Warum brauchen Unternehmen eine Risikokultur?
In Zeiten von Cybercrime und Gefahren durch unsichere Lieferketten haben viele Unternehmen Risikomanagement-Systeme etabliert. Warum ein wertebasierter Ansatz mit einer gelebten Risikokultur dennoch mehr als eine sinnvolle Ergänzung ist, erklärt Hubertus Eichler, Director bei Forvis Mazars in Deutschland.
Das Thema Risikomanagement dürfte vielen halbwegs geläufig sein. Anders sieht es womöglich bei der Risikokultur aus – worum geht es hier konkret?
Hubertus Eichler: Die Risikokultur eines Unternehmens bezieht sich auf die Einstellungen, Überzeugungen, Werte und Verhaltensweisen innerhalb der Organisation in Bezug auf Risiken und deren Management. Risikokultur bezeichnet also die Art und Weise, wie ein Unternehmen Risiken wahrnimmt, bewertet, angeht und überwacht. Eine starke Risikokultur herrscht nur dann vor, wenn sie von allen Beteiligten gelebt wird. Sie ist dabei Teil der Unternehmenskultur als Ganzes und kann mit anderen Aspekten der Unternehmenskultur in einem Konflikt stehen.
In einem Konflikt? Das müssen Sie erklären.
Die Unternehmenskultur kann durchaus 20 Teil-Kulturen in sich vereinigen. Die Risikokultur ist dann nur eine Facette dieses großen Ganzen und muss sich in ihrer Bedeutung behaupten. Traditionell kommen die meisten Unternehmen aus einer Leistungs- und Erfolgskultur. Die zentrale Frage lautet dann: Wie und mit welchen Werten gelingt es mir, mit meinen verfügbaren Kapazitäten erfolgreich zu sein? Vielleicht ist dazu eine gute Innovationskultur in der Company vonnöten, dann muss ich die Belegschaft motivieren, kreativ und in außergewöhnlichen Bahnen zu denken und auch so zu handeln. Diese traditionellen Paradigmen der Unternehmenskultur überdecken oft andere kulturelle Aspekte – auch die Risikokultur.
Wenn die Kultur des Erfolges so zentral war und ist – wie konnte Risikokultur dann überhaupt relevant werden?
Die Risikokultur ist im Grunde eine Konsequenz, die man aus der letzten großen Finanzkrise und speziell der Insolvenz der Investmentbank Lehman Brothers 2008 gezogen hat. Wie auch schon in den Krisen rund um Enron und WorldCom hat man hier erneut gesehen, welche fatalen Konsequenzen die unethischen Entscheidungen Einzelner für die gesamte Gesellschaft haben können. Es mussten somit Vorkehrungen getroffen werden, die den handelnden Akteur*innen klar machten, dass nicht alles, was legal auch legitim ist.
Was haben die Behörden unternommen, um dieses Ziel zu erreichen?
Sie haben beispielsweise 2009 das Financial Stability Board (FSB) mit Sitz in Basel gegründet. Das FSB arbeitet seither an der Entwicklung internationaler Standards und Richtlinien für den Finanzsektor, auch zu Standards im Bereich Risikomanagement. 2014 hat das FSB einen Leitfaden zum Thema Risikokultur veröffentlicht, mit dem man die Zuverlässigkeit und Wirksamkeit der Risikokultur von Instituten beurteilen kann. Aber auch andere Organisationen wie die britische Finanzaufsichtsbehörde Financial Conduct Authority haben sich damals erstmals mit der Risikokultur beschäftigt. In Deutschland fand das Thema nicht nur Eingang in die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen Mindestanforderungen an das Risikomanagement (MaRisk), auch das Institut der Wirtschaftsprüfer hat mit seinem Prüfungsstandard IDW PS 981 Anforderungen an die Risikokultur als zentrales Grundelement eines wirksamen Risikomanagementsystems formuliert. Der Schwerpunkt des IDW PS 981 liegt bei den Anforderungen für ein angemessenes und wirksames Risikomanagementsystem.
Wirtschaftsprüfer*innen vor allem in Finanzbranche gefragt
Welche Rolle kommt den Wirtschaftsprüfer*innen in Bezug auf die Risikokultur in den Unternehmen zu?
Das hängt zuallererst von der Branche ab, welche einer Prüfung unterzogen wird. Wie bereits aufgezeigt, ist das Thema Risikokultur im Finanzbereich entstanden. Es hat sich dann schnell auf den Versicherungssektor ausgeweitet und spielt mittlerweile auch bei kapitalmarktorientierten Unternehmen eine große Rolle. Unternehmen dieser Sektoren legen ergänzend zum Jahresabschluss auch gesonderte Reportings zum Thema Risikomanagement vor, die einer Prüfung durch Wirtschaftsprüfer*innen unterzogen werden. Bei den übrigen Unternehmen taucht das Thema „Risikomanagement“ meistens im Chancen- und Risikobericht als Teil des Lageberichts auf. Deren Risikomanagementsystem wird von den Wirtschaftsprüfer*innen ebenfalls gewürdigt, aber nicht notwendigerweise bis ins letzte Detail geprüft.
Es scheint so zu sein, als spiele das oben erwähnte „angemessene und wirksame Risikomanagementsystem“ die zentrale Rolle bei dem Thema …
Ein wirksames Risikomanagementsystem ist in der Tat sehr wichtig, denn es sorgt dafür, dass eine Abteilung im Unternehmen oder zumindest eine Person auf Management-Level die Verantwortung für dieses Thema übernimmt. Somit wird sichergestellt, dass Prozesse eingerichtet werden, um Risiken zu identifizieren, zu bewerten, zu steuern und zu überwachen. Mit einem Risikomanagementsystem als wesentlichem Bestandteil des Three Lines Model kann eine Organisation im Fall der Fälle schnellstmöglich reagieren und potenzielle negative Auswirkungen minimieren.
Welches sind die beiden anderen Bestandteile des Three Lines Model?
Die erste Verteidigungs-Linie wird direkt an der Front bei den Mitarbeiter*innen gezogen. Die zweite Linie bildet die besprochene Risikomanagement-Organisation. Und die dritte Linie fällt der Internen Revision zu. Als unabhängige Instanz überprüft und bewertet sie die Funktionsweise der eingerichteten Prozesse. Die Überprüfung der Funktionsweise des Risikomanagements ist sogar ein Schwerpunktthema der Internen Revision.
Gelebte Risikokultur heute wichtiger denn je
Braucht es bei so viel Struktur und all den definierten Prozessen überhaupt noch eine Risikokultur?
Die braucht es heute mehr denn je, denn das beste System, der beste Prozess, die beste Struktur ist nur die Hälfte wert, wenn die beteiligten Verantwortlichen, die sogenannten Risk Owner, die zugrunde liegenden und vom Management definierten handlungsleitenden Prinzipien nicht verinnerlicht haben. Gut vermittelte und an die Beteiligten kommunizierte Prinzipien sorgen dafür, dass ich eine*n Mitarbeiter*in nachts um drei Uhr wecken kann und diese*r im Halbschlaf die drei Prinzipien aufsagen kann, für die das Unternehmen steht. Anders gesagt: Mit der Risikokultur sorge ich dafür, dass die Verantwortlichen „das wollen, was sie sollen“, wie das bekannte Motto lautet. Manchmal reicht schon ein einziges konsequent verfolgtes und gelebtes Prinzip aus, um eine ganze Organisation zu disziplinieren.
Wie kommt ein Unternehmen zu seinen Werten?
Werte sind in den Unternehmen oft über Generationen hinweg gewachsen. So besinnt man sich heute oft darauf, was Gründer*innen erfolgreich gemacht haben und stärkt diese Werte im Unternehmen, etwa indem man sie durch Schulungen oder Events vermittelt. Auch neue Mitarbeiter*innen wissen dann später genau, welchen Mindset sie mitbringen müssen, um sich erfolgreich in das Unternehmen einbringen zu können.
Und wenn kein*e charismatische*r Gründer*in aus der Vergangenheit heraufstrahlt?
In diesem Fall setzt man sich im Unternehmen zusammen und diskutiert gemeinsam: Wo stehen wir bei der Risikokultur im Speziellen und der Unternehmenskultur im Allgemeinen? Wo wollen wir hin? Wer wollen wir sein? Wichtig ist es, eine Zielkultur zu entwickeln. Eine Vision, ein Leitbild und ein Wertesystem – das braucht jedes Unternehmen, um erfolgreich zu sein. Die Risikokultur ist hier ein wichtiger Aspekt, der im Rahmen einer solchen Positions- und Zukunftsbestimmung mitgedacht werden sollte.
Hätte Risikokultur Wirecard verhindern können?
Besteht nicht die Gefahr, dass gerade das Thema Risikokultur bei diesem Prozess vernachlässigt wird?
Das Gegenteil ist der Fall: In Zeiten von zunehmenden Cybercrimes, Gefahren in der Lieferkette, aber auch von Bedrohungen, die durch die mangelnde Kontrolle von Compliance-Regelungen erwachsen, wird die Risikokultur immer wichtiger. Man muss sich einfach klar machen, was ein Unternehmen durch die Verinnerlichung gelebter Werte erreichen, welchen Schaden es von sich und der Gesellschaft abwenden kann. Ich kann mir beispielsweise nicht vorstellen, dass ein Fall wie Wirecard in einem Umfeld gelebter Risikokultur möglich gewesen wäre.
Vielen Dank für das Gespräch.
Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.
Kommentare