Vertrauen ist gut, IKS ist besser

„Vertraut ihr mir nicht mehr? Wieso können wir den Prozess nicht so machen, wie wir es immer gemacht haben? Es hat doch funktioniert." Ein Risikomanager, Compliance Officer oder Internal Controller muss sich derartige Forderungen und Vorwürfe immer wieder anhören – Kontrolle koste zu viel Zeit, Dokumentation sei ineffizient. "Wenn meine Leute so viel Risikomanagement machen, sehen sie überall Risiken und können ihre Arbeit nicht erledigen." Dabei zeigen derartige Aussagen eigentlich nur Missverständnisse auf. Und davon gibt es immer noch zu viele. Denn nicht nur in Zeiten der Finanzmarktintegrität kommt es auf ein strukturiertes Risikomanagement und ein internes Kontrollsystem (IKS) an.

Wenn uns jemand fragt, was eigentlich Risikomanagement ist, antworten wir meist mit dem Bild vom „Umschiffen der Klippen“. Das Wort Risiko kommt sehr wahrscheinlich aus der maritimen Welt und bedeutet Klippe oder Untiefe. Zwar gibt es noch andere etymologische Theorien, doch erklärt der Verweis auf die Schifffahrt unserer Meinung nach sehr gut den Sinn des Risikomanagements. Im Gegensatz zur landläufigen Meinung ist es nicht das Ziel, „überall“ Risiken aufzudecken – vor allem nicht diejenigen, die gar nicht auf der Route liegen.

Risiken – nicht global, sondern zielgerichtet

Risikomanagement orientiert sich an der Route des Schiffes und zeigt auf, wie das Ziel trotz vieler Felsen, Untiefen und Seeungeheuer erreicht werden kann. Dabei wird das IKS – das Radar oder Echolot – genutzt, um gefährliche Stellen rechtzeitig zu erkennen. Jedoch soll es nicht jeden und alles kontrollieren, sondern zielgerichtet eingesetzt werden.

Verantwortung teilen und zuweisen

An Bord sind Kapitän, Steuermann, Bootsmann und der einfache Seemann verantwortlich für bestimmte Aufgaben. Wichtig ist, dass allen klar ist, wer für welchen Bereich zuständig ist. Schlägt das Wetter plötzlich um, kann diese klare Zuordnung entscheidend sein. Auf ein Unternehmen übertragen, sind die Schiffsoffiziere die Prozessverantwortlichen, sie tragen die Verantwortung für die Kontrolle. In einem IKS wäre etwa der Steuermann der Risikoverantwortliche für den Prozess "Kurs halten". Zu seiner Arbeit gehört auch, die Kontrollsysteme in seinen Abläufen regelmäßig zu überprüfen.

Wertschöpfung im Fokus

Wenn wir für ein Unternehmen ein IKS implementieren, geht es um die wertschöpfenden Prozesse. Wir müssen erkennen, welche Abläufe welche Art von Einfluss auf die Zielerreichung haben und wo wir am besten Kontrollen einführen. Ziel ist etwa, eine Kursabweichung zu erkennen und das Auflaufen zu verhindern. Allerdings sind Unternehmen meist nicht ganz so klar strukturiert und wesentlich komplexere Systeme, was die Prozesse und ihre Wechselwirkungen angeht. So lässt sich nicht immer gleich erkennen, welche Auswirkungen das Versagen eines Prozesses hat.

Risikoanalyse ist mehr als Bauchgefühl

Hier setzt die strukturierte Risikoanalyse an, in der Risiken bestimmt und bewertet werden. Auf dem Schiff umfasst dies neben der Route beispielsweise auch den Zustand der Ladung. Menschen gehen gerne davon aus, dass Erfahrung und Instinkt schon eine genügend genaue Abschätzung des Risikos zulassen und man daher kein explizites Risikomanagement braucht. Doch das ist eine irrige Annahme. Die gesonderte Betrachtung eines Risikos und die Rationalisierung desselben ergibt in vielen Fällen eine genauere und bessere Annäherung an die Realität.

Ein Beispiel aus dem Unternehmensalltag verdeutlicht dies auf mehreren Ebenen: Nachdem eine Mitarbeiterin Überweisungen abschicken wollte und auf OK geklickt hatte, bekam sie eines Tages eine Fehlermeldung im Überweisungstool. Sie ging davon aus, dass sie das Tool nach einem Absturz neu starten und die Überweisung wiederholen musste. Dies führte jedoch zu einer doppelten Überweisung, und der Betrag war nur zum Teil rückholbar, so dass ein sechsstelliger Betrag abgeschrieben werden musste. Als Information sei hinzugefügt, dass die Mitarbeiterin viel Erfahrung hatte und als sehr zuverlässig galt.

In der Fachwelt gilt als gesichert, dass die Intuition des Menschen nicht geeignet scheint, um komplexe Risiken zu erfassen (siehe hierzu das Buch „Schnelles Denken, Langsames Denken“ des Nobelpreisträgers für Ökonomie, Daniel Kahnemann). Hätte sich die Mitarbeiterin an die Regel Kahnemanns gehalten und die Situation überprüft, recherchiert oder bei der Bank nachgefragt, wäre der Fehler wohl nicht passiert. Hätte das Risikomanagement den Prozess vorher analysiert, wäre dieses Risiko vermutlich aufgefallen, da vorher keine Kontrolle stattfand, ob die Überweisung ausgeführt wurde. Im Anschluss wurde eine technisch unterstützte Kontrolle implementiert.

Beim IKS zählt das Ziel

Genau beim „hätte“ liegt die wichtige Aufgabe eines Risikomanagements oder IKS. Es handelt sich um eine Art Hilfestellung für die Verantwortlichen. Dabei geht es weder um Misstrauen gegen die Mitarbeitenden noch um Zeitverschwendung und auch nicht darum, alle möglichen Risiken zu entdecken. Das IKS soll schlicht die Prozessverantwortlichen dabei unterstützen, das gemeinsame Ziel zu erreichen.

Auch wir haben als Berater den Anspruch, dass das IKS einen Nutzen und keine Belastung darstellt. Daher sehen wir Risikomanagement als Teil einer Kultur, die im Unternehmen gestärkt werden sollte. Die Implementierung eines IKS im Zuge des FISG ist für uns alles andere als reine Regulatorik oder ein „Overhead“. Es ist konkrete und effektive Hilfestellung. Anforderung ist immer, mit Schiff, Mannschaft und Ladung den Zielhafen zu erreichen, ohne zu kentern oder auf Grund zu laufen. Gerade in stürmischen Zeiten wie diesen ist ein Radar wie IKS eine große Hilfe.

Quelle Titelbild: AdobeStock/ktsdesign