Jede Kennzahl, die einen entscheidenden Einfluss auf den Unternehmenserfolg oder sogar den Fortbestand des Unternehmens hat, muss messbar gemacht und mit den relevanten Risikoinformationen verknüpft werden. Quantitative Risikobewertungen werden nun nicht mehr als Absolutgrößen dargestellt, sondern sind als Abweichung zu jenen Zielgrößen definiert. Ein performance-orientiertes Risikomanagement macht also die Auswirkung von Risiken auf die erfolgskritischen Steuerungskennzahlen eines Unternehmens messbar und adressiert Abweichungen vom Zielwert. Dies ermöglicht szenariobasierte Vorausplanungen, direkte Kosten-/Nutzenabwägungen in der Risikomitigation und damit letztendlich eine performance-orientierte Risikosteuerung.
Zentrale strategische Geschäftsrisiken unterliegen aufgrund ihrer Kritikalität besonders hohen Anforderungen an Transparenz und Beherrschbarkeit. Im Rahmen des performance-orientierten Risikomanagements werden die finanziellen Auswirkungen auf zentrale Unternehmensgrößen ermittelt und bestehende Ursache-Wirkungszusammenhänge identifiziert und berücksichtigt.
So kann der oben beispielhaft angeführte KPI „Kundenbindung“ von verschiedenen, sich wechselseitig beeinflussenden KRIs abhängen, wie bspw.:
Innovationsindex: fehlende Produktinnovation lässt Kunden abwandern;
Rückläuferquote: fehlerhafte Produkte mindern die Kundenzufriedenheit;
Mitarbeiterbindung: häufige Wechsel im Vertriebsteam verunsichern die Kunden.
Die quantitative Risikobewertung anhand stochastischer Simulationen bildet dabei die Grundlage zur Auswirkungsanalyse und der Ableitung von Steuerungsmaßnahmen. Damit können im obigen Beispiel die Einzelauswirkungen sowie deren konsolidierter Einfluss auf die Steuerungsgröße „Kundenbindung“ abgeschätzt und mit konkreten finanziellen Auswirkungen in Korrelation gebracht werden.
In diesem Stadium sind Unternehmen oftmals erstmalig in der Lage, eine Bestimmung der Bandbreiten für Risikozielwerte durchzuführen. Risikozielwerte bestimmen dabei den möglichen Effekt auf die Gesamtunternehmens-Performance und ermöglichen eine Risk-Return-Steuerung auf Basis performance-orientierter Kennzahlen. Risikozielwerte und daraus abgeleitete Risikokorridore definieren somit den Risikoappetit des Unternehmens – Entscheidungen werden dadurch konsistent auf ihren Risiko-Impact untersucht. Mitigierende Maßnahmen werden nach Kosten- und Ergebnisgesichtspunkten bewertet – und zwar nicht auf Einzelrisiko bzw. -maßnahmenebene, sondern unter Berücksichtigung der im gesamten Risiko-Portfolio herrschenden Wechselwirkungen und Abhängigkeiten.
Allerdings ermöglicht erst die vollständige Quantifizierung aller für die Risk-Return-Steuerung relevanten Kennzahlen eine umfassende Betrachtung eines aussagekräftigen Gesamt-Portfolios. Mit jeder nicht-quantifizierten Kennzahl fehlen somit u.U. wichtige Aspekte in der Gesamtsicht. Im Extremfall – also, wenn elementare Risiken im Portfolio nur qualitativ bewertet sind – kann dies sogar zu einer Verfälschung des Gesamtergebnisses führen. Selbstverständlich werden bestimmte Risikoeinschätzungen nach wie vor nur in qualitativer Weise möglich sein – insofern ist eine ausgewogene Kombination quantitativer und qualitativer Kennzahlen anzustreben. Eine Quantifizierung sämtlicher steuerungsrelevanter Risikokennzahlen ist aber zwingend erforderlich.
In dieser Entwicklungsstufe werden häufig die Themen des workflow-basierten Risikomanagementprozesses, zu Grunde liegende Software-Lösungen und Ressourcen-Ausstattung in der Risikomanagementorganisation vorangetrieben und methodisches Know-how zu ausgereiften Quantifizierungs- und Aggregationsmethoden aufgebaut.
Den nächsten wesentlichen Entwicklungsschritt stellen die strategische Ausrichtung des Risikomanagements und die Integration von Chancen- und Risikomanagement in die strategischen Planungs- und Steuerungsprozesse des Unternehmens dar.
Die Ex-post-Betrachtung von Risiken wird ergänzt durch die zukunftsgerichtete Analyse von Chancen und Risiken, die auch der strategischen Unternehmenssteuerung als Basis dienen soll. Merkmale dieser Ausprägungsstufe sind hier die Quantifizierung von Risiken basierend auf operativen und strategischen Zielgrößen sowie die Aggregation jener Risiken mittels Simulation und eine Bandbreitenanalyse auf Basis der Zielgrößen.
Die Risikoeinflüsse auf Planung, Forecasts und Ergebnis werden dargestellt und dienen der Unternehmenssteuerung. Organisatorisch werden die Informationen aus dem Chancen- und Risikomanagement in die strategische Planung einbezogen und Risikomanager als Beratungsinstanz für wesentliche Entscheidungsprozesse angesehen. Das Risikomanagement liefert damit einen entscheidenden Wertbeitrag zur Steuerung und Performance-Steigerung eines Unternehmens und wird somit zum echten Performance Risk Management.
4 Ausblick Risk Analytics: Digitalisierung, Big Data und Machine Learning
Die fortschreitende Digitalisierung der Unternehmen und die damit einhergehende Verfügbarkeit von großen Mengen an Daten (Big Data) stellt das Risikomanagement einerseits vor völlig neue Herausforderungen; andererseits ergeben sich aber bislang ungeahnte Möglichkeiten, den Wertbeitrag des Risikomanagements im Unternehmen nochmals erheblich zu steigern.
Generell sind hier vier wesentliche Aspekte der Veränderung zu erkennen:
Technologie: Die ständig fortschreitende Technologisierung sämtlicher Unternehmensprozesse wird auch eine Technologisierung des Risikomanagements nötig machen. Neben den bereits vielerorts im Einsatz befindlichen klassischen Risikomanagement-Tools zur Erfassung, Bewertung und Berichterstattung von Chancen und Risiken werden neue Software-Lösungen hinzukommen, die sich insbesondere auf die prädiktive Erkennung und Quantifizierung neuer Risiken sowie der Identifikation schwacher und schwächster Signale fokussieren werden.
Methodik: Basierend auf der Verfügbarkeit neuer Technologien und nahezu unvorstellbar großer Datenmengen wird sich auch der im Risikomanagement verwendete Methodenbaukasten grundlegend erweitern müssen. So werden die bewährten Elemente des Risikokreislaufs im Wesentlichen um drei neue Kompetenzdimensionen erweitert:Business Intelligence zur Analyse primär interner, aber auch externer Daten zur Risikosituation eines Unternehmens mit dem Ziel, real-analytische Analysen zur Erkennung unternehmensspezifischer Zusammenhänge durchzuführen.Advanced Analytics zur Analyse vorhandener Daten und Generierung neuer Daten und Informationen mit dem Ziel der proaktiv-prognostizierenden Erkennung und Behandlung von Risiken.Cognitive Analytics zur Entwicklung selbstlernender Algorithmen mit dem Ziel, dem Risikomanager Entscheidungsalternativen vorzulegen und zu bewerten – bis hin zur eigenständig automatisiert getroffenen Entscheidung einer Künstlichen Intelligenz (KI).
Organisation: Die Digitalisierung eines Unternehmens geht im Normalfall mit einer drastischen Agilisierung und Flexibilisierung der Organisationstrukturen und -prozesse einher. Diese sich schnell und dynamisch verändernden Organisationsstrukturen bedingen auch eine Dynamisierung des Risikomanagements durch eine flexible horizontale und vertikale Integration des Risikomanagements und insbesondere eine enge Vernetzung mit dem IT-Management in Form übergreifender Positionen. Wie z.B. Data Scientists, kann das Risikomanagement sich flexibel auf die organisatorische Weiterentwicklung des Unternehmens anpassen und sich zum Business-Partner für sämtliche operativen und strategischen Entscheidungsträger im Unternehmen entwickeln.
Kultur: Trotz aller Veränderungen bleibt der Mensch der zentrale Fokuspunkt des Risikomanagements. Einerseits sind die Erfahrung und das Fachwissen eines Risikomanagers zwingend erforderlich, um die Werkzeuge der Digitalisierung richtig einzusetzen, andererseits ist das menschliche Handeln nach wie vor eines der zentralen Risiken. Für die Ausschöpfung des vollen Potenzials muss daher über technische Ansätze hinaus eine Kultur des risikointelligenten Verhaltens im Unternehmen implementiert werden.
Die fortschreitende Digitalisierung wird daher die Evolution des Risikomanagements beschleunigen und seine Rolle als Werttreiber im Unternehmen immer stärker in den Vordergrund stellen. Dabei sind Risk Analytics nicht nur für Unternehmen der obersten Evolutionsstufe interessant, sondern