Wie Risikomanagement effizient und zukunftsorientiert wird

Regularien nehmen zu, Risikoexperten sind knapp. Oft lohnt die Auslagerung von Aspekten, um sich auf entscheidende Fragen zu konzentrieren.

Überblick

• Regularien nehmen kontinuierlich zu. Für Unternehmen bedeutet das regelmäßige Updates und den Ausbau des Risikomanagements.
• Datenerfassung, Bewertung und Systemanpassungen erfordern erheblichen Aufwand. Gleichzeitig sind gut ausgebildete Risikospezialisten knapp.
• Für Unternehmen kann es sich lohnen, Aufgaben an externe Spezialisten zu vergeben. Sie können sie bei genau definierten Aufgaben unterstützen oder große Einheiten übernehmen.

61.228 – so viele regulatorische Vorschriften wurden allein 2022 laut dem Thomson Reuters Cost of Compliance Report weltweit erlassen. 1.374 Aufsichtsbehörden in aller Welt waren involviert. Im Schnitt sind in dem Jahr jeden Tag 234 aufsichtsrechtliche Vorgaben hinzugekommen.

Die großen Zahlen beeindrucken. Sie sorgen für einigen Aufwand bei den zuständigen Aufsehern. Vorschläge müssen ausgearbeitet, formuliert, zur Diskussion gestellt und umgesetzt werden.

Kosten fürs Risikomanagement steigen zweistellig 

Neue Regulierungsbereiche, veränderte Vorschriften und Aktualisierungen – all das schafft erheblichen Anpassungsbedarf bei Unternehmen, deren Branchen von den Regeln betroffen sind. Ihr Risikomanagement wird dadurch beständig komplexer und teurer. Um 14 Prozent dürften allein zwischen 2023 und 2024 die Kosten der Risikomanagementfunktionen eines durchschnittlichen Unternehmens gestiegen sein, schätzen die Marktforscher von Gartner. Umgerechnet knapp 200 Milliarden Euro im Jahr entfallen inzwischen weltweit auf Risiko- und Compliance-Management.

Doch in vielen Unternehmen überwiegen bis heute die Bedenken. 70 Prozent der Befragten betonen in einer aktuellen Umfrage von EY, wie wichtig ihnen die Risikoexpertise im eigenen Haus ist. Vor allem auf die Sensibilität der Daten und die Datensicherheit ihrer internen Risikofunktionen verweisen sie dabei. Drei Viertel äußern sich grundsätzlich zurückhaltend in Bezug auf die Auslagerung ihres Risikomanagement oder der internen Kontrollsysteme. Viele erkennen aber das Potenzial und sind auf der Suche nach gezielter Unterstützung in einzelnen Teilbereichen wie zum Beispiel Kontrolltests, der Überwachung von Lieferketten oder der Integration von ESG-Risiken.

Zurückhaltende Unternehmen sorgen sich um Datensicherheit

Geht es um gezielte Fachbereiche, zeigen sich die Befragten aufgeschlossener. 40 Prozent könnten sich grundsätzlich vorstellen, Gefahrenanalyse, Kontrollprüfungen, regulatorisches Reporting oder das Monitoring an einen spezialisierten Risikoexperten abzugeben. Ein Fünftel sieht die Identifikation von möglichen Risiken und aufkommenden Risikotrends als geeignet für eine externe Bearbeitung, nicht zuletzt weil sich dabei auch Chancen zum Benchmarking ergeben. Schließlich setzen 15 Prozent auf Technologie. Sie rechnen damit, dass künstliche Intelligenz (KI) Lösungen ermöglichen wird, die Risikomanagement und das interne Kontrollsystem optimieren.

Zentrale Sorge bei der Auslagerung von Aufgaben des Risikomanagements: Wie lässt sich die Vertraulichkeit der häufig besonders sensiblen Daten sichern? Schließlich liegen den Systemen zu einem nicht unerheblichen Teil Informationen zugrunde, die ausschließlich auf Vorstandsebene diskutiert werden und sich an der Gefährdung des Fortbestands des Unternehmens ausrichten.

Vertrauen und Verlässlichkeit sind daher zentral. 60 Prozent der Unternehmen nannten in der Befragung diese beiden Punkte als wichtigste Voraussetzungen für den idealen Managed-Service-Partner im Risikomanagement.

Kleine Schritte zu Risk Managed Services bei externem Dienstleister

In der Praxis nehmen Unternehmen zunächst gezielt einzelne Aspekte von Risk Managed Services in Anspruch. Sie beginnen mit einem oder einigen wenigen speziellen Bereichen, eng abgestimmt mit dem Auftraggeber, und lagern bei Bedarf mit der Zeit schrittweise mehr aus. Beispiel Control Testing: Hier werden die Kontrollen üblicherweise durch das Unternehmen direkt definiert. Der Managed-Service-Provider führt die Kontrollen anhand der Beschreibung und Anforderungen durch. Oder anders gesagt: Die Umsetzung von Risikomanagementfunktionen wird abgegeben, die Hoheit über Daten, Systeme und Ansätze bleibt aber im Konzern.

Relativ unkompliziert auslagern lässt sich in einem ersten Schritt beispielsweise die Bewertung der zunehmenden geopolitischen Risiken. Eine Option bietet auch die kontinuierliche Überwachung von sich ändernden regulatorischen Vorgaben und deren Auswirkungen auf die hausinternen Compliance-Plattformen, Interne Kontrollsysteme, die Einhaltung von ESG-Anforderungen und das Risikomanagement als Ganzes.

Internal Control Systems, Compliance, Third-Party Risk: Provider nehmen alles in den Blick

Ein Vorteil der Risk-Managed-Services-Anbieter: Sie sind nicht nur ganz nah dran an den aufsichtsrechtlichen Veränderungen, sie können auch Querverbindungen zu anderen Branchen schaffen und damit Risikotrends frühzeitig erkennen.

Idealerweise bietet der Risk-Managed-Service-Partner einen Dreiklang: Er verfügt über tiefgreifendes Know-how und bietet fachspezifisches, branchenübergreifendes Wissen. Ihm steht das erforderliche Personal zur Verfügung, gut ausgebildet und für die aktuellen Anforderungen geschult. Und er kann die passende Technologie in Form von Software oder spezialisierten Tools bieten.

Deutlich einfacher sieht es auf der Anwenderseite aus. Das Bewusstsein für die zahlreichen, raschen Veränderungen im Risikomanagement ist hier die entscheidende Voraussetzung. Einiges kann in Zukunft unkomplizierter werden, wenn Risikoexperten den Überblick über die mehr als 200 neuen Regularien am Tag behalten.