Wenn die internen Alarmglocken nicht rechtzeitig anspringen, kann das für Unternehmen teuer werden. Diese Erfahrung prägt die Arbeit von ThyssenKrupp-CFO Guido Kerkhoff seit seinem Amtsantritt im April 2011: Die Milliardenabschreibungen auf zwei Stahlwerke in den USA und Brasilien haben der Industrieikone in den vergangenen drei Geschäftsjahren jeweils einen kräftigen Verlust beschert. Nach dem Verkauf des US-Werkes findet der Konzernzwar langsam wieder in die Spur. Doch wenn die Vorgänger von Kerkhoff und CEO Heinrich Hiesinger rechtzeitig die Reißleine gezogen hätten, wären die Fehlinvestments wohl nicht so teuer geworden. Bitter für die Thyssen-Aktionäre: Die Warnsignale waren da, doch das Risikomanagement hat nicht gegriffen.
Der Fall ThyssenKrupp scheint kein Einzelfall, sondern symptomatisch für das mangelnde Risikomanagement in vielen Unternehmen zu sein. So zumindest lassen sich die Ergebnisse einer neuen OECD-Studie interpretieren, die die Risikomanagement-Praxis von Aktiengesellschaften in 27 Ländern untersucht hat. Daraus geht hervor, dass viele Unternehmen die Kosten unterschätzen, die ihnen drohen, wenn ihr Risikomanagement versagt– ebenso wie die Zeit, die anschließend benötigt wird, um die Situation aufzulösen. Wie auch bei ThyssenKrupp, wo die Fehlinvestitionen das Management seit Jahren in Atem halten.
OECD vermisst Verständnis für Risiken
Die OECD stellt zwar fest, dass Risikomanagement seit der Finanzkrise auch bei Unternehmen außerhalb der Finanzbranche stärker in den Fokus gerückt ist. So hätten auch sie damit begonnen, die Anreizstrukturen für das Topmanagement zu überdenken, damit exzessive Risikobereitschaft, die dem Unternehmen schaden könnte, nicht belohnt wird. Das spiegle sich etwa in der Reduzierung von Aktienbezugsrechten wider. Manager sollen nicht am kurzfristigen Erfolg verdienen, sondern langfristig denken.
Die OECD vermisst jedoch die Verzahnung zwischen strategischem und operativem Risikomanagement: Unternehmen konzentrierten sich zu sehr darauf, mit internen Kontroll- und Auditfunktionen finanzielle Risiken wie etwa das Liquiditätsrisiko zu beobachten. Zunächst sei es jedoch wichtig, alle Risiken – auch solche in Bezug auf IT oder Outsourcing – frühzeitig zu identifizieren, zu verstehen und zu erkennen, wie sie miteinander interagieren. Daran mangele es in vielen Unternehmen, kritisiert die OECD.
Für Vorstände sei es essentiell, sich auch die Schwächen ihrer Risikomanagement-Systeme bewusst machen. Denn wenn die Annahmen – etwa im Hinblick auf Preisentwicklungen – unrealistisch sind, dann könne das System nicht funktionieren.
Von Banken lernen: Eigenständiger Chief Risk Officer?
Auch bei den formalen Abläufen habe sich in vielen Unternehmen seit der Finanzkrise wenig geändert, kritisiert die OECD. Dabei nimmt die Organisation auch die Gesetzgeber und Standardsetzer aus der Industrie in die Verantwortung, strengere Regeln zu verabschieden. Die Aufseher deutscher Aktiengesellschaften kommen dabei im internationalen Vergleichnoch relativ gut weg: Lobend hebt der Report hervor, dass Vorstände in deutschen Unternehmen dazu verpflichtet sind, ein internes Kontrollsystem einzuführen, damit Risiken frühzeitig entdeckt und kommuniziert werden.
Dennoch könnte das Management auch hierzulande mehr tun, findet die OECD: Lediglich 20 Prozent der deutschen Unternehmen hätten 2010 einen Ausschuss auf höchster Führungsebene gehabt, der sich explizit mit Risikomanagement befasst. Ein eigenständiger Chief Risk Officer, wie ihn etwa Argentinien und Singapur ihren Firmen vorschreiben, ist in Deutschland außerhalb der Finanzbranche noch nicht weit verbreitet.
Hier könnten Unternehmen der Realwirtschaft von den Banken lernen, rät die OECD – aber auch die Aufseher. Nach der Finanzkrise haben die Regulatoren weltweit die Anforderungen an das Risikomanagement der Banken immens erhöht. So soll die exzessive Risikobereitschaft, die das Finanzsystem an den Abgrund führte, eingedämmt werden. Die zahlreichen Manipulationsskandale konnten die Risikomanagementsysteme jedoch nicht verhindern. Wie diese sich langfristig auf das Geschäft der Banken auswirken, wird sich erst noch zeigen. Sollten sich die Gesetzgeber tatsächlich an den Vorschlägen der OECD orientieren, müssen sich auch Industrie-CFOs auf strengere Risikomanagementvorgaben einstellen.
