• Increase font size
  • Default font size
  • Decrease font size
Start IT-Risikomanagement IT-Risikomanagement News Wenn Risikomanagement zum Risiko wird

Wenn Risikomanagement zum Risiko wird

News-IT-Risikomanagement
E-Mail

In der NDR-Inforeportage kommen Ex-Mitarbeiter der HSH-Nordbank zu Wort. Ziel der folgenden Betrachtung ist es, die im NDR-Beitrag genannten Informationen einmal zusammenzufassen und Ableitungen für die ggf. eigene Risikomanagement- und auch IT-Risikomanagement Praxis zu treffen.

Vorab eine Zusammenfassung der Punkte, die von der HSH-Nordbank im Untersuchungsausschuss in Kiel als Begründung für die kritische Unternehmenssituation dargelegt worden sind:

Schwächen in der Geschäftsorganisation und Prozessen

- Die Geschäftsorganisation sei stark marktorientiert aufgestellt

- Komplexität von Geschäften und Unabhängigkeit der Marktbereiche

- Keine optimale personelle, organisatorische und technische Ausstattung

- Fehlendes Risikobewußtsein in wesentlichen Prozessen

- Änderung der Rahmenbediungen in einer nicht absehbaren Weise


Aus dem Beitrag des NDR, bei dem sich Ex-Mitarbeiter zum Risikomanagement äußern, gehen folgende Dinge hervor:  

- Es wurde über zwei Jahre intern auf das "katastrophale Risikomanagement" hingewiesen

- Risiken sind unbemerkt entstanden

- Reaktion auf eingetretene Risiken, u.a. durch das Risikomanagement, erfolgte viel zu spät

- Man war nicht in der Lage Konsequenzen bestimmter Geschäfte zu ermitteln

- Bewusste Risiken wurden zwar im Vorstandsbereich diskutiert, Ihnen wurde aber
nicht mit der nötigen Konsequenz und Stringenz begegnet

- In 2008 monierte die Konzernrevision in Teilen falsche Modelle zur Risikoabschätzung

- Zur Verfügung gestellte Mittel für die Verbesserungen des Risikomanagement-Systems
waren nicht ausreichend

- Die Umsetzung eines neuen Risikomanagement-Systems wurde zwar thematisch
verfolgt (im Sinne von Zusagen), ist aber nicht bzw. nicht in der nötigen Form umgesetzt worden


Wie auch im NDR-Beitrag angemerkt, wiedersprechen einige dieser Aussagen den Aussagen der HSH-Führung. Dies soll an dieser Stelle auch gar nicht weiter thematisiert werden. Vielmehr ist es jetzt einmal interessant, die oben gemachten Aussagen zu Interpretieren und zu kommentieren.  


Interpretationen und Ableitungen für die Risikomanagement und IT-Risikomanagement-Praxis:

Unzureichende personelle Ausstattung des Risikomanagements
Die internen überwachenden Funktionen (insbesondere das Risikomanagement) waren anscheinend nicht adäquat aufgestellt (personell/organisatorisch). Wahrscheinlich ist auch, dass aufgrund der beschriebenen "Unabhängigkeit" der Marktbereiche/Geschäftsfelder, in Kombination mit einer unzureichenden (ggf. qualitativen und quantitativen) personellen Ausstattung des Risikomanagements, die übergeordnete Transparenz über die Risiken und damit auch die (Detail-)Risikokontrolle verloren gegangen ist. Gleiches könnte theoretisch auch für entsprechende Prozesskontrollen gelten, die es aufgrund der Komplexität von Geschäften, mangelnder personeller Ausstattung oder ggf. auch aufgrund einer mangelnden Stringenz in der Aufbau- und Ablauforganisation nicht bzw. in nicht ausreichender Form gebeben haben könnte.


