Rückblick
Die Diskussion ist nicht neu und unverändert aktuell: Gibt es einen verlässlichen Massstab, an dem man operationelle Risiken messen und somit vergleichen kann? Die Spannbreite zwischen der qualitativen, oft individuellen Einschätzung und der monetären Quantifizierung nach ausgeklügelten mathematischen Modellen ist gross. Zwischen Bauchgefühl und Scheingenauigkeit – wo ist der Nutzen für ein effektives Risikomanagement am grössten und wie kommen wir in diesem Spannungsfeld zu einer reproduzierbaren Risikoannahme, welche dem Kontext gerecht wird?
Dr. Günter Unterleitner, SynoFin Risikomanagement AG, teilt seine Erfahrungen aus dem Finanzsektor, wo regulatorische Anforderungen die Quantifizierung von Risiken vorschreiben. Für den Referenten ist klar: die Quantifizierung ist Pflicht, aber das Ziel muss sein, Risikomanagement positiv zu belegen. Essenziell sei daher, dass die Erfassung, Beurteilung und Bewirtschaftung von Risiken möglichst einfach erfolgen kann. Dabei hat es sich aus seiner Sicht bewährt, mit Instrumenten wie standardisierten Katalogen von Risikotreibern und Risiken zu arbeiten. Diese dienen als Grundlage und werden individuell angepasst. Dabei gilt es, den Blick auf das Wesentliche zu richten und – was oft vergessen geht – Erfolge zu feiern und entsprechend darüber zu berichten. Ein Erfolg, kann dabei beispielsweise ein wesentliches Risiko sein, welches durch schlagkräftige Massnahmen reduziert werden konnte. Dr. Unterleitner fasst zusammen: Die Quantifizierung hilft bei der Bewusstseinsbildung. Durch gezielten Fokus auf wesentliche Risiken deren erfolgreiche Mitigation wird Risikomanagement von «Müssen» zu «Wollen».
Peter Giger, Chief Risk Officer Zurich Insurance Group steht der Quantifizierung kritisch gegenüber, auch wenn er den Wunsch nach einer «gemeinsamen Währung» durchaus versteht. Für Versicherer gehört die Risikoannahme schliesslich zum Geschäftsmodell, und grundsätzlich gilt, nur was bewertbar ist, kann versichert werden. Gleichwohl bestehen bei den «üblichen» Verfahren mannigfaltigen Schwachstellen. Es beginnt bei den finanziellen Auswirkungen: die Kosten für eine Massnahme fallen heute an, derweil der ungewisse Nutzen in der Zukunft liegt. Vergangene Ereignisse in die Zukunft extrapolieren zu wollen oder sich bei der Schadenshöhe einzig auf ein einzelnes Schadenereignis zu konzentrieren, führt zu Annahmen, die einem komplexen Umfeld nicht gerecht werden und einer wirksamen Steuerung nicht dienlich sind. Neben der bedenklichen «Modellgläubigkeit» streicht Peter Giger heraus, dass verfehlte Risikoannahmen Konsequenzen haben müssen, nur so entsteht Risikodisziplin. Asymmetrische Informationsverteilung und die Tatsache, dass der Risikoeigner oft nicht identisch ist mit dem, der den Schaden bei einem Risikoeintritt trägt, verschärft diese Herausforderung. Der Referent schliesst mit einem flammenden Plädoyer gegen Scheinsicherheit: «Manchmal ist es besser zuzugeben, dass man etwas was nicht weiss, und diese Unsicherheit zu managen.».
Wie sinnvoll eine Quantifizierung ist, kann auch Angela Hunziker, Leiterin Corporate Risk Management bei der SBB, nicht eindeutig beantworten. Die SBB quantifizieren ihre operationellen Risiken aus dem gleichen Grund, warum sie Risikomanagement betreiben: zur Steuerung und Kommunikation. Risikomanagement wird bei den SBB als integrierter Bestandteil der Geschäftsprozesse verstanden. Es startet bei Konzernzielen, die gewichtet werden. Ein möglicher Trade-off, welchen es dabei abzuwägen gilt, ist jener zwischen Pünktlichkeit und Sicherheit. Bewertet werden die Risiken nach unterschiedlichen Dimensionen (Kosten für die Massnahme zur Risikominimierung, Kundenzufriedenheit etc.); die Dimension mit der «schlechtesten» Bewertung bestimmt die Einstufung des Risikos. Analog den Konzernzielen müssen auch in Bezug auf mitigierende Massnahmen fortlaufend Zielkonflikte optimiert werden. So gilt es beispielsweise Sicherheits- und Verfügbarkeitsrisiken bei Bauarbeiten unter Betrieb sorgfältig abzuwägen. Das Reporting ist je nach Anspruchsgruppen unterschiedlich: In der Linie ist man stärker an «most likely»-Szenarien interessiert, da diese für die Steuerung geeigneter sind und einen engen Bezug zu den Leistungsprozessen aufweisen. Der VR als Aufsichtsgremium hingegen hat den Fokus auf dem «credible worst case». Abschliessend zieht die Referentin Resümee: Quantifizierung ist sinnvoll, aber nicht immer möglich.
In der Fragerunde wurden vor allem Aufwand und Nutzen der regulatorischen Vorgaben bzgl. Risikomanagement kritisch hinterfragt. Das Fazit war ein pragmatisches Schulterzucken: der Aufwand ohne grossen internen Nutzen muss als «cost of doing business» akzeptiert werden.
Die Dokumente finden Sie hier:
Die Folien finden Sie nachfolgend im PDF zum Herunterladen:
