band 27, Nr. 1, 2015, S. 41–47, doi:10.1111/jacf.12103. 
9. Cican Simona-Iulia: Comparative Study between Traditional and Enterprise Risk Management – A Theoretical Approach. In: Annals of the University of Oradea, Economic Science Series. Band 23, 2014, S. 276–282. 
10. Mark Beasley, Don Pagach, Richard Warr: Information Conveyed in Hiring Announcements of Senior Executives Overseeing Enterprise-wide Risk Management. In: Journal of Accounting, Auditing and Finance. Band 23, Nr. 3, 2008, S. 311–332, doi:10.1177/0148558X0802300303. 
11. Sara A. Lundqvist: Why Firms Implement Risk Governance – Stepping Beyond Traditional Risk Management to Enterprise Risk Management. In: Journal of Accounting and Public Policy. Band 34, Nr. 5, 2015, S. 441–466, doi:10.1016/j.jaccpubpol.2015.05.002. 
12. EBA: Guidelines on Common Procedures and Methodologies for the Supervisory Review and Evaluation Process (SREP), EBA/GL/2014/13. (PDF) 19. Dezember 2014, abgerufen am 7. August 2017. 
13. EZB Bankenaufsicht: Prioritäten des SSM im Jahr 2016. (PDF) 2016, abgerufen am 7. August 2017. 
14. Arnd Wiedemann, Volker Stein, Julian Quast: Risk Governance – Eine aufsichtsrechtliche Anforderung auf dem Weg ihrer Konkretisierung. In: Die Bank. Nr. 09, S. 36–40. 
15. Arnd Wiedemann, Volker Stein, Julian Quast: Benchmarkstudie „Risk Governance in regional tätigen Kreditinstituten“ 2016. (PDF) Lehrstuhl für Finanz- und Bankmanagement, Universität Siegen, 2016, abgerufen am 7. August 2017.