Typische Fehler beim Risikomanagement und Gegenmaßnahmen

1. Unzureichende Unternehmensführung und zu schwache Kontrollen der Risiken

Die Citibank, einer der größten Finanzdienstleister der Welt für Privatkunden, landete im August 2020 unerwartet in den Schlagzeilen, als die Bank versehentlich rund 900 Millionen US-Dollar aus eigenen Mitteln an Kreditgeber des Kosmetikunternehmens Revlon überwiesen hatte. Später kam ein Bundesrichter auch noch zu dem Ergebnis, dass die Citibank keinen Anspruch auf eine Rückzahlung von zehn der Empfänger hatte, denen sie 500 Millionen US-Dollar überwiesen hatte. Ein Berufungsgericht hob dieses Urteil allerdings später wieder auf, so dass die Bank doch noch das gesamte Geld zurückerhielt.

Es ist aber nicht so, dass die Citibank keine Richtlinien und Technologien eingesetzt hatte, um Risiken zu minimieren. So nutzte sie dedizierte Terminals zum Überweisen großer Summen sowie eine Reihe von internen Kontrollen, die im Zuge der Home-Office-Einführung während der COVID-19-Pandemie sogar noch einmal überarbeitet wurden. Der Fehler lag aber woanders. So wurde er auf eine kurz zuvor installierte Software zurückgeführt, deren grafische Oberfläche nicht optimal gestaltet worden war und die zudem über keine ausreichenden Kontrollmechanismen verfügte. In der Summe führte dies dann zu dem menschlichen Fehler. „Es handelte sich damit um einen Fall, bei dem die menschliche Seite jede noch so gute Technologie, die installiert worden war, überstimmen konnte“, kommentiert Chris Matlock, Vice President und Analyst Team Manager beim Marktforschungs- und Beratungsunternehmen Gartner.

Das Problem bei der Bank lag sogar aber noch wesentlich tiefer, bis in den Kern der Bemühungen zum Risikomanagement. Zwei Monate nachdem die versehentliche Überweisung getätigt worden war, wurde die Citibank von den US-Aufsichtsbehörden daher mit einer Geldstrafe in Höhe von rund 400 Millionen US-Dollar belegt. Nach Ansicht der Regierung hatte sie es „seit langem versäumt, für wirksame Maßnahmen zum Risikomanagement, zur Verwaltung ihrer Daten sowie für interne Kontrollen zu sorgen“. Die bundesbehördliche Anordnung legte der Bank zudem auf, ihre internen Prozesse und Kontrollmaßnahmen komplett zu überarbeiten.

Ein weiteres Beispiel: Während im Freien Rekordtemperaturen von fast 50 Grad Celsius gemessen wurden, zerstörte im Jahr 2021 ein Buschfeuer das Dorf Lytton in Britisch-Kolumbien. In der Folge kam es zu mehreren Sammelklagen, laut denen das Feuer durch Hitze oder Funken ausgelöst worden war, die von einem in der Nähe fahrenden Güterzug ausgegangen sein sollen. Laut den Klagen, die im Jahr 2025 zusammengelegt wurden, hätten den beiden Eisenbahnlinien Canadian Pacific Kansas City und Canadian National bekannt sein müssen, dass es unter diesen Bedingungen nicht sicher gewesen sei, den Zug fahren zu lassen.

Auch wenn solche Vorfälle auf den ersten Blick eindeutig das Ergebnis von leichtsinnigem Verhalten zu sein scheinen, „ist es oft nicht so einfach“, sagt Josh Tessaro. Er ist Principal Consultant bei der ServiceNow-Beratungsfirma Workpact. „Wenn Sie einen dieser Artikel sehen, der eindeutig nach rücksichtslosem Verhalten aussieht, liegt das aber fast immer an fehlenden Daten zu Risiken, Prozessen und Führung.“

2. Unausgereifte Prozesse zum Risikomanagement

Einfach nur irgendein ERM-Programm zu starten, genügt meist nicht. Unternehmen, die sich nicht die Mühe machen, einen detaillierten Plan für ihr Risikomanagement zu erstellen, überlassen den Erfolg ihrer Initiative dem Zufall, warnt Donald Farmer. Er ist leitender Consultant bei der Beratungsfirma TreeHive Strategy. Ein formalisierter Plan erzeuge dagegen einen Rahmen zum Identifizieren, Bewerten, Priorisieren und Reagieren auf Risiken für das Unternehmen. Ohne einen solchen Plan, der auch von der Geschäftsleitung unterstützt werden sollte, bleiben die Prozesse zum Risikomanagement in einer Organisation nach Ansicht von Farmer wenig umfassend und sind auch nicht wirklich effektiv.

Jeder Plan sollte daher mindestens die folgenden Punkte enthalten:

• Definieren unterschiedlicher Rollen und Verantwortlichkeiten zum Risikomanagement.
• Durchführen eines internen Trainings sowie Entwicklung von Kommunikationsplänen.
• Fortlaufende Maßnahmen zum Risiko-Monitoring.
• Erstellen von Richtlinien zu Dokumentationen und zum Anfertigen von Aufzeichnungen.
• Entwickeln eines Prozesses zum Überprüfen und Aktualisieren des Plans, um ihn kontinuierlich an den geschäftlichen Anforderungen ausrichten zu können.

Die Umsetzung all dieser Elemente und das Sicherstellen, dass sie korrekt und wie geplant implementiert werden, fördert laut Farmer den Reifegrad der getroffenen ERM-Maßnahmen. Das sollte die risikobehafteten Probleme reduzieren, die ein Unternehmen im Alltag hat.

3. Verzicht auf eine effektive Risikokultur

Alla Valente, eine leitende Analystin bei Forrester Research, ergänzt, dass die Kultur eines Unternehmens ein Problem sei, wenn es die Risiken nicht effektiv mindern kann. Oft resultiere das dann in negativen Konsequenzen für das Geschäft.

So ignorierten leitende Angestellte der Bank Wells Fargo zum Beispiel über zehn Jahre lang Warnsignale, die auf fast schon räuberische Praktiken bei der Vergabe von Krediten, auf systematische Probleme bei der Bearbeitung von Krediten sowie auf weitere unzulässige Praktiken bei Finanzgeschäften hinwiesen. Das war allerdings kein Zufall, sondern eine „strategische Entscheidung“, so Valente. „Es hätte behoben werden können, aber das Ändern der Kultur in einem Unternehmen ist nie eine leichte Aufgabe.“ Letztlich war es jedoch ein teurer Fehler beim Verwalten der Risiken: 2022 stimmte Wells Fargo zu, an betroffene Kunden als Wiedergutmachung die Summe von insgesamt zwei Milliarden US-Dollar auszuzahlen. Dazu kam eine behördliche Strafe in Höhe von 1,7 Milliarden US-Dollar.

Um vergleichbare Probleme zu vermeiden, sollten Risikomanager und Führungskräfte eng zusammenarbeiten, um eine starke und effektive Risikokultur aufzubauen, die alle Ebenen des Unternehmens umfasst. Zusätzlich zum Entwickeln eines Plans zum Risikomanagement, der auch ein Trainingsprogramm für alle Mitarbeiter enthalten sollte, gehören dazu weitere Schritte zum Aufbau einer neuen Kultur wie zum Beispiel das Integrieren von Best Practices zum Risikomanagement in die Geschäftsabläufe und Belohnungen für erwünschtes Verhalten von Mitarbeitern, wenn es den vereinbarten Richtlinien für das Risikomanagement entspricht.

4. Unzureichende Kontrollen für Risiko-Initiativen

Fehler beim Risikomanagement können darüber hinaus auftreten, wenn höhere Angestellte und der Vorstand eines Unternehmens die ERM-Programme nicht priorisieren und ihnen auch nicht die Aufmerksamkeit zukommen lassen, die sie für eine erfolgreiche Umsetzung benötigen.

Der Zusammenbruch der Silicon Valley Bank im Jahr 2023 illustriert diesen Punkt. Laut einem Bericht des Generalinspektors des Verwaltungsrats des Federal Reserve Systems haben sowohl der Vorstand als auch die Geschäftsleitung der Bank „die Bedeutung der vielfältigen Risiken nicht erkannt“, denen sie damals ausgesetzt war. Zu diesen Risiken gehörten ein relativ kleiner Kundenstamm sowie große Mengen an nicht versicherten Einlagen und Investitionen in langfristige Wertpapiere.

Statt aber sicherzustellen, dass interne Kontrollen eingerichtet wurden, um die Risiken zu minimieren, so der Report, setzte das Management der Bank verstärkt auf weiteres Wachstum. Diese Strategie erwies sich jedoch als katastrophal, als die damals steigenden Zinsen einen unerwarteten Ansturm der Anleger auf die Bank auslösten. Ein möglicher weiterer Grund für den Mangel an Aufmerksamkeit, den die Bank den steigenden Risiken zukommen ließ: Den Großteil des Jahres 2022 hatte die Silicon Valley Bank keinen dedizierten Chief Risk Officer.

5. Mangel an Transparenz über die Geschäftsrisiken

Zurückgehaltene Daten, Daten in Silos oder auch nur ein Mangel an Daten zu Risiken innerhalb eines Unternehmens können zu Transparenzproblemen führen und unvorhergesehene Konsequenzen haben. „Viele Prozesse und Systeme werden nicht unter Berücksichtigung der Risiken entwickelt, oft sind sie zudem im Unternehmen nicht miteinander verbunden und unterstehen unterschiedlichen leitenden Angestellten“, ergänzt Tessaro. „Die meisten Risikomanager konzentrieren sich daher auf die Daten, die sie haben und die leicht zugänglich sind, ignorieren dabei aber kritische Prozesse, weil deren Daten nur schwer zu bekommen sind.“

Ein transparenter Ansatz beim Risikomanagement erfordert jedoch eine in sich stimmige Strategie, die von der Geschäftsleitung und den Führungskräften gestützt werden muss. Diese Strategie sollte die verschiedenen Interessen, Ziele und Einschätzungen zu relevanten Risiken aller Abteilungen enthalten. Außerdem sollte sie sich um die folgenden Bereiche kümmern:

• Sie sollte den Zweck und die Ziele des Programms zum Risikomanagement klar definieren.
• Sie sollte im gesamten Unternehmen das Bewusstsein für Risiken schärfen.
• Sie sollte eine gemeinsame Sprache über die Risiken etablieren.

Darüber hinaus muss ein zentrales System zum Aufzeichnen von Risikoprofilen und riskanten Ereignissen eingerichtet werden. Es kann nicht nur alle relevanten Daten zu Risiken aufnehmen, sondern sie auch verwalten und für Berichte genutzt werden. Viele Unternehmen erstellen dafür ein spezielles Risikoregister, das Risiken sowie ihre Wahrscheinlichkeit, potenzielle Auswirkungen auf das Unternehmen sowie eine Prioritätseinschätzung auf Basis der internen Risikobewertung enthält. Dazu kommen Daten zu zuständigen Personen, Reaktionsplänen sowie weitere wichtige Informationen.

6. Zu starke Betonung auf geschäftlicher Effizienz anstelle von Resilienz

Effizienz und Resilienz befinden sich an entgegengesetzten Enden des geschäftlichen Spektrums, ist Matlock überzeugt. Wenn sie nicht ausbalanciert werden, fügt er hinzu, schlagen die meisten Maßnahmen zum Risikomanagement fehl.

Eine erhöhte operative Effizienz kann zu steigenden Gewinnen führen, wenn alles gut läuft. So erzielte zum Beispiel die Autoindustrie in den vergangenen Jahren signifikante Einsparungen, indem sie ein hoch komplexes Lieferkettensystem mit Tausenden von Drittanbietern schuf, die auf unterschiedlichen Ebenen agieren. Zu Beginn der COVID-19-Pandemie gab es aber massive Unterbrechungen der Lieferketten, zu denen auch ein Mangel an elektronischen Halbleitern gehörte. Die Gewinne der Automobilhersteller brachen in der Folge ein, weil viele Chip-Lieferanten die möglich gewordenen höheren Margen ausnutzten, die sie von ihren Kunden aus der Unterhaltungsindustrie erhalten konnten. Die Autohersteller waren dagegen mit einem Mangel an dringend benötigten elektronischen Komponenten konfrontiert.

Die Widerstandsfähigkeit eines Unternehmens und eine sorgfältige Planung seiner Geschäftskontinuität sollten deshalb ein zentraler Aspekt aller Programme zum Risikomanagement sein. Nur damit lassen sich solche und ähnliche Situationen vermeiden oder zumindest abschwächen.

7. Unzureichende Überwachung der Lieferketten

Die Unterbrechungen der Lieferketten, die erst von der Pandemie und dann von andauernden Kriegen sowie dem Hin und Her um die von der Administration Trump erhobenen Zölle ausgelöst worden waren, unterstreichen die Notwendigkeit eines effektiven Risikomanagements für die eigene Lieferkette. Das gleiche gilt für hochkarätige Cyberangriffe wie dem massiven Backdoor-Angriff gegen Kunden des Softwareanbieters SolarWinds.

Verträge mit Lieferanten müssen sich auch mit dem Schutz vertraulicher Daten, mit den benötigten Cyberversicherungen, Praktiken zum Vernichten von Daten und anderen sicherheitsrelevanten IT-Fragen beschäftigen, unterstreicht Mark O’Hara. Er ist Managing Director beim Beratungsunternehmen AArete. Andere Arten von Risiken für die Lieferkette, um die man sich kümmern sollte, sind wirtschaftliche, umweltbezogene oder geopolitische Gefahren. Nach Aussage von O’Hara überprüfen viele Firmen aber nicht regelmäßig ihre bereits getroffenen Vereinbarungen und kommunizieren auch nicht fortlaufend ihre neuen Anforderungen. Das führt nach seinen Angaben zu nicht mehr konformen Verträgen und potenziellen Problemen beim Risikomanagement.

Unternehmen sollten sich zudem auch dem sogenannten Drittanbieter-Risikomanagement widmen. Dabei handelt es sich um eine übergeordnete Kategorie, die sowohl Risiken in der Lieferkette als auch Risiken im Zusammenhang mit Geschäften mit IT-Anbietern und anderen Unternehmen umfasst, die etwa fertige Produkte an ein Unternehmen verkaufen. Aber nicht nur das, ERM-Initiativen sollten sich darüber hinaus auch mit einem sogenannten Viertanbieter-Risikomanagement beschäftigen, um sich wiederum vor Risiken bei Lieferanten und Ausstattern zu schützen, die selbst ebenfalls Drittanbieter-Lösungen einsetzen.

8. Fehler beim Erkennen und Verwalten von KI-Risiken

Unternehmen integrieren KI-Techniken immer schneller in ihre geschäftlichen Anwendungen. Dazu gehört mittlerweile sogar der Einsatz der künstlichen Intelligenz in ihren Programmen zum Risikomanagement. Allerdings können sie auch in Schwierigkeiten geraten, wenn sie die mit dem Einsatz der KI verbundenen geschäftlichen Risiken nicht effektiv managen. Es gibt eine Vielzahl solcher Risiken, um die sich Unternehmen kümmern müssen. Das fängt bereits bei Problemen an, die auftreten, wenn die eingesetzten KI-Tools nicht ausreichend gut trainiert und überwacht werden.

Im Folgenden finden Sie Beispiele für potenzielle Risiken der KI:

• Verzerrungen in KI-Algorithmen, die entweder aus dem Training stammen oder sich im Code befinden. Sie können zu fehlerhaften Ergebnissen führen.
• Fehlerhafte Ergebnisse wie zum Beispiel die bekannten KI-Halluzinationen, die meist mit Large Language Models (LLMs) in Verbindung gebracht werden.
• Eine unethische oder illegale Nutzung von KI-Tools, um interne Risikokontrollen zu umgehen.
• Mögliche rechtliche Haftungsrisiken und Probleme hinsichtlich der Einhaltung gesetzlicher Vorschriften, die sich aus der Nutzung der KI ergeben.
• Risiken für den Ruf eines Unternehmens, die auf einen nicht angemessenen Einsatz der Technologie zurückzuführen sind.
• Erhöhte Cybergefahren, da auch die Angreifer selbst immer häufiger zu KI greifen.

9. Übermäßiges Vertrauen in die eigenen Fähigkeiten zum Management von Risiken

Fehler beim Einschätzen der Effektivität der festgelegten Prozesse zum Risikomanagement können zu erheblichen Problemen führen. Das trifft ganz besonders zu, wenn ein Unternehmen eine unerwartete Krise erlebt. Diese Probleme gehen sogar noch über die Selbstüberschätzung hinaus, die einige Risikomanager und Führungskräfte aufweisen, die an der Überwachung der ERM-Initiativen beteiligt sind. Manche Geschäftsführer und für den Betrieb zuständige Mitarbeiter neigen dazu, ihre eigenen Fähigkeiten bei der Bewältigung von Risiken und Krisen zu überschätzen. Ein gängiges Beispiel sind Investmentbanker, die hoch riskante Strategien verfolgen, die nicht den festgelegten Richtlinien zum Risikomanagement entsprechen.

Diese Gefahr eines überhöhten Vertrauens in die eigenen internen Kontrollen ist ein weiterer Grund dafür, warum Risikomanager und Führungskräfte ihre Programme zum Risikomanagement regelmäßig überprüfen sollten.