Kann eine angemessene Risikokultur dazu beitragen, die Unternehmensziele zu erreichen und potenziell zerstörerische Überraschungen zu vermeiden? Die Antwort lautet „ja“, so das Institute of Operational Risk (IOR), das in seinem Whitepaper „Risk Culture – Operational Risk Sound Practice Guidance“ das Thema aufgreift und untersucht, wie ein besseres Verständnis, eine bessere Bewertung und Messung der Risikokultur in Unternehmen dazu beitragen kann, operationelle Risiken zu mindern und die operationelle Widerstandsfähigkeit zu stärken.
Die wichtigsten Erkenntnisse aus dem White Paper:
- Keine Einheitsgröße für alle
Gleich zu Beginn des Leitfadens wird festgestellt, dass es keine optimale Risikokultur gibt, die man anstreben sollte. Es gibt auch keine „starken“ Merkmale der Risikokultur, die man anstreben sollte, und keine „schwachen“, die man meiden sollte. Die Risikokultur bezieht sich sowohl auf die Risikobereitschaft als auch auf die Risikokontrolle, und es ist zu bedenken, dass in verschiedenen Bereichen eines Unternehmens unterschiedliche Risikokulturen bestehen können, insbesondere in größeren, stärker diversifizierten Unternehmen. Nichtsdestotrotz kann die Risikokultur als Teil eines soliden Rahmens für das operative Risikomanagement effektiv und mit positiven Ergebnissen gesteuert werden.
- Was genau ist Risikokultur?
Das IRM definiert Risikokultur als: „Ein Begriff, der die Werte, Überzeugungen, Kenntnisse, Einstellungen und das Verständnis von Risiken beschreibt, die von einer Gruppe von Menschen mit einem gemeinsamen Ziel geteilt werden. Dies gilt für alle Organisationen, einschließlich privater Unternehmen, öffentlicher Einrichtungen, Regierungen und gemeinnütziger Organisationen.“ Abgesehen von der Definition kommt es auf ein gemeinsames Konzept und Verständnis der Risikokultur in der gesamten Organisation an, insbesondere wenn es darum geht, was unter den Begriff Risikokultur fällt (oder nicht) und inwiefern Werte, Überzeugungen, Wissen, Einstellungen und Verständnis relevant sind und Resonanz finden. WelcheWerte gelten für ein bestimmtes Unternehmen und wie wirken sie sich auf das Management von operationellen Risiken aus? Bringen die Mitarbeiter ihre eigenen Werte mit ein und wenn ja, verstärken diese das Management operationeller Risiken oder stehen sie im Widerspruch dazu? Was die „Überzeugungen“ betrifft, so wird es sowohl positive als auch negative Ansichten darüber geben, was die Menschen über die Bedeutung des operationellen Risikos und die Vorteile und Kosten seines Managements glauben. Wissen “ – wie viel ist über das operationelle Risiko und sein Management bekannt. Sind die Menschen mit operationellen Risiken vertraut oder weniger kompetent? Und wie wirkt sich die ‚Einstellung‘ zum Risiko aus? Sind die Menschen risikoscheuer, wenn eine große potenzielle Bedrohung wahrgenommen wird, und offener für Risiken, die mit Chancen verbunden sind? Verständnis“ wird durch Erfahrung gewonnen, und diejenigen, die aktiv an der Identifizierung, Bewertung und Kontrolle von operationellen Risiken beteiligt sind, verfügen wahrscheinlich über einen besseren Einblick.
- Bewertung der Risikokultur
„Die Bewertung der Risikokultur ist kompliziert und anfällig für Ungenauigkeiten und voreingenommene Interpretationen… Wie das Management die Ergebnisse der Risikokulturbewertung interpretiert, hängt auch von seinen eigenen Überzeugungen, Kenntnissen, Einstellungen usw. in Bezug auf das operationelle Risiko und dessen Management ab.“ Der Leitfaden enthält nicht nur warnende Worte, sondern auch Einzelheiten zu den wichtigsten Bewertungsmethoden, die unternehmensweit oder durch die jeweiligen operativen Risikofunktionen angewandt werden können. Die untersuchten Bewertungsmethoden umfassen Fragebögen mit nützlichen Tipps und Überlegungen zu deren Gestaltung, Interviews , die „ein tieferes, vollständigeres Bild liefern können, das sich in den Aussagen der Mitarbeiter über die Risikokultur eines Unternehmens widerspiegelt“, auch wenn dieser Ansatz zeit- und ressourcenaufwändig sein kann, Fokusgruppen , die es ermöglichen, gemeinsame Themen oder Fragen innerhalb einer Risikokultur in den Vordergrund zu rücken, und die direkte Beobachtung als leistungsstarkes Bewertungsinstrument, um ein Bild der Risikokultur und der Subkulturen zu erstellen.
- Metriken zur Risikokultur
Da die Bewertung der Risikokultur ressourcenintensiv sein kann, kann es sinnvoller sein, diese Bewertungen in unregelmäßigen Abständen (vielleicht jährlich oder alle zwei Jahre) durchzuführen und sie mit häufigeren Berichten über die Risikokultur zu kombinieren. Das White Paper beschreibt sechs Kennzahlen, die zur Überwachung der Risikokultur verwendet werden können: Personalfluktuation, wobei die Fallstricke eines hohen Personalwechsels aufgezeigt werden, der die Risikokultur verwässern kann, und wie eine geringe Fluktuation das ‚Gruppendenken‘ verstärken kann, bei dem eingefahrene Ansichten über die Risikokultur unangefochten bleiben können; das Verhalten der Mitarbeiter, wobei ein Anstieg oder Rückgang von Beschwerden oder Disziplinarmaßnahmen auf Veränderungen in der Risikokultur hinweisen kann; die Einhaltung von Richtlinien, wobei eine Zunahme der Einhaltung ein positiver Indikator für die Risikokultur ist; Interne Revision, bei der Verzögerungen beim Abschluss von Revisionsmaßnahmen auf Verhaltensprobleme oder mangelndes Verständnis für die Notwendigkeit eines robusten operationellen Risikomanagements hindeuten können; Verluste und Beinaheunfälle, bei denen plötzliche Anstiege oder Rückgänge auf Veränderungen in der Risikokultur hindeuten können, und Risikokommunikation – die Anzahl der Anfragen von Geschäftsfunktionen an die operationelle Risikofunktion kann sehr aufschlussreich sein. Der Leitfaden empfiehlt auch eine abteilungsübergreifende Einbindung – Mitarbeiter der Personalabteilung und der Innenrevision sollten mit den Kollegen für das operationelle Risiko zusammenarbeiten, um einen Einblick in die Mischung der Persönlichkeiten innerhalb der Belegschaft und ein Verständnis für die Funktionsweise des Unternehmens zu erhalten.
- Beeinflussung der Risikokultur
Bei dem Versuch, die Risikokultur zu kontrollieren, ist „äußerste Vorsicht geboten“. Für einen optimalen Erfolg wird empfohlen, weitreichende Projekte zur Veränderung der Risikokultur zu vermeiden und sich auf bestimmte Aspekte der Risikokultur zu konzentrieren, deren Beeinflussung vorteilhaft oder wünschenswert wäre. Von Strategie und Führung, Risikobereitschaft und -toleranz, Personalpolitik und -verfahren bis hin zur (formellen und informellen) Kommunikation und der Gestaltung von Prozessen und Systemen werden die gängigen und unterschiedlichen Maßnahmen zur Beeinflussung der Risikokultur eingehend untersucht. Wenn die Risikokultur eines Unternehmens eine wichtige Komponente für seinen Erfolg oder Misserfolg ist“, wie es im White Paper heißt, dann lohnt es sich doch, sich mit ihr auseinanderzusetzen?
