Es war am 18. Mai 1995 in Miami, USA. An diesem Tag klickten die Handschellen bei einem ehemaligen Immobilienunternehmer aus Hessen. Der Gesuchte war in Florida untergetaucht und wurde nun von FBI- und BKA-Fahndern festgenommen. Sein Name: Utz Jürgen Schneider, sein Spitzname: Baulöwe. Der Vorwurf: „Schneiders hochriskantes Jonglieren mit Hunderten Millionen D-Mark“, wie es der MDR jüngst formulierte. (MDR, 2021) Deutschlandfunk Kultur schrieb hierzu: „Anfang der 1990er-Jahre richtete der Baulöwe Jürgen Schneider vor allem in Leipzig Schäden in Milliardenhöhe an. Er frisierte Rechnungen und verbreitete Lügen über die Kreditwürdigkeit seiner Immobilien.“ (Baum, 2016) Geldgeschäfte, die keine Bank und keine Aufsicht wirklich hinterfragen wollten. Hätten die Verantwortlichen nur auf ein funktionierendes Rating und Risikomanagement gesetzt, damals.
Und heute? 26 Jahre nach Schneiders Verhaftung startete am 18. Mai 2021 der zweite Tag des Risk Management Congress. Und wie es die Themenvielfalt der RMA so will, eröffnete Prof. Dr. Thomas Schempf, Professor an der SRH Fernhochschule, den Konferenztag. Sein Thema: Rating in der Krise.
Rating 2.0 und die neue Dimension
Wo Geld, da Begehrlichkeiten. Das zeigen nicht zuletzt Schneiders „Finanzluftschlösser“ in der Vergangenheit oder der aktuelle Wirecard-Skandal. Doch abseits dieser negativen Beispiele geht es um die Mehrheit ehrlicher Unternehmen, deren Kreditwürdigkeit vielfach auf dem Prüfstand steht. Diese ist wichtig, um finanzielle Planungen und strategische Überlegungen umzusetzen. Im Grunde führt der Weg Richtung einer strategischen Geschäftsanalyse. Schempf nennt in diesem Zusammenhang das Rating 2.0. Gemeint ist damit, dem Ratingprozess eine neue Dimension zu geben – sprich nicht nur finanzielle Faktoren in den Mittelpunkt der Überlegungen zu stellen. „Wir sind nicht nur auf der rechtlichen Basis unterwegs, sondern es geht auch um Motivation für Unternehmen“, erklärt Schempf. Die strategische Beurteilung der Geschäftsmodelle wirft die Frage in Krisen auf: Sind die Krisengewinner auch die dauerhaften Profiteure im Sinne einer strukturell positiven Entwicklung oder kommt es in der Krise nur zu vorgezogenen Käufen, die zu Absatzeinbrüchen in späteren Zeiträumen führen können? Beispielhaft nennt Schempf die Hersteller medizinischer Produkte oder bestimmter Hygieneartikel. Es muss auch darum gehen, wie verlorener Umsatz in der Zeit nach der Krise, wie in der Corona-Pandemie, wieder aufgeholt werden kann. Hier gehe es seiner Ansicht nach um sogenannte Nachholeffekte, beispielsweise im Maschinenbau oder in der Autoindustrie, weil Investitionen erst einmal „nur“ verschoben wurden. Überlegungen, die im kompletten Ratingprozess einfließen müssen.
Zu oft werden Finanzierungskonzepte blockiert. Schempf: Warum gelingt es in Deutschland nicht, umfassende Finanzierungskonzepte auf die Beine zu stellen? Seiner Meinung nach komme es zu einer Verteuerung von Krediten. „Es entsteht eine Abwärtsspirale, die einen Teufelskreis auslöst“, so Schempf. Und damit ist der klassische Finanzierungsweg für Unternehmen immer schwerer zugänglich. „Es geht um die großen Linien im Rating, die weit über die Krisen hinausgehen“, resümiert Schempf. Wichtig sei in diesem Kontext der Blick nach vorne und vor allem um die Beantwortung der Frage: Geht es beim Rating um mehr als „Cash is King“, wie heute absehbar?
Neue Denk- und Handelsweisen in einer disruptiven Arbeitswelt
„Finde das Risiko – und das Risiko im Risiko.“ Was sich hinter dem Titel verbirgt, das erklärten Dr. Andreas Kempf und David Mitterbauer von der Carl Zeiss AG. „Dreimal Risiko im Titel, das ist schon für eine Risikomanagementveranstaltung mehr als genug“, so Kempf zum Einstieg. Inhaltlich geht es um ein wirksames Risikomanagement durch die Kombination von qualitativen und quantitativen Methoden. Firmen entstehen und wachsen, weil jemand eine Idee hat. Das liefere nach seinen Worten einen Mehrwert für die Gesellschaft. Und doch gehen nicht wenige Unternehmen noch immer den Weg in eine Zukunft mit einer Fortsetzung des bereits Bekannten. Eine Denk- und Handelsweise, die in einer disruptiven Arbeitswelt nicht mehr funktioniert.
Im Umkehrschluss stehen wir heute vor einem fundamentalen Umbruch durch die Digitalisierung, ja der kompletten Arbeitswelt. Hinzu kommt, dass sich die Wertschöpfung geändert hat. Das Motto könnte heute lauten: „Netzwerke und Beziehungen statt Kapital und hard assets.“
Wir stehen vor der unternehmerischen Gestaltungsaufgabe in einer Welt, die sich radikal verändert. Für das Management liegt darin eine Herausforderung, um Innovationen zu fördern und die Absicherung einer nachhaltigen Wertschöpfung im Blick zu haben. In dieser Gemengelage besteht das Problem der Risikoidentifikation und -einschätzung. Das Dilemma: Fehlende Informationen sind nicht durch quantitative Modellen lösbar. Es gibt keine Eindeutigkeit bei Innovationen. Hinzu komme nach Kempf, dass der Blick in die Bilanz kaum noch Aufschluss über die strategischen Erfolgsfaktoren gäbe – auch zu Auslösern einer möglichen Bestandsgefährdung. Wie finde ich die relevanten Risiken? „Hier wird es in der Literatur schnell dünn“, so Kempf. Es besteht vielfach kein Bezug zur Strategie. Vielmehr muss ein systematisches und integriertes Vorgehen im Risikomanagement im Mittelpunkt stehen. Damit ist auch gemeint, dass qualitative strategische Erfolgsfaktoren das Überleben der Organisation bestimmen. Im Umkehrschluss muss die Bewertung der Bestandsgefährdung auch dort starten. Um mögliche Bestandsgefährdungen zu erkennen, helfen Strategiemethoden – im spezifischen Kontext der Organisation und als integrierter Bestandteil der Strategieentwicklung. Wichtig auch deshalb, weil es um eine nachhaltige Geschäftstätigkeit inmitten einer Netzwerkgesellschaft geht. Und dabei kann ein professionelles Risikomanagement mit einem umfassenden Monitoring und geeigneten Frühwarnsystemen merklich unterstützen.
Arbeitskreis und Prüfungsstandards
Apropos nachhaltige Geschäftstätigkeit in einer disruptiven Arbeitswelt. Normen und Standards sind in dieser digitalen Zeit voller Unsicherheiten wichtig, um Leitplanken zu setzen und damit dem unternehmerischen Tun Halt und Sicherheit zu geben. In diesem Sinne befasst sich der Arbeitskreis „Risikomanagement-Standards“ der RMA mit Normen und Standards im Bereich des Risiko- und Chancenmanagements. Das Ziel des Arbeitskreises ist die Analyse und Beurteilung bestehender sowie neuer Normen und Standards. Und das hinsichtlich der Theorie und vor allem mit einem Fokus auf die praktische Anwendbarkeit. Die Beispiele reichen von COSO ERM und AS/NZS über ONR 49000ff bis zu ISO 31000ff sowie dem neuen Prüfungsstandard PS 340. Im Fokus der Aktivitäten liegt der Austausch zu Erfahrungen bei der Anwendung und Umsetzung der jeweiligen Regelwerke. Grundsätzlich strebt der Arbeitskreis eine praxisnahe Standardisierungsübersicht an. „Wir planen die Erstellung einer neuen und zugleich umfassenden Übersicht zu Risikomanagement-Standards als Hilfestellung und Grundlage für die eigene Arbeit“, so Arbeitskreisleiter und RMA-Vorstandsmitglied Jan Offerhaus.
Konkret hätte sich Jan Offerhaus beim neuen Prüfungsstandard PS 340 mehr Präzision aus betriebswirtschaftlicher Perspektive gewünscht. Dies zeigt sich unter anderem bei der Einführung des Begriffs der Risikotragfähigkeit ohne konkrete Operationalisierung. Zudem sieht das RMA-Vorstandsmitglied einen zu großen Freiheitsgrad bei der Wahl der Methoden zur Ermittlung des Gesamtrisikoumfangs im Unternehmen. „Es besteht noch Anpassungsbedarf beim Prüfungsstandard“, fügt Co-Referent Daniel Oehlmann vom Wirtschaftsprüfungs- und Beratungsunternehmens Deloitte hinzu. Oehlmann stützt seine Aussage auf die „Deloitte Benchmarkstudie 2020“. Das Positive zuerst: Der neue Prüfungsstandard sorgt seiner Meinung nach für eine Verbreitung von Risikotragfähigkeitskonzepten mit einem Fokus auf die Erfüllung regulatorischen Anforderungen. Zudem unterstützt der Standard die schnellere Verbreitung von Simulationsansätzen. Die Herausforderung sieht der Deloitte-Manager aber beispielsweise darin, den stringenten Ansatz in die „Breite“ der First Line zu tragen.
Anknüpfend daran, befasste sich Sönke Thun von der Deutschen Telekom mit dem Thema des PS340 unter dem Aspekt „Risiko oder Chance?“ Auch in seinem Vortrag ging es um das Risikotragfähigkeitskonzept. Denn die Deutsche Telekom muss nachzuweisen, dass keine Bestandsgefährdung für das Unternehmen besteht. Hierzu setzt das Unternehmen auf eine Monte-Carlo-Simulation, um die Gesamtrisikoposition des Konzerns zu berechnen. Bei der Risikoaggregation baut der Konzern auf qualitativ bewertete Risiken und Chancen, die unter Berücksichtigung der jeweiligen Portfoliowerte automatisch in eine quantitative Bandbreite überführt werden.
Basis für die Aggregation und „value@risk-Berechnung“ sei laut Thun die Quantifizierung jedes Risikos. Mit Bezug auf Extremwertszenarien entsteht bei der Deutschen Telekom eine neue Anforderung. Und die lautet: Risiken mit einer sehr niedrigen Eintrittswahrscheinlichkeit, aber einem sehr hohen Ausmaß (Extremwertszenarios), müssen bei der Aggregation berücksichtigt werden. Wichtig ist auch die Risikokultur. „Wir versuchen viel zu machen, um die Kollegen zu erreichen“, erklärt Thun. Das Unternehmen fördert eine aktive Risikokultur mit Trainings, Bewertungsworkshops und Präsentationen. Das Ziel ist eine offene und transparente Kommunikation von Risiken, Rollen & Verantwortlichkeiten zu fördern. Dieses Engagement erklärt sich vor dem Hintergrund, dass die Risikokultur als Teil der Unternehmenskultur verstanden wird. Das umfasst die grundsätzlichen Einstellungen und Verhaltensweisen beim Umgang mit Risiken. Thun: „Sie beeinflusst das Risikobewusstsein in Unternehmen und bildet die Grundlage für ein Risikomanagement-System.“ Als Fazit überwiegen die Vorteile beim neuen Prüfungsstandard, sei es aufgrund einer verbesserten Informationsvollständigkeit, dank der Qualität der Gesamtaussage oder aufgrund der digitalen Umsetzung.
BCM, Three Lines und die Kommunikation
In einem Impulsvortrag setzte sich Michael Jahn-Kozma, Vorstandsmitglied der RMA, mit den Herausforderungen für das Krisen- und Business Continuity Management durch die Corona-Pandemie auseinander. Jahn-Kozma, Risk Manager beim Anbieter von Robotik sowie Anlagen- und Systemtechnik KUKA AG, beleuchtete das Corporate Risk Management des Unternehmens. Mit Blick auf die Corona-Pandemie und die weltweite Ausrichtung des Unternehmens galt es unterschiedliche Bereiche „krisenfest“ aufzusetzen und durch die Pandemie zu steuern. Dazu zählte zuvorderst das Feld „Health & Safety“. Hinzu kam der Erhalt der finanziellen Flexibilität und damit des Geschäftsbetriebs sowie der Fortführung der Produktion. Wichtig dabei sei nach den Worten des Risikomanagers eine ganze Bandbreite an Krisen- und BCM-Maßnahmen. Zum Zeitablauf der organisationsinternen Pandemie-Maßnahmen zählten zunächst die Bildung einer Taskforce für das BCM sowie zu Corona. Bei allen Maßnahmen lag eine wesentliche Herausforderung darin, die Pandemieentwicklung zu interpretieren – gerade unter Berücksichtigung wissenschaftlicher, öffentlicher und politischer Faktoren. Hinzu kamen Maßnahmen durch Behörden, die regional unterschiedlich ausfielen, sowie interne Auswertungen der Pandemie auf das Unternehmen KUKA. Für Jahn-Kozma war der Lernprozess innerhalb des Gesamtunternehmens und der daraus entstehende Austausch mit anderen Ländergesellschaften wichtig. Hinzu kam die wichtige Kooperation und Schnittstelle zum Risikomanagementprozess. „Alle Maßnahmen werden zudem mit einem inzidenzbasierten 3-Phasen-Modell weltweit und zugleich einheitlich gesteuert“, unterstreicht Jahn-Kozma. Darüber hinaus ist die Kommunikation im Unternehmen unerlässlich. Denn ohne Kommunikation kein BCM-Prozess und auch kein Gesamtrisikomanagement.
Über die Ablösung des „Three Lines of Defense Model“ durch das „Three Lines Model“ referierte Prof. Ulrich Bantleon von der Hochschule Offenburg. Als Stärken des Three Lines of Defense Model (TLoD) sieht Bantleon unter anderem die Effektivität des Modells, um das Risikomanagement zu organisieren. Zudem sei es seiner Meinung nach leicht verständlich, ist flexibel anwendbar und bietet Best Practice für börsennotierte Unternehmen. Demgegenüber sehen Kritiker durch die Anwendung von TLoD die Förderung des Silo-Denkens der einzelnen Governance-Funktionen voranschreiten sowie eine zu geringe Betonung der Chancensicht und Strategieorientierung. Kritiker bemängeln darüber hinaus, dass das Model nicht flexibel genug für kleinere, öffentliche und nicht regulierte Organisationen ist. Mit dem neuen Three Lines Model (TLM) verbinden die Macher das Ziel, Organisationen besser zu unterstützen, um Strukturen und Prozesse zu identifizieren, die der Zielerreichung dienen. Damit verbunden ist auch eine starke Governance und ein wirksames Risikomanagement. „Im Grunde geht es um Koordination und Kooperation“, so Bantleon. Und er ergänzt: „Eine Botschaft des Modells ist es, miteinander zu reden.“ Nach Ansicht Bantleons sei das Modell und dessen grafische Darstellung weiterhin einfach und verständlich. Im Gegensatz zum TLoD-Modells ist das TLM als breit angelegtes Instrument der Governance konzipiert, das Wertschöpfung und Wertsicherung als offensive und defensive Aspekte des Managements von Risiken verbindet. Und darin liegt zunächst eine stärkere Betonung der Chancen- und Strategieorientierung. Abschließend beurteilt Bantleon: „Das Modell hilft die Probleme abzuschwächen und uns weiterzuentwickeln.“
Weiterentwicklung ist auch mit Blick auf die zusätzlichen Themen der Konferenz ein gutes Stichwort. Denn auch am zweiten Veranstaltungstag flankierten zusätzliche Vorträge und inhaltliche Impulse den Risk Management Congress. Neben Corporater und der „Digitalisierung von Risikomanagement-Systemen“ bei DAX 30 und weiteren globalen Unternehmen, berichtete Martin Schachtschneider von Belfor vom „Schwarzbunten Schwan 2021“. Schachtschneider gab fundierte Antworten auf die zentrale Frage nach dem konkreten Plan im Business Continuity Management (BCM). Hierzu zählten auch wichtige Tipps für einen vorausschauenden BCM-Prozess in der eigenen Organisation. Dieser erfordert eine sorgfältige Bestandsaufnahme. Denn diese Bestandsaufnahme sorgt nach den Worten von Stefan Kindermann, Mitbegründer und Geschäftsführer der Münchener Schachakademie sowie RMC-Referent, dafür, „dass wir zunächst fest mit beiden Beinen im Hier und Jetzt verankert sind, bevor wir mit der Zukunftsplanung beginnen.“
Die Zukunftsplanung lag auch im Fokus einer Live-Demonstration. Hierzu setzte RMA-Vorstandsmitglieds Prof. Dr. Christoph Mayer auf eine Monte-Carlo-Simulation zur Bewertung der Risikominderung. Merke: Eine Kreditausfallversicherung kann helfen, muss sie aber nicht. Denn wie so oft hängt das Ganze auch mit dem individuellen Risikoappetit des jeweiligen Unternehmens zusammen – in einer Welt voller Risiken und mit noch mehr Chancen. Erstere gilt es zu minimieren und gleichzeitig die Chancensicht auszubauen. Daran arbeitet die RMA Risk Management & Rating Association e.V. mit ihrer Verbandsarbeit täglich. Und damit endet die Nachlese zum zweiten Tag des Risk Management Congress 2021.