Außerhalb der Finanzindustrie stand das Risiko-Management in den vergangenen Jahren nur selten im Zentrum der organisationalen Aufmerksamkeit. Gleichzeitig haben die Risiken eher zugenommen, wie nicht zuletzt die aktuelle COVID-19-Pandemie eindrücklich zeigt. Vor diesem Hintergrund haben wir den Status quo des Risiko-Managements deutscher Unternehmen im Rahmen einer Studie des WHU Controller Panels erfasst und fünf Ansatzpunkte für mögliche Veränderungen identifiziert.
Herausforderung 1: Das Management befasst sich nicht genug mit dem Management von Risiken.
Das Risiko-Management ist in Unternehmen ganz unterschiedlich organisatorisch verortet. Das spiegelt sich nicht zuletzt auch in unserer Befragung wider: 54 Prozent der befragten Finanzvorstände und Controller geben an, dass das Risiko-Management organisatorisch im Controlling verankert ist. Bei 14 Prozent ist es Teil von Legal und/oder Compliance, bei sechs Prozent Teil der internen Revision und 13 Prozent der Unternehmen verfügen über eine eigenständige Risiko-Managementeinheit außerhalb der genannten Bereiche.
Weitere Antworten verteilen sich vor allem auf die Verankerung in der Geschäftsführung oder die geteilte Verantwortung mehrerer Abteilungen. Zu denken gibt dabei, dass offenbar nur 50 Prozent der befragten Controller und Finanzvorstände in ihrem Unternehmen klare Verantwortlichkeiten für das Risiko-Management sehen. Und noch ein zweiter Befund regt zum Nachdenken an: Obwohl das häufig propagierte "Three Lines of Defense"-Modell das operative Management als erste Verteidigungslinie des Risiko-Managements vorsieht (vergleiche etwa FERMA/ECIIA 2010; Bantleon et al. 2017; Gleißner 2020a), berichten nur 24 Prozent der befragten Finanzvorstände und Controller, dass das operative Management selbst intensiv mit dem Management von Risiken befasst ist. Das deckt sich mit unserer Erfahrung, nach der das Risiko-Management vielfach eher als bürokratische Pflichtübung gesehen wird, wie auch die folgenden Zitate zweier Studienteilnehmer illustrieren: "Es muss halt gemacht werden." Und: "Oftmals Papier, bei konkreten Ereignissen wird dann doch ganz anders reagiert."
Theorie und Praxis des Risiko-Managements passen also mit Blick auf die gelebte Verantwortung in vielen Fällen nicht optimal zusammen. Das erscheint bedauerlich - nicht zuletzt vor dem Hintergrund eines weiteren Befunds der Studie: Je stärker sich die Geschäftsleitung in der Einschätzung der Befragten selbst intensiv um das Thema kümmert und damit den Stellenwert des Umgangs mit Risiken unterstreicht, desto höher wird auch die Qualität des Risiko-Managements wahrgenommen. Der gleiche Zusammenhang gilt auch, wenn das operative Management stärker involviert ist. Wir meinen daher: In dem Maße, wie dem Umgang mit Risiken in einem durch Volatilität, Unsicherheit, Komplexität und Ambiguität geprägten Umfeld eine ausreichend hohe Bedeutung zukommt, müssen beide, Geschäftsleitung und operatives Management, dem hohen Stellenwert des Risiko-Managements gerecht werden und sich noch stärker selbst mit dem Thema befassen.
Herausforderung 2: Das Risiko-Management vernachlässigt strategische Geschäftsrisiken und externe, nicht kontrollierbare Risiken.
Die Praxis des Risiko-Managements konzentriert sich häufig auf bekannte operative Risiken sowie die Einhaltung regulatorischer Vorgaben und interner Richtlinien, andere Risikotypen werden dagegen eher vernachlässigt (vergleiche Taleb 2007; Kaplan/Mikes 2012; Schäffer/Weißenberger 2020). So geben auch in der aktuellen Studie des WHU Controller Panels 45 Prozent der Befragten an, dass sich das Management in ihrem Unternehmen sehr intensiv mit der Vermeidung von Verstößen gegen regulatorische Vorgaben und interne Richtlinien befasst, und 44 Prozent konstatieren eine intensive Beschäftigung mit operativen Risiken. Hingegen finden nur 29 Prozent, dass sich das Management intensiv strategischen Geschäftsrisiken widmet, und nur 18 Prozent beobachten eine entsprechende Beschäftigung mit externen, nicht kontrollierbaren Risiken (vergleiche Abbildung 1). Mit anderen Worten: Risiken, die ein Unternehmen bewusst eingeht, um auf diesem Weg eine höhere Rendite zu sichern, und Risiken, die sich unmittelbar aus dem Geschäftsmodell des Unternehmens ergeben, sowie das Risiko externer, nicht oder nur eingeschränkt prognostizierbarer Schocks wie COVID-19 beschäftigen das Management in der Regel weniger intensiv als operative Risiken und Compliance-Fragen. Und dies, obwohl beide Risikotypen für die meisten Unternehmen durchaus relevant sind und die Studie des WHU Controller Panels in dem durch die Pandemie geprägten Herbst des Jahres 2020 durchgeführt wurde, zu einem Zeitpunkt also, wo die Sensibilisierung für das Thema externer Schocks hinreichend groß gewesen sein müsste. Wir meinen daher, dass Unternehmen dringend prüfen sollten, ob strategischen Risiken und externen, nicht kontrollierbaren Risiken in Zukunft nicht mehr relative Aufmerksamkeit zukommen muss - auch und gerade wenn die aktuelle Krise vorbei ist.
Eine produktive Auseinandersetzung mit den genannten Risikotypen erfordert jedoch zusätzliche Zeit und organisationale Aufmerksamkeit. Sie setzt zudem die Einsicht voraus, dass unterschiedliche Risiken unterschiedlich behandelt werden müssen (vergleiche Kaplan/Mikes 2012). Und dies steht häufig im Gegensatz zu einem Alltag des Risiko-Managements, der durch die Einhaltung diverser regulatorischer Vorgaben und das Reporting, die Quantifizierung und die Kontrolle bekannter Risiken geprägt ist. Um mögliche Missverständnisse zu vermeiden: All die genannten Aktivitäten des Risiko-Managements sind in der Regel notwendig, hilfreich und in vielen Fällen schlicht und einfach zwingend erforderlich, um externen Vorgaben gerecht zu werden. Für operative Risiken und die Vermeidung unkorrekten Verhaltens sind die entsprechenden Regelwerke und Kontrollen genauso erforderlich wie ein angemessenes Risiko- Reporting. Das Problem liegt also nicht darin, dass die heute dominierende Form des Risiko-Managements grundsätzlich falsch oder unangemessen wäre, sondern dass sie den Anforderungen des Managements strategischer und externer, nicht kontrollierbarer Risiken nicht ausreichend gerecht wird. Es gilt daher, den traditionellen "One Size Fits All"-Ansatz zu überwinden und die gängige Praxis des Risiko-Managements zu ergänzen.
Herausforderung 3: Beim Management strategischer Geschäftsrisiken stehen Dialog und organisationales Lernen nicht ausreichend im Mittelpunkt.
Strategische Geschäftsrisiken sind - qua Definition - ein integraler Bestandteil des Geschäftsmodells. Wie nicht zuletzt Kaplan und Mikes (2012) deutlich machen, sollte ihr Management daher nicht wie bei operativen und verhaltensbezogenen Risiken allein auf Vermeidung zielen. Vielmehr geht es in der Regel darum, die Wahrscheinlichkeit ihres Eintretens und mögliche Auswirkungen möglichst effizient zu reduzieren. Und zu überlegen, wo welche Risiken ganz bewusst akzeptiert oder sogar proaktiv eingegangen werden sollen. Eine solche Sichtweise mag trivial erscheinen, hat aber eine ganze Reihe weitergehender Implikationen für die Gestaltung der entsprechenden Prozesse des Risiko- Managements:
Zunächst sollte das Management strategischer Geschäftsrisiken auch Teil der strategischen Planung sein und nicht (nur) von funktionalen Experten, sondern unmittelbar vom jeweiligen Management Team und seiner Expertise getragen werden (vergleiche Kaplan/Mikes 2012; Gius et al. 2018; Gleißner 2020a).
Dabei müssen - anders als im Alltag eines auf Compliance und Vermeidung bekannter operativer und verhaltensbezogener Risiken zielenden Risiko-Managements - der Dialog und das organisationale Lernen im Mittelpunkt stehen (vergleiche Kaplan/Mikes 2012). Ein wirkungsvoller Risikodialog, der diesen Namen auch wirklich verdient, setzt wiederum eine offene Diskussionskultur sowie ein hohes Maß an Einbindung der Führungsspitze voraus (vergleiche Simons 1995). Nur so kann es gelingen, das über das Unternehmen verteilte Wissen hinreichend für das Management der strategischen Geschäftsrisiken zu mobilisieren.
Weiter muss das Unternehmen über eine breit geteilte Risikokultur und ein gemeinsames Verständnis des angemessenen Risiko-Appetits verfügen (vergleiche Gius et al. 2018).
Risikomatrizen, Cockpits und spezifische Regeln zur Allokation von Ressourcen können den Dialog unterstützen, dürfen ihn aber nicht ersetzen (vergleiche Kaplan/Mikes 2012). Zudem darf der regelmäßige Risikodialog nicht einseitig auf bereits identifizierte Risiken reduziert werden, sondern muss auch die Dimension emergenter Risiken und die mit einem Risiko möglicherweise verbundenen Chancen adressieren (vergleiche Girotra/Netessine 2011; Gleißner 2020a).
Daneben muss der Prozess des Managements strategischer Geschäftsrisiken möglichst maßnahmen- und entscheidungsorientiert gestaltet werden. Dabei hilft es, das Risiko-Management eng mit dem formalen Prozess der Unternehmenssteuerung zu verzahnen (vergleiche Gleißner 2020a) und ein hohes Augenmerk auf die impliziten und expliziten Anreize des Managements zu werfen. Nicht zuletzt müssen strategische Risiken ein wichtiger Bestandteil der regelmäßigen Business Performance Reviews sein.
Schließlich muss sichergestellt werden, dass die spezifische Ausgestaltung des Risiko-Management-Prozesses dem jeweiligen Geschäftsmodell gerecht wird. Der Prozess bei einem Energieversorger sollte sich deutlich von dem eines Pharmaunternehmens oder eines global agierenden Finanzkonzerns unterscheiden, weil die zentralen Risiken anders verortet sind (vergleiche Kaplan/Mikes 2012).
Diese kurze Darstellung der wichtigsten Implikationen verdeutlicht nochmals, dass ein "One Size Fits All"-Ansatz dem Management strategischer Risiken nicht gerecht wird und der Sprung von einem primär von Compliance und Reporting geprägten Ansatz zu einem differenziert agierenden Risiko- Management kein kleiner ist.
Wie aber stellt sich der Status quo des Managements strategischer Risiken in deutschen Unternehmen dar? Inwieweit wird das theoretische Postulat auch praktisch umgesetzt? Ein Blick auf die Abbildung 2 zeigt unmittelbar, dass bei den aufgeführten Gestaltungselementen in den meisten Unternehmen noch "Luft nach oben" ist und strategischen Risiken bisher nicht die Behandlung zuteilwird, die ein optimales Management dieses Risikotyps erfordert. Um einen Aspekt ganz besonders hervorzuheben: Nur ein knappes Fünftel der befragten Finanzvorstände und Controller hat den Eindruck, dass das Unternehmen beim Management strategischer Geschäftsrisiken sehr stark auf Dialog und organisationales Lernen setzt. Dieses Ergebnis gibt zu denken, wird man doch mit Quantifizierung, Reporting und Kontrolle allein diesem Risikotyp genauso wenig gerecht wie durch seine sträfliche Vernachlässigung. Es bedarf des möglichst politikfreien, offenen, nach vorne gerichteten Dialogs. Dies gilt auch für den dritten Risikotyp, dem wir uns nun zuwenden.
Herausforderung 4: Das Management externer, unkontrollierbarer Risiken wird den spezifischen Anforderungen dieses Risikotyps nicht gerecht.
Vermeidbare operative Risiken und strategische Geschäftsrisiken haben eines gemeinsam: Sie sind in aller Regel bekannt, in gewissem Umfang prognostizierbar und in ihrer Eintrittswahrscheinlichkeit mehr oder weniger beeinflussbar. Das unterscheidet sie vom Risiko eines externen Schocks, dessen Auftreten nur sehr eingeschränkt vorhergesagt oder gar vom Unternehmen beeinflusst werden kann (vergleiche Taleb 2007; Kaplan/Mikes 2012; Kaplan/Leonard/Mikes 2020). In dem Maße, wie aber der Versuch der Antizipation an Grenzen stößt, verbleibt dem Management nur die Möglichkeit, sich grundsätzlich auf das Auftreten solcher Schocks angemessen vorzubereiten und damit die Resilienz des Unternehmens zu erhöhen. Im Einzelnen lassen sich dabei eine Reihe von Gestaltungselementen unterscheiden (vergleiche Kaplan/Mikes 2012; Kaplan/Leonard/Mikes 2020; Schäffer 2020; Gleißner 2020b):
Die vielfach vorhandenen Notfallpläne und die Einrichtung von Krisenreaktions-Teams können die schnelle Reaktion und die Kontinuität des Betriebs im Notfall deutlich erleichtern, auch wenn ein Plan der konkreten Krisensituation natürlich nur selten genau gerecht wird. Ergänzend können Versicherungen und Hedging-Strategien wesentlich dazu beizutragen, die negativen Auswirkungen eines Schocks ganz oder teilweise zu kompensieren.
Mit diesen Bausteinen ist es aber nicht getan. Formate wie Wargaming, Szenario-Analysen und Stresstests ermöglichen es dem Management, die gedankliche Flexibilität zu erhöhen und sich durch die intensive und regelmäßige gedankliche Auseinandersetzung mit dem, was die Zukunft bringen könnte, von der Scheinsicherheit des operativen Forecasts zu lösen.Diese Instrumente werden aber nur dann ihre volle Wirksamkeit entfalten, wenn durch die bereits im Kontext strategischer Geschäftsrisiken postulierte offene Diskussionskultur ein hohes Maß an Einbindung der relevanten Management-Ebenen gewährleistet wird.
Daneben umfasst das Konzept der Resilienz eine Vielzahl weiterer Stellhebel, die die Widerstandsfähigkeit des Unternehmens erhöhen können. Diese lassen sich neben den bereits genannten Aspekten grob in drei Bausteinen zusammenfassen: robuste und flexible Prozesse in Wertschöpfung und Unternehmenssteuerung, agile Denk- und Entscheidungsmuster im Management sowie die Verfügbarkeit von ausreichendem (finanziellen und nichtfinanziellen) Puffer.
In der Gesamtschau gilt es festzuhalten, dass die Vorbereitung auf ganz oder weitgehend unbekannte externe Schocks eine immense Herausforderung darstellt und im Regelfall nicht unwesentliche Investitionen erfordert. Diese werden sich aber nur in dem Maße lohnen, wie die Zukunft nicht durch weniger, sondern eher durch mehr und/oder größere externe Schocks gekennzeichnet ist. Hier ist die Einschätzung - und gegebenenfalls das Handeln - des Top-Managements gefordert.
Wie aber stellt sich der Status quo mit Blick auf diesen Risikotyp im Krisenherbst 2020 dar? Sind die Unternehmen gut vorbereitet auf die nächste Krise? Die Abbildung 3 zeigt, dass auch hier noch Luft nach oben ist. Während knapp die Hälfte der befragten Finanzvorstände und Controller ausreichend finanziellen Puffer sieht und in vielen Unternehmen auch Versicherungen, Hedging, Notfallpläne und Krisenreaktions-Teams hinreichend verbreitet sind, ist eine starke Nutzung von Szenario-Analysen, Stresstests und insbesondere Wargaming vergleichsweise selten. Und analog zum entsprechenden Befund bei strategischen Risiken gibt die Tatsache zu denken, dass nur ein knappes Fünftel der befragten Finanzvorstände und Controller der Auffassung ist, dass ihr Unternehmen beim Management externer, nicht kontrollierbarer Risiken sehr stark auf Dialog und organisationales Lernen setzt. In unseren Augen ist aber genau das unabdingbar, wenn das Umfeld des Unternehmens durch eine hinreichend hohe Unsicherheit charakterisiert ist. Ohne die regelmäßige Auseinandersetzung damit, was die Zukunft alles bringen kann, und ohne einen instrumentell unterstützten Lernprozess des Managements wird sich die Reaktionsfähigkeit des Unternehmens nur in den wenigsten Fällen ausreichend erhöhen lassen! Finanzieller Puffer, Hedging und Krisenreaktions-Teams allein greifen am Ende zu kurz.
Herausforderung 5: Risiko-Manager und Controller sind zu sehr in den Rollen von Scorekeeper und Guardian verhaftet.
In dem Maße, wie Risiken in einem wettbewerbsintensiven und von Volatilität, Unsicherheit, Komplexität und Ambiguität geprägten Umfeld eine hinreichend große Bedeutung zukommt, muss sich das operative Management selbst als Eigentümer von Risiken verstehen. Entsprechend gilt es, die Rolle einer ersten Verteidigungslinie wahrzunehmen, die durch Risiko-Management, Controlling und andere Funktionen in einer zweiten Linie ergänzt und unterstützt werden kann (vergleiche FERMA/ECIIA 2010; Bantleon et al. 2017; Gleißner 2020a).
Art und Umfang dieser Unterstützungsaufgabe sollten sich an dem zugrunde liegenden Risikotyp orientieren. Bei strategischen Geschäftsrisiken und externen, unkontrollierbaren Risiken steht der Dialog im Zentrum. Die traditionell vorherrschende, weitgehend auf Quantifizierung, Reporting und Kontrolle reduzierte Unterstützungsleistung greift zu kurz, Rationalitätssicherung muss eher auf die Orchestrierung eines Risikodialogs im Management und die Rolle eines wertstiftenden Business Partners abzielen. Eine so verstandene Unterstützungsrolle umfasst nicht zuletzt die Bereitstellung von Methoden und Prozessen, insbesondere auch die Gestaltung von Workshops zu strategischen Risiken, Szenario- Analysen und Wargames. Controller, Risiko-Manager oder strategische Planer können dabei den Dialog moderieren, Aussagen von Managern hinterfragen und mit entsprechenden Techniken darauf hinwirken, dass kognitive Verzerrungen der Beteiligten möglichst in den Hintergrund treten. Sie sollten zudem sicherstellen, dass der Dialog auch in konkrete Entscheidungen und Maßnahmen mündet, dass die Ergebnisse der Risikoprozesse angemessen dokumentiert und berichtet werden und schließlich, dass sowohl die Umsetzung der vereinbarten Maßnahmen als auch die Entwicklung von strategischen Risiken und relevanten Frühwarnsignalen laufend überwacht wird (vergleiche Kaplan/Mikes 2012; Schäffer/Weber 2016; Gius et al. 2018; Gleißner 2020a).
Beim Management beider Risikotypen ist es von zentraler Bedeutung, dass Controlling, Risiko-Management und Strategieentwicklung eng zusammenarbeiten und nicht parallele Silostrukturen kultivieren. Weiter muss sichergestellt sein, dass die unterstützenden Stabsfunktionen nah am Management sind und das zugrunde liegende Geschäft auch wirklich verstehen. Beides wird häufig für eine zentrale Unterstützungsrolle der Controller und eine enge organisatorische Verzahnung von Risiko-Management und Controlling sprechen. Eine primäre organisatorische Anbindung des Risiko- Managements an die interne Revision kann bei der Unterstützung des ersten Risikotyps sinnvoll sein, dem Management strategischer und externer Risiken wird sie aber in aller Regel nicht gerecht werden.
Soweit wieder die Theorie. Werfen wir nun auch an dieser Stelle einen Blick auf die Ergebnisse des WHU Controller Panels und den Status quo der Unterstützung des Risiko- Managements durch Controller (vergleiche Abbildung 4). Dabei unterscheidet unsere Analyse, ob das Risiko-Management im Controlling verankert ist oder nicht. Im letztgenannten Fall sind die risikobezogenen Aufgaben von Controllern sehr überschaubar ausgeprägt und entsprechend wenig intensiv gerät die Zusammenarbeit der beiden Funktionen. Ist das Risiko-Management hingegen im Controlling verankert, schätzt immerhin jeder zweite Befragte die Zusammenarbeit als sehr intensiv ein und berichtet, dass Controlling und Risiko- Management bei ähnlichen Fragestellungen auch die gleichen Verfahren und Modelle nutzen. Die zentrale Aufgabe von Controllern besteht dann in der Quantifizierung und dem Reporting von Risiken. Dem Monitoring strategischer Risiken und einem Sicherstellen, dass die Erkenntnisse der Analyse auch in konkreten Entscheidungen und Maßnahmen münden, kommt hingegen ein vergleichsweise geringerer Stellenwert zu. Damit müssen wir zusammenfassend konstatieren, dass das Leitbild des Business Partners im Risiko-Management noch nicht vollumfänglich angekommen zu sein scheint. Noch dominieren die Rollen des Scorekeepers und des Guardians.
Fazit
Das Risiko-Management steht in einem wettbewerbsintensiven und von Volatilität, Unsicherheit, Komplexität und Ambiguität geprägten Umfeld vor großen Herausforderungen. Gleichzeitig lässt der Status quo - vertraut man der Einschätzung der von uns befragten Finanzvorstände und Controller - an manchen Stellen noch zu wünschen übrig. Bewährte Routinen infrage zu stellen, den Business-Partner-Ansatz stärker zu leben und das Management stärker in den Fahrersitz zu holen, ist offenbar auch für Risiko-Manager und Controller nicht einfach. Bleibt zu hoffen, dass die Erfahrung der Corona-Krise Anlass gibt, das Thema im Unternehmen verstärkt anzugehen. Immerhin: Auf der Basis der in diesem Beitrag aufgezeigten fünf Herausforderungen liegt die Stoßrichtung für das Risiko-Management der Zukunft nicht im Nebel, der einzuschlagende Weg erscheint zumindest in seinen groben Konturen klar gezeichnet. Umsetzung, sich auf den Weg machen ist nun gefragt. Dabei könnte gerade auch die fortschreitende Digitalisierung Risiko-Managern und Controllern erlauben, vorhandene Routinen im Risiko- Management Schritt für Schritt zu automatisieren, den Fokus stärker auf strategische und externe, unkontrollierbare Risiken zu richten und damit dem Risikodialog und dem Business Partnering mehr Raum zu geben.
Die Autoren danken Marina Metz für ihre Unterstützung bei der Auswertung der Studie des WHU Controller Panels.
Literatur
Bantleon, U./d'Arcy, A./Eulerich, M./Hucke, A./Knoll, M./Köhler, A./Pedell, B. (2017): Das Three-Lines-of-Defence-Modell: Ein Beitrag zu einer besseren Corporate Governance? Entstehung und Rezeption durch Standardsetzer und Regulatoren, in: Die Wirtschaftsprüfung WPg, 70 (12), S. 682-688.
FERMA - Federation of European Risk Management Associations/ ECIIA - European Confederation of Institutes of Internal Auditing (2010): Guidance on the 8th EU company law directive: Article 41, www.iia.nl/SiteFiles/ECIIA%20FERMA.pdf (letzter Abruf: 05.05.2021).
Girotra, K./Netessine, S. (2011): How to build risk into your business model: Smart companies design their innovations around managing risk, in: Harvard Business Review, 89 (May), S. 100-105.
Gius, D./Mieszala, J.-C./Panayiotou, E./Poppensieker, T. (2018): Value and resilience through better risk management, in: McKinsey on Risk, (6), S. 43-53.
Gleißner, W. (2020a): Integratives Risikomanagement: Schnittstellen zu Controlling, Compliance und Interner Revision, in: Controlling, 32 (4), S. 23-29.
Gleißner, W. (2020b): Robuste Strategien oder optimale Anpassung und Effizienz? oder Wie überlebt man disruptive Innovationen und Wirtschaftskrisen?, in: Risk Management & Rating Association e. V. (Hrsg.): Krisenbewältigung mit Risikomanagement - Jahrbuch Risikomanagement 2020, Berlin, S. 25-47.
Kaplan, R. S./Mikes, A. (2012): Managing risks: A new framework, in: Harvard Business Review, 90 (June), S. 48-60.
Kaplan, R. S./Leonard, H. B./Mikes, A. (2020): The risks you can't foresee: What to do when there's no playbook, in: Harvard Business Review, 98 (November-December), S. 40-46.
Schäffer, U. (2020): Levers of organizational resilience, in: Controlling & Management Review, 64 (6-7), S. 8-19.
www.springerprofessional.de/link/18410504
Schäffer, U./Weber, J. (2016): Wirklich rationale Entscheidungen: Die nächste Herausforderung für das Controlling, in: Controller Magazin, 41 (2), S. 8-13.
Schäffer, U./Weißenberger, B. E. (2020): Der nächste Schock kommt bestimmt, in: Frankfurter Allgemeine Zeitung, 13.07.2020, S. 16.
Simons, R. (1995): Levers of control, Boston.
Taleb, N. N. (2007): The black swan: The impact of the highly improbable, New York.
Informationen zur Risiko-Management-Studie des WHU Controller Panels.
Die im Beitrag vorgestellten Ergebnisse des WHU Controller Panels beruhen auf einer im Oktober und November 2020 durchgeführten Erhebung. An der Studie nahmen 290 Mitglieder des Panels teil, was einer Rücklaufquote von 28 Prozent entspricht. Die Zusammensetzung der Teilnehmer repräsentiert einen breiten Branchenmix aus Handel, Produktions- und Dienstleistungssektor. Mit 47 Prozent sind mittelgroße Unternehmen mit einem jährlichen Umsatz zwischen 50 Millionen und einer Milliarde Euro am stärksten vertreten, gefolgt von großen Unternehmen mit einem Umsatz von über einer Milliarde Euro mit einem Anteil von 37 Prozent. Die Respondenten sind auf unterschiedlichen Hierarchiestufen innerhalb des Unternehmens tätig: Etwa vier Prozent sind CEOs oder Geschäftsführer, 13 Prozent sind CFOs oder kaufmännische Leiter, 54 Prozent haben die Position des Controlling-Leiters oder eine andere Führungsposition in der Finanzfunktion inne und berichten direkt an den CFO oder kaufmännischen Leiter, 29 Prozent sind in anderen Positionen in der Finanzfunktion tätig, beispielsweise als Team-Leiter oder Mitarbeiter im Controlling. 16 Prozent der Befragten fühlen sich "gar nicht" informiert hinsichtlich des Risiko-Managements in ihrem Unternehmen. Diese Teilnehmer haben im vorliegenden Beitrag nur die Frage zur organisationalen Verankerung des Risiko-Managements beantwortet. Die übrigen im Text berichteten Ergebnisse beziehen sich auf Zustimmung beziehungsweise Ablehnung zu den jeweils abgefragten Aussagen (Werte 6 und 7 beziehungsweise 1 und 2 auf einer 7er-Skala von 1 = "stimme gar nicht zu" zu bis 7 = "stimme voll und ganz zu").
Biographies
Prof. Dr. Utz Schäffer
ist Direktor des Instituts für Management und Controlling (IMC) der WHU - Otto Beisheim School of Management und Mitherausgeber der Controlling & Management Review. E-Mail: utz.schaeffer@whu.edu
Lars Brückner
ist Senior Projekt-Manager am Institut für Management und Controlling (IMC) der WHU - Otto Beisheim School of Management. E-Mail: lars.brueckner@whu.edu