Wie kann ein effektives Risikomanagement die Zielerreichung von Unternehmen unterstützen? Theorie und Praxis schlagen dazu eine Vielzahl von Modellen vor, gleichwohl steht die integrierte Betrachtung von Strategie und Risiko in vielen Unternehmen noch am Anfang der Entwicklung.
Der Ansatz des international bewährten COSO-Modells liefert nun neue Anhaltspunkte zu dieser brennenden Frage. Mit der Veröffentlichung hat COSO (The Committee of Sponsoring Organizations of the Treadway Commission) sein aktualisiertes Modell Enterprise Risk Management – Integrating with Strategy and Performance veröffentlicht, welches die Bedeutsamkeit der Verzahnung zwischen Strategie, Risikomanagement und Unternehmenserfolg hervorhebt. Damit einher geht die Ablösung des bekannten COSO-„Würfels“ zu Gunsten eines dreistufigen Prozessmodels, welches die positiven Effekte eines integrierten Risikomanagements in die Strategiedefinition und -umsetzung in den Vordergrund stellt.
Was hat sich gegenüber der „alten“ Sichtweise verändert? Neben der expliziten Abstimmung strategischer Aspekte mit dem Risikomanagement unter besonderer Berücksichtigung der Organisationskultur verfolgt das aktualisierte COSO-Modell einen ganzheitlichen Risikomanagement-Ansatz mit einem besonderen Augenmerk auf performance- und entscheidungsorientierte Gesichtspunkte. Risikomanagement wird dadurch stärker als iterativer Prozess verstanden, den es in die Strategieplanung, Organisationsstruktur und tägliche Management-Praxis zu integrieren gilt.
Das COSO-Modell formuliert fünf miteinander eng verbundene Komponenten, die wiederum jeweils eine Reihe von Prinzipien vereinen und mit dem Prozess der Strategieentwicklung, -formulierung und -umsetzung verwebt werden. Zu den fünf Komponenten gehören beispielsweise die folgenden Prinzipien:
Komponente 1: „Governance & Culture“ mit Prinzipien wie z.B. der Risikoberatung und -überwachung durch den Aufsichtsrat sowie die Einbindung des Risikomanagements in Unternehmenswerte, -strukturen und -kultur;
Komponente 2: „Strategy & Objective-Setting“ mit Prinzipien wie etwa der Bestimmung des Risikoappetits oder dem Zusammenhang von Risiken mit der Formulierung und Evaluierung strategischer Optionen;
Komponente 3: „Performance“ mit Prinzipien wie z.B. der Identifizierung und Priorisierung zentraler Risiken sowie der risikoorientierten Bewertung des Strategieportfolio;
Komponente 4: „Review & Revision“ mit Prinzipien wie etwa der Überwachung des Zusammenhangs von Risiko und Performance sowie der konsequenten Weiterentwicklung des Risikomanagement-Systems;
Komponente 5: „Information, Communication & Reporting“ mit Prinzipien wie z.B. der Verbindung von Strategie, Risikomanagement und Informationstechnologie sowie der Kommunikation und Berichterstattung von Wirkung und Ursachen.
Bei konsequenter Verfolgung und Beachtung der Prinzipien verspricht das COSO-Modell eine konsequente Einbindung des Risikomanagement-Systems in die verschiedenen Facetten der strategischen Unternehmensführung.
Das COSO-Modell bietet einen Rahmen zur stärkeren Verzahnung von Unternehmensstrategie und den Anforderungen an ein effektives Risikomanagement. Auch der Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW) zur Prüfung von Risikomanagementsystemen (IDW PS 981) stellt neben den operativen auch die strategischen Unternehmensrisiken in den Mittelpunkt. Ein aktueller Blick in die Praxis bestätigt diese Sichtweise: Die Deloitte-Benchmarkstudie zur Umsetzung von Risikomanagement-Anforderungen aus dem Jahr 2022 zeigt, dass bereits heute rund 95 Prozent aller befragten Unternehmen über ein institutionalisiertes Risikomanagement-System verfügen; bei rund 90 Prozent der Unternehmen wird das Risikomanagement-System unternehmensweit eingebunden. Die Studie verweist allerdings auch darauf, dass bei rund 70 Prozent keine oder in der Regel keine Einbindung des Risikomanagement-Systems in die Vorbereitung von strategischen Entscheidungen des Vorstands stattfindet. Insbesondere die Abstimmung zwischen Strategieplanungs- und Risikomanagement-Verantwortlichen erweist sich damit häufig als verbesserungswürdig.
Eine Parallelität von Risikoidentifikation/ -aktualisierung und Strategieplanung, wie auch im Rahmen des COSO-Modells sowie dem PS 981 angedacht, stellt einen unverzichtbaren Bestandteil erfolgreicher Unternehmensführung dar. In vielen Unternehmen steckt die Integration von Risikomanagement und Strategieplanung aber noch zu häufig in den Kinderschuhen. Für die Unternehmensleitung bietet es sich somit an, das Risikomanagement stärker als Business Partner wahrzunehmen. Nachhaltige Wertschöpfung kann in diesem Sinn dann geschaffen werden, wenn das Risikomanagement nicht nur für das Tagesgeschäft, sondern auch als Sparringspartner des Managements genutzt wird.