Prof. Dr. Robert Rieg, Prof. Dr. Ute Vanini
Zusammenfassung
- Datengetriebenes Risikocontrolling nutzt große Datenmengen und neue Analyseverfahren wie Analytics und Künstliche Intelligenz.
- Veränderungen und Verbesserungen kann es in allen Phasen des Risikomanagementprozesses geben.
- Während sich einerseits dadurch Aufgaben von Risikocontrollern automatisieren lassen, kommen andere hinzu oder werden wichtiger. Das sind insbesondere statistische Analysen als auch die Beratung des Managements.
- Die Aufgaben im Risikocontrolling werden anspruchsvoller und erfordern zusätzliche Kompetenzen, insbesondere in den Bereichen Statistik und KI. Der Beitrag gibt zunächst einen Überblick über das Risikocontrolling an sich und ergänzt dann die datengetriebenen Aspekte.
- Diese werden durch Beispiele und Vertiefungen zur Lieferkettenüberwachung, zu Kreditausfallrisiken, zur Modellgenerierung sowie zu IT-Risiken veranschaulicht. Abschließend werden Anforderungen bzw. Herausforderungen für Risikocontrollerinnen und -controller vorgestellt.
1 Daten, Informationen und Risikocontrolling
Risikomanagement (RM) umfasst alle organisatorischen Regelungen zur systematischen, regelmäßigen und unternehmensweiten Umsetzung des RM-Prozesses sowie dessen Unterstützung durch geeignete Instrumente und Methoden mit den Zielen der langfristigen Existenzsicherung, der Eröffnung von Handlungsspielräumen, der Erreichung der geplanten Unternehmensziele und der Senkung der Risiko- und Kapitalkosten.
RM ist keine einmalige Handlung im Unternehmen. Aufgrund der Umweltdynamik muss eine systematische und permanente Analyse und Steuerung der Risiken erfolgen. Daher werden die einzelnen Aktivitäten als operativer RM-Prozess mit den Phasen Risikoidentifikation, -bewertung, -berichterstattung, -steuerung und -überwachung strukturiert. Der operative RM-Prozess kann als kybernetischer Regelkreis aufgefasst werden, da die einzelnen Phasen aufeinander aufbauen und zwischen ihnen zahlreiche Interdependenzen bestehen.
Das Risikocontrolling (RC) unterstützt das RM der Entscheidungsfindung und -umsetzung durch die Bereitstellung risikorelevanter Informationen sowie geeigneter Instrumente und Methoden, insbesondere zur Risikoidentifikation und -bewertung. Direktes Ziel des RC ist die Verbesserung der Entscheidungsqualität des RM, indirekt soll es jedoch auch zur langfristigen Existenzsicherung und Erreichung der Unternehmensziele beitragen.
Die Qualität der Unterstützung des RM durch das RC hängt wesentlich von dessen Informationsgrundlage ab. Es lassen sich mehrere Argumente für die verstärkte Nutzung von Daten und die Erzeugung von risikobezogenen Analysen und Informationen durch Business Analytics-Werkzeugen im RC vorbringen:
- Einerseits steigen die regulatorischen Anforderungen an die Risiko- und Krisenfrüherkennungssysteme von Unternehmen ständig an. Die daraus resultierenden Dokumentations- und Überwachungspflichten erhöhen den Arbeitsaufwand im RM deutlich (s. Tab. 1).
- Zudem lassen sich deutliche Verbesserungspotenziale in Bezug auf die Effektivität aber auch die Effizienz des RM feststellen. So erfolgt insbesondere in mittelständischen Unternehmen die Risikoidentifikation vielfach noch manuell, teilweise auch informell, unstrukturiert oder auf Zuruf. Die fehlende Digitalisierung führt nicht nur zu Ineffizienzen, sondern erschwert vor allem die Identifikation externer und relativ neuer Risiken wie z. B. das Eintreten einer Pandemie und die Einschätzung der daraus resultierenden Konsequenzen, so dass diese erst unmittelbar bei Risikoeintritt festgestellt werden.
- Andererseits steigen die digital verfügbare Datenmenge sowie die zu deren Auswertung einsetzbaren Verfahren und Tools, die zur Identifikation, Analyse und Bewertung von Risiken genutzt werden kann, ebenfalls ständig an. Insbesondere kann durch das RC stärker auf externe, qualitative Daten zurückgegriffen werden, die insbesondere für die schnellere Identifikation und Einschätzung neuer Risiken ("emerging risks") liefern kann.
- Die Digitalisierung selbst erzeugt neue Risiken ("Cyber-Risiken"), die erkannt, bewertet und gesteuert werden müssen.
Rechtsgrundlage |
Bedeutung |
"Business Judgment Rule" § 93 AktG |
Unternehmerische Entscheidungen bedürfen einer auf angemessenen Informationen über Chancen und Risiken beruhenden Entscheidungsvorlage. |
Gesetz über den Stabilisierungs- Restrukturierungsrahmen für Unternehmen (StaRUG), ab 01.01.2021 |
Alle Kapitalgesellschaften haben ein Risikofrüherkennungssystem einzuführen. |
Finanzmarktintegritätsstärkungsgesetz (FISG), ab 01.07.2021 |
Vorstände börsennotierter Unternehmen haben ein internes Kontroll- und Risikomanagementsystem einzurichten (§ 91 Abs. 3 AktG) |
Tab. 1: Neuere rechtliche Anforderungen an das Risikomanagement
Die oben genannten Entwicklungen lassen auf ein Potenzial für die Implementierung eines datengetriebenen RCs schließen. Daher erstaunt es nicht, dass im Rahmen des PwC Global Risk Survey 2022 65 % der Unternehmen angaben, ihr Budget für den Einsatz von Technologien im Bereich Risikomanagement zu erhöhen. Allerdings scheint eine bloße Beschaffung neuer ...