Eine gute Risikokultur sollte Entscheidungsträger auf allen Hierarchieebenen belohnen und sie in die Lage versetzen, die richtigen Risiken einzugehen und dabei so gut wie möglich informiert zu sein. Die folgenden Kriterien ermöglichen es, den Erfolg einer Risikokultur zu erkennen:

  • Führungskultur: Klare und konsequente Signale der Führungskräfte hinsichtlich der Risiken, die zu akzeptieren und der Risiken, die zu vermeiden sind.
  • Verantwortung der Mitarbeiter: Erkennen Sie, dass Risikomanagement sich nicht darauf beschränkt, ein für alle Mal Kästchen anzukreuzen, sondern dass es sich um eine fortlaufende Aufgabe handelt, mit genau definierten Prozessen und Verantwortlichkeiten.
  • Offene Kommunikation und kritischer Dialog: Transparente und aktuelle Risikoinformationen sind für jeden im Unternehmen zugänglich. Selbst schlechte Risiken (im Sinne von potenziellen finanziellen Verlusten) werden schnell und offen kommuniziert, ohne Angst vor möglichen negativen Konsequenzen. Mitarbeiter auf allen Ebenen werden ermutigt, Vorfälle, Beinaheunfälle und verdächtige Aktivitäten zu melden, um daraus zu lernen.
  • Angemessene Anreizstrukturen: Angemessenes Verhalten, das sich der Risiken bewusst ist, wird belohnt und gefördert, unangemessenes Verhalten hingegen wird in Frage gestellt und sanktioniert.
  • Es wird alles getan, um die Folgen eines Risikos für die Erreichung der Ziele vollständig zu verstehen (und zwar bevor über geeignete Maßnahmen entschieden wird).
  • Die Rolle des Risikomanagers ist in der Unternehmensstruktur fest verankert: Seine Arbeit wird zu ihrem fairen Wert bewertet, er wird mit den entsprechenden Ressourcen (Mitarbeiter, Kapazitäten, finanzielle Mittel) ausgestattet und erhält die Unterstützung der Unternehmensleitung.
  • Eine Risikokultur erfordert eine Unternehmenskultur, die die Vielfalt der Meinungen und Standpunkte schätzt, die sich nicht auf den Status quo verlässt und die ständig nach Verbesserungen strebt.

Was genau bedeutet Risikokultur?

Wie die Unternehmenskultur ist auch die Risikokultur schwer zu definieren, da die Definition selbst abstrakte Begriffe wie Werte, Standards und Ansätze enthält. Lassen Sie es mich dennoch versuchen, indem ich die Definition des Basler Ausschusses für Bankenaufsicht (BCBS) anführe:

„Risikokultur ist die Gesamtheit der Normen, Ansätze und Verhaltensweisen eines Unternehmens in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement. Die Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen.“

Jede Organisation (unabhängig von ihrer Rechtsform und Größe) hat eine Unternehmenskultur und eine Risikokultur. Die entscheidende Frage ist, ob diese Kultur eher positiv oder eher negativ für den langfristigen Erfolg des Unternehmens ist. Die Risikokultur wäre also wie eine Petrischale, die die Entwicklung einer guten Einstellung zum Risiko fördert.

Warum ist Risikokultur so wichtig?

Um seine Ziele zu erreichen, muss jedes Unternehmen bestimmte Risiken eingehen. Die Risikokultur eines Unternehmens hat einen entscheidenden Einfluss auf den Erfolg oder Misserfolg seines Risikomanagements sowie auf die Entscheidungsfähigkeit und Leistung des Unternehmens. Unternehmen mit einer unangemessenen Risikokultur ermutigen ihre Mitarbeiter unbewusst dazu, Risiken jenseits von Toleranzgrenzen, definierten Verhaltensmustern und Richtlinien einzugehen. Und was noch schlimmer ist: Die inakzeptablen Risiken, die von bestimmten Mitarbeitern oder Gruppen eingegangen werden, bleiben oft unbemerkt (oder interessieren niemanden)! In den schlimmsten Fällen führt dies zu schwerwiegenden finanziellen Schäden und/oder einer Schädigung des Rufs des Unternehmens.

Was ist die Rolle der Geschäftsleitung und die des Risikomanagers?

Die Entwicklung und Förderung einer angemessenen und nachhaltigen Risikokultur ist in erster Linie die Aufgabe des Managements in jedem Unternehmen. Ein wesentlicher Bestandteil dieser Risikokultur ist die „Risikobereitschaft“, die von der Geschäftsleitung im Rahmen der Risikomanagementstrategie individuell festgelegt wird. Diese Risikobereitschaft ermöglicht es, im Rahmen der Risikotragfähigkeit Risiken einzugehen und zu verwalten, um die strategischen Ziele zu erreichen. Es ist daher Aufgabe des Managements, einen Top-Down-Ansatz bei der Kommunikation der Risikokultur anzuwenden und sicherzustellen, dass die Risikokultur kontinuierlich mit den strategischen Zielen des Unternehmens übereinstimmt. Die oben erwähnte Führungskultur, also die Position des Managements selbst, spielt dabei eine entscheidende Rolle. Die Unternehmensleitung sollte sich die folgenden Fragen stellen:

  • Wie sieht unsere Risikokultur derzeit aus und wie können wir das Risikomanagement innerhalb dieser Kultur verbessern?
  • Was wollen wir an unserer Risikokultur ändern? In welche Richtung wollen wir gehen?
  • Was müssen wir tun, um dies zu erreichen? Wie sieht unser Fahrplan aus? Wen oder was brauchen wir?

Unter den Risikomanagern besteht noch kein Konsens darüber, wie man der Unternehmensleitung am besten bei der Beantwortung dieser Fragen helfen kann. Organisationen wie das Institute of Risk Management (IRM) sind jedoch der Meinung, dass Risikomanager als Agenten des Wandels einen großen Beitrag zur Verbesserung der Kultur und des Risikomanagements in einem Unternehmen leisten können. bestehenden Unternehmenskultur.

Wenn Sie es nicht messen können, können Sie es nicht verwalten

Die Neuausrichtung der Risikokultur ist ein nicht zu unterschätzendes Change Management Projekt, dessen Fortschritt und Zielerreichungsgrad – wie bei jedem anderen Projekt auch – regelmäßig überprüft werden muss. Neben der Definition von Prozessen und Verantwortlichkeiten spielt ein zentrales und einfach zu bedienendes IT-Tool eine entscheidende Rolle. Nach dem Motto „If you can’t measure it, you can’t manage it“, das dem berühmten Unternehmensberater Peter Drucker zugeschrieben wird, schafft eine zentralisierte Risikomanagement-Plattform die Grundlage für eine effektive Erfassung, Bewertung und Überwachung, strukturiert und dauerhaft der relevanten Risiken des Unternehmens. Darüber hinaus ist sie eine Kommunikationsplattform, über die sich Risikobeauftragte, Risikomanager und andere Beteiligte – unabhängig von Ort und Zeit – über Risiken, Maßnahmen und Aufgaben informieren und Informationen austauschen können. über Best Practices und Lessons Learned.