Fehlendes Risikobewußtsein bzw. Risiko - Awareness
Das HSH-Beispiel, aber auch die allgemeine Unternehmenspraxis zeigt, dass das Risikobewußtsein auch gerade in den Leitungsebenen nachhaltig "geschärft" werden muss. Die MaRisk fordern u.a. eine entsprechende nachhaltige Risiko-Senisibilsierung. Und diese bezieht sich nicht nur auf die operativen Bereiche, sondern beginnt "Top-Down" vom Vorstand bis zum Mitarbeiter. Der Aspekt einer fehlenden Risikosensibilisierung geht denn auch indirekt aus den Aussagen der Ex HSH-Mitarbeiter hervor: "...wir haben das schon immer angemahnt, es ist aber halt nichts passiert...".

Fehlende Durchsetzungskraft des Risikomanagements
Die angeführten Aussagen zeigen auch die Problematik der Durchsetzbarkeit von internen überwachenden Funktionen. Ein Risikomanagement oder auch IT-Risikomanagement sollte die organisatorische Bedeutung und Möglichkeit des "Durchgriffes" zugestanden werden, die diese benötigen, um den Risikomanagement-Prozess erfolgreich auszugestalten.

Es ist zudem oft kritisch, wenn derartige Funktionen in einer Linienorganisation "untergebracht" sind. Ein Risikomanagement sollte nicht organisatorischen oder führungsbedingten Einflüssen unterliegen. Diese Funktionen benötigen eine neutrale und unabhängige Distanz, die auch entsprechendes "Gehör" bei den Verantwortlichen finden muss. Wenn bspw. das Risikomanagement einem Bereich unter- oder zugeordnet wird, der für die Zahlen oder z.B. den "Vertrieb" des Unternehmens verantwortlich ist, ergibt sich hieraus fast zwangsläufig ein Interessenkonflikt. Es besteht dann die Gefahr, dass Risiken (die z.B. bestimmte bereichsspezifische Geschäftsfelder betreffen), sowie deren Kommunikation und Maßnahmenableitung, nicht in der Form erfolgen, wie dies eigentlich nötig wäre. Ein solcher negativer Einfluß oder auch eine daraus resultierende "Mühlsteinsituation" für ein Risikomanagement sollten unbedingt vermieden werden. Denn dann besteht die Gefahr, dass sich ein Risikomanagement oder auch IT-Risikomanagement aufreibt und bedingt dadurch der nötige Biss und die Motivation verloren gehen.

Keine konsequente Funktionstrennung im Risikomanagement
Im Hinblick auf das Thema "Interessenkonflikte" spielt auch das Thema "Funktionstrennung" (MaRisk) eine Rolle. In der Praxis ist es oft so, dass im Controlling-Bereich eine Person z.B. für das XY-Controlling zuständig ist und parallel dazu auch dem Bereich Risikomanagement zugeordnet wird. Oder aber, dass es einen Verantwortlichen für "Kapital- und Risikomanagement" gibt.  

Die BaFin bzw. MaRisk sehen in dieser "Funktionsverquickung" berechtigterweise ein potentielles Risiko. Auch wenn solche Konstellationen in der Praxis (z.B. unter dem Aspekt Ressourcen und Budget) nahe liegen, sind diese nicht im Sinne des Risikomanagement-Gedankens. Bei dem Thema Risikomanagement sollten unternehmenspolitische Ambitionen ("Das Risikomanagement sehe ich im Bereich von Herrn xy") aussen vor bleiben. Es gilt die Risikomanagement-Funktion(en) unabhängig von Fragen der "allgemeinen Personalpolitik" aufzustellen, einem funktionierenden Risikomanagement und auch der BaFin zuliebe.


Resumeé:
Risikomanagement in der Praxis, oder wenn Mindestanforderungen ans Risikomanagement wörtlich genommen werden 

In der heutigen Praxis in Banken oder Versicherungen wird dem Risikomanagement und auch dem Thema IT-Risikomanagement sehr oft nicht die personelle, organisatorische und prozessuale Bedeutung zuteil, die es eigentlich aus dem Selbstverständnis heraus, aber auch aus aufsichtsrechtlicher Sicht eigentlich haben müßte.

Da kann es schon einmal vorkommen, das ein (IT-)Risikomanagement in der Linie, z.B. in der Controlling-Abteilung, platziert wird. Im Zweifel "personell" etwas alleine gelassen und mit der großen Last, aus der Linie heraus übergreifende Risikotransparenz zu schaffen und Maßnahmen vorstands-, bereichs- oder abteilungsübergreifend durchzusetzen. Hierbei bleibt dann natürlich auch eine notwendige Optimierung des Risikoprozesses (siehe HSH-Risikomodelle) auf der Strecke. Hinzu kommt in einer solchen organisatorischen Konstellation oft zwangsläufig auch, dass nötige Investitionen bzw. Budgets, u.a. für unterstützende Risiktools/Risikomanagement-Systeme, nicht in angemessenen Maße bereitgestellt werden (z.B. aufgrund fehlender offensichtlicher Notwendigkeit oder Priorisierung). Kombiniert mit einem mangelndem übergeordneten Risiko-Bewußtsein sind dann im Endeffekt negative Folgen die logische Konsequenz. 

Ein unglücklicher Ansatz für das Risikomanagement (oder auch IT-Risikomanagement) ist primär zu hinterfragen: "was müssen wir (mindestens) tun, damit wir MaRisk-Konform sind...". Die MaRisk sollen u.a. das Selbstverständnis der entsprechenden Unternehmen für Risiken im Sinne von Risikoprävention schärfen. Insbesondere die Unternehmensführung sollte sich darüber im klaren sein, dass eine Aussage wie "wir erfüllen die Mindestanforderungen an das Risikomanagement", in keinster Weise eine Gewähr dafür ist, das die eigenen Risiken wirklich im Griff sind.

Es sollte im unternehmerischen Selbstverständnis liegen, eine unternehmensweite, objektive und ganzheitliche Risikotransparenz zu erhalten. Dieses Selbstverständnis ist natürlich mit Kosten verbunden (in qualifiziertes Personal und z.B. Technik). Doch wie man am Beispiel der HSH sieht, kostet ein schlecht funktionierendes Risikomanagement-System im Zweifel mehrere Millionen EURO, oder gar die Existenz.

Nur, wenn man das oben gesagte wirklich Ernst meint und dies auch "lebt", kann ein Risikomanagement seine Aufgaben erfüllen. Dann muss eine Risikomanagement-Funktion eine neutrale, kritische und objektiv übergeordnete Sicht auf die Dinge haben. Es muß mit den nötigen Kompetenzen ausgestattet sein und Durchgriff über "alle Organisationsbereiche" haben.   

Die geschilderten Praxisumstände führen zwangsläufig auch zu einer Verschärfung der aufsichtsrechtlichen Anforderungen. Dies geht denn auch einher mit der aktuellen Anpassung der MaRisk und der Tatsache, dass sich Notenbanken und Finanzaufsicht aus 27 Staaten sich darauf geeinigt haben, strengere Regeln für die Aufsicht von Banken einzuführen.

Sehen Sie in diesem verwandten Kontext auch den Artikel zum Thema IT-Risikomanagement (Praxis und Theorie)

< Zurück   Weiter >
 

Aktuelle News

IT-Compliance Manager
News-IT-Risikomanagement

Weiterlesen...
BaFin MaRisk
News-IT-Risikomanagement

Weiterlesen...
IT-Security Hacking-Angriffe
News IT-Security

Weiterlesen...
Bitkom Studie Security
News IT-Security

Weiterlesen...
Continuity im Mittelstand
News IT Service Continuity

Weiterlesen...
Umfrageergebnis: Budget für IT-Security
News IT-Security

Weiterlesen...
Unternehmen schlecht auf Pandemien vorbereitet
News IT Service Continuity

Weiterlesen...

Surf-Tips

Gartenplanung
Gartenplanung sowie Gartengestaltung in Hannover und Region durch eine versierte Gartenplanerin

Gartenplanung
Dr. Stula & Partner Sachverständige
Sachverständige Stula&Partner

Sachverstaendige