Deloitte Global Risk Management Survey 2021

In vielerlei Hinsicht stand das Jahr 2020 im Zeichen der COVID-19 Pandemie. Das hatte weitreichende Auswirkungen auf die globale Risikolandschaft – vor allem für Unternehmen. Neue Risiken wurden identifiziert und teilweise umgehend schlagend, alte Risiken mussten neu bewertet werden.

Dies geht auch aus dem „12. Global Risk Management Survey“ hervor, der von Deloitte zwischen März und September 2020 durchgeführt wurde. TeilnehmerInnen der Umfrage waren 57 global agierende Finanzdienstleisterinnen und Finanzdienstleister. Als größte Gefahren in den nächsten zwei Jahren wurden dabei eine globale Finanzkrise (48%) und die weltweite Pandemie (42%) genannt.

Die folgenden Fokusfelder wurden in der Umfrage von den Chief Risk Officers (CRO) in absteigender Priorität genannt. Dabei wurde jeweils eine Verbindung zu anderen Branchen gesucht:

Steigendes Kreditrisiko – zunehmende Zahlungsausfälle, im privaten wie im unternehmerischen Bereich, führen zu strengeren Kreditvergaben und neuen, herausfordernden Bewertungsmethoden.

• Für andere Branchen ist dieses Risiko aufgrund des besonderen Status bei Finanzdienstleistern im Vergleich zu anderen Top-Risiken nicht so stark ausgeprägt. Mögliche Veränderungen bei Kreditvergabeprozessen können sich jedoch durchaus auf andere Branchen auswirken.

Größerer Fokus auf nicht finanzielle Risiken und deren Management – die meisten Unternehmen gaben an, finanzielle Risiken bereits sehr effektiv zu managen. Bei nicht finanziellen Risiken wurden allerdings Defizite erkannt, aber auch die Bereitschaft, hier zu investieren und sich zu verbessern.

• Branchenübergreifend ist dieser Punkt wohl am wichtigsten. Risikobasierte Unternehmenssteuerung gewinnt stetig an Bedeutung, als Basis liegen meist unternehmens- bzw. produktspezifische Risiken zugrunde – welche beispielsweise in Industrieunternehmen nicht finanzieller Natur sind.
  

Cybersecurity – die Frequenz und Intensