Von strategischem Risikomanagement profitieren

Ein Interview mit Alexandra Burns und Richard Thomas

Richard Thomas und Alexandra Burns erörtern die wichtigsten aktuellen und aufkommenden Risiken. Dabei geht es auch darum, wie diese erfolgreich auf der strategischen Verwaltungsratsebene und im gesamten Unternehmen angesprochen werden können. Sie bieten Empfehlungen und Ansätze, um eine Risikokultur mit maximaler positiver Wirkung konzeptionell einzubetten. Ausserdem geht es um die Karriereentwicklung und die Wichtigkeit von beruflichen Netzwerken im Bereich des Risikomanagements.

Mit welchen zentralen Herausforderungen sind Risikomanager konfrontiert? Wie hat sich dies in den letzten zwei bis drei Jahren verändert?

Alexandra Burns und Richard Thomas: Risikomanager arbeiten heute in einem Umfeld dauerhafter Disruption. Es gibt andauernd verschiedene Krisen und Probleme, die sie früher entweder gar nicht auf dem Radar hatten oder zumindest nicht im oberen Bereich ihrer Agenda ansiedelten. In gewisser Hinsicht war Covid eine grosse, isolierte Krise. Nun haben wir es nicht nur mit Covid alleine, sondern auch zeitgleich mit der Energiekrise, Inflation und dem Krieg in der Ukraine zu tun.

Heute müssen Risikomanager mit dieser neuen, disruptiven Situation umgehen. Gleichzeitig müssen sie den Verwaltungsrat und die Organisation dabei unterstützen, wichtige Probleme konstruktiv anzugehen. Der alte Ansatz, einen Plan für das Business Continuity Management (BCM) zu haben, dessen Punkte einfach nacheinander abgehakt wurden, ist mittlerweile obsolet. Treten indes mehrere Krisen gleichzeitig auf, braucht es eine andere Denkweise, verbesserte Fähigkeiten und einen agilen Risikomanagementansatz, um die Widerstandsfähigkeit des Unternehmens zu erhöhen.

Welches ist das wichtigste Instrument, mit dem Risikomanager die zeitgleich auftretenden Krisen angehen?

Die besten Risikomanager stützen sich zunehmend auf eine Szenarioplanung. Diese hilft Unternehmen bei der Identifizierung und Behandlung möglicher Ereignisse. Vor zehn Monaten zum Beispiel hätte sich kaum jemand vorstellen können, dass in Europa, vor unserer Haustür, ein Krieg ausbrechen könnte. Jetzt haben wir einen. Daher entwickeln die stärker in die Zukunft blickenden Organisationen Szenarien und entsprechende Lösungen. Mittlerweile ist klar, dass das Undenkbare eintreten kann. Deshalb greifen Organisationen häufig auf eine externe Unterstützung zurück, um ihre Szenarien und möglichen Lösungen hinterfragen zu lassen.

«Risikomanager arbeiten heute in einem Umfeld dauerhafter Disruption.»

Wie haben sich die Agenden von Verwaltungsräten infolge dieser Situation in puncto Risiko geändert?

Vor etwa fünf Jahren war das Risiko ein eigenständiger Punkt und nicht das Hauptthema der meisten Verwaltungsräte. Nun steht dieses Thema bei den meisten Verwaltungsräten ganz oben auf der Tagesordnung und wird zunehmend als strategischer Punkt angesehen. Das ist durchaus eine positive Entwicklung. Auf der anderen Seite sind viele Verwaltungsratsmitglieder beim Umgang mit aufkommenden Risiken, wie zum Beispiel Cybersicherheit, unsicher. So verstehen sie vielleicht nicht alles, was ein Chief Information Security Officer vorträgt, und überlassen das Thema lieber einem anderen Mitglied des Verwaltungsrats. Daher müssen Verwaltungsratsmitglieder unbedingt durch entsprechende Schulungen über die neuesten Entwicklungen und potenziellen Risiken auf dem Laufenden gehalten werden. 

Disclose 34

Das Onlinemagazin von PwC. Im Fokus: Risikomanagement in Krisenzeiten

Ausgabe lesen

Warum ist es so wichtig, dass Verwaltungsratsmitglieder die aufkommenden Risiken verstehen und sicherstellen, dass diese angesprochen werden?

Die Hauptgründe für das erzwungene Ausscheiden aus einem Verwaltungsrat hängen in der Regel mit dem Thema Risiko zusammen. Dabei kann es sich beispielsweise um ein Problem mit der Risikokultur oder um ein bedeutendes Risikoereignis handeln, das nicht richtig gehandhabt wurde. Gleichzeitig stehen Fragen der persönlichen Verantwortlichkeit, Haftung und Reputation auf dem Spiel. Verwaltungsräte müssen sicherstellen, dass sie von der Organisation bekommen, was sie brauchen, um Entscheidungen zu treffen, mit denen sie sich wohlfühlen.

Aktuelle und neu aufkommende Risiken sind strategische Fragen. Verwaltungsratsmitglieder müssen sich nicht mit den Details dieser Themen befassen. Wichtiger ist vielmehr, dass sie die Auswirkungen dieser Risiken auf das Unternehmen verstehen. Was sind die wichtigsten Dinge, die problematisch werden könnten? Wendet die Organisation dort Geld und Ressourcen auf, wo sie es sollte? In unseren Gesprächen mit Verwaltungsratsmitgliedern beobachten wir einen positiven strategischen Wandel in Bezug auf Cyberthemen. Als Nächstes wird es um das Zusammenspiel der Themen Resilienz nach einer Krise, Drittparteien-, Technologie- und Personalrisiken gehen.

«Die Hauptgründe für das erzwungene Ausscheiden aus einem Verwaltungsrat hängen in der Regel mit dem Thema Risiko zusammen.»

Alexandra Burns

Über Alexandra Burns

Alexandra ist Partnerin bei PwC Schweiz und leitet den Bereich Financial Services Risk Consulting & Internal Audit.

Alexandra ist spezialisiert auf die Beratung von Kunden bei der Konzeption und Implementierung von integrierten Risikomanagement- und Compliance-Rahmenwerken. Die gelernte Ingenieurin verfügt über mehr als 15 Jahre Erfahrung in der Umsetzung grosser Programme in den Bereichen Finanzdienstleistungen und Technologie. Ihre Führungs- und Managementaufgaben innerhalb des Unternehmens gewährleisten zudem einen praktischen, zukunftsweisenden Ansatz, um ihre Kunden beim Schutz und Wachstum ihrer Unternehmen zu unterstützen.

Warum sind Personalrisiken wichtig?

Personalrisiken wie der Abgang von Arbeitskräften, Mitarbeiterbindung oder Wohlbefinden sind ein wichtiges Risiko für Unternehmen und ein Problem des Managements. Wir haben wunderbare Unternehmen in der Schweiz, die beispielsweise grossartige pharmazeutische, technische und Bankprodukte entwickeln. Diese Unternehmen wären nicht dort, wo sie sind, wenn es die entsprechenden Menschen nicht gäbe. Nach dem pandemiebedingten Umzug ins Homeoffice tun sich manche Unternehmen noch immer schwer, erfolgreich ein nachhaltiges hybrides Arbeitsmodells einzuführen. Dies ist mit Risiken verbunden. Wie Sie Ihre Risikokultur in der Belegschaft verankern, ist von entscheidender Bedeutung. Dazu gehört auch, den Mitarbeitenden zuzuhören, zu verstehen, was ihnen wichtig ist, und angemessen zu handeln. Dann werden sie sich auch engagieren und mit Blick auf die Minimierung von Risiken die richtigen Dinge aus den richtigen Gründen tun.

Trust in Transformation

2022 Global Risk Survey

Den Herausforderungen digitaler Transformation und Krisen trotzen und Chancen nutzen durch strategisches Risikomanagement.

Erfahren Sie mehr

«Stimmt die Organisationskultur, können sie auch dann eine Krise überwinden, wenn einzelne Punkte noch nicht ganz ausgereift sind.»

Welche Rolle spielt die Kultur für ein erfolgreiches Risikomanagement?

Die Kultur ist ein entscheidender Erfolgsfaktor. Stimmt die Unternehmenskultur, können sie auch dann eine Krise überwinden, wenn einzelne Punkte noch nicht ganz ausgereift sind. Das ist ein zentraler Grund dafür, warum eine Risikokultur in das gesamte Unternehmen eingebettet werden muss.

Es ist auch von grundlegender Bedeutung, dass der Verwaltungsrat die Unternehmenskultur versteht. Die Kultur wirkt sich auf Umfang und Art der Informationen aus, die er erhält. Eine Kultur der «guten Nachrichten», bei der alle schlechten Nachrichten herausgefiltert werden, bevor sie den Verwaltungsrat erreichen, schränkt die erhaltenen Informationen ebenso ein wie die Möglichkeiten zur proaktiven Identifizierung aufkommender Risiken. Als Mitglied des Verwaltungsrats müssen Sie sich dessen bewusst sein und dem entgegenwirken – beispielsweise indem Sie Fragen stellen, bis Sie mit den Antworten zufrieden sind, und die Menschen belohnen, die auf Probleme aufmerksam machen.

Wie wichtig ist die Kommunikation für das Risikomanagement?

Kommunikation ist auf so vielen Ebenen wichtig. Viele Probleme entstehen aufgrund von Kommunikationsfehlern. Für viele Unternehmen ist es eine grosse Herausforderung sicherzustellen, dass sie ihre Hauptrisiken und ihre Ansätze zur Risikominderung einheitlich kommunizieren, damit die Mitarbeitenden wissen, was von ihnen erwartet wird.

Für sich allein genommen könnten Risikorichtlinien abschreckend wirken. Erfolgreiche Risikomanager sind in der Lage, mit den Stakeholdern über die wirklich wichtigen Richtlinienpunkte und deren Nutzen für das Unternehmen zu kommunizieren. Sie treiben lösungsorientierte Diskussionen über Schritte zur Risikominderung und Verantwortlichkeiten voran.

«Viele Probleme entstehen aufgrund von Kommunikationsfehlern.»

Was sind Ihre wichtigsten Empfehlungen, um das Risikopotenzial voll auszuschöpfen?

Zunächst lassen sich viele grundlegende Dinge verbessern. Sind beispielsweise – im technologischen Bereich – alle Ihre Daten an einem Ort, sodass Querverweise möglich sind? Stimmt Ihre Story mit den verschiedenen Datenpunkten überein? Unternehmen können davon profitieren, diese Grundlagen erfolgreich umzusetzen, und einige tun das bereits.

Auf der strategischen Ebene kommt es darauf an, die Rolle und den Wert des Risikos mit Ihren wichtigsten Stakeholdern zu besprechen. Dazu zählen Ihr Verwaltungsrat, die obersten Linienfunktionen sowie die Revision. Das klingt zwar einfach, aber wir beobachten immer wieder, dass Sie sehr unterschiedliche Antworten erhalten, wenn Sie nach der Rolle des Risikos fragen. Sie sollten ausserdem danach fragen, wie Ihre Risikofunktion zurzeit wahrgenommen wird. Zusammengenommen werden Ihnen diese Einsichten ein Bild davon vermitteln, wo Sie heute stehen und wohin Sie sich entwickeln müssen, um die Organisation zukunftssicher zu machen. 

Wie ändert sich das Risiko und welche Folgen hat das?

In fünf Jahren wird das Risiko ganz anders aussehen und es wird nicht reichen, einfach die aktuellen Prozesse zu straffen. So können Sie Ihre Organisation nicht zukunftssicher machen. Daher ist es wichtig, die zentralen Kompetenzen zu kennen, die Sie benötigen, um den Auftrag des Risikomanagements zu erfüllen. Dazu gehört auch die Frage, wo Sie investieren müssen und wo Sie Ihre Kenntnisse erweitern oder neue Mitarbeitende einstellen müssen. Letztlich geht es darum, die Risikofunktion in der gesamten Organisation umzugestalten und zu verankern. Das Risikomanagement muss über die zentralen Risikofunktionen der ersten und zweiten Verteidigungslinie hinausgehen, denn mit einem Siloansatz kann man sich nicht auf gleichzeitig auftretende Krisen vorbereiten.

Richard Thomas

Über Richard Thomas

Richard ist Partner bei PwC Schweiz. Richard ist Risk Consulting Leader (Handel, Industrie, Dienstleistungen) und Territory Leader Internal Audit in der Schweiz.

Er ist Certified Internal Auditor und verfügt über mehr als 24 Jahre Erfahrung in der Durchführung von internen Audits und der Verbesserung der Zuverlässigkeit interner Kontrollen für internationale Unternehmen in Europa, Amerika und Asien. Darüber hinaus verfügt Richard über umfassende Erfahrung in der Konzeption, Implementierung und Optimierung von Governance-, Risikomanagement- und internen Kontrollrahmen sowie in der Unterstützung von Kunden bei der Umgestaltung ihrer Kontroll- und Prüfungsaktivitäten.

Welchen Rat würden Sie Menschen geben, die über eine Karriere im Risikomanagement nachdenken?

Es ist ein grossartiger Ort, um auch nur einen Teil seiner Karriere dort zu verbringen. Es gibt immer etwas Neues zu entdecken und viele Lernmöglichkeiten. In diesem Bereich lernen Sie, über Risiko und Belohnung nachzudenken, und das ist eine wichtige Voraussetzung für das Festlegen von Agenden und die Kommunikation.

Das Risikomanagement ist sowohl eine Kunst als auch eine Wissenschaft, in der Zahlen, statistische Modelle und Menschen zusammenkommen. Das Wichtigste, was einen auf Trab hält, sind die Menschen und ihre Unberechenbarkeit. Es ist nicht nur ein hervorragender Ort, um beide Fähigkeiten zu kombinieren und zu verfeinern, sondern auch ein sehr strategischer Teil jeder Organisation, wenn das Risiko richtig umgesetzt wird.

Was sind Ihrer Meinung nach die wichtigsten Eigenschaften erfolgreicher Risikomanager?

Sie sind wirklich neugierig, Themen, die sich – positiv oder negativ – auf eine
Organisation auswirken könnten besser zu verstehen. Sie suchen in anderen Branchen nach Präzedenzfällen. Wenn sie beispielsweise in der pharmazeutischen Industrie arbeiten, könnten sie sich in anderen stark regulierten Sektoren wie Finanzdienstleistungen umsehen. Risikomanager sind gute Zuhörer und erkennen den grossen Wert von Netzwerken, die in der Regel über ihre eigene Organisation oder Branche hinausgehen. 

#social#

Contact us

Alexandra Burns

Alexandra Burns

Partner, Leader Financial Services Risk Consulting & Internal Audit, PwC Switzerland

Tel: +41 58 792 46 28

Richard Thomas

Richard Thomas

Partner, Risk Consulting, Risk Consulting Leader TIS (Trade, Industry, Services) and Internal Audit, PwC Switzerland

Tel: +41 79 816 27 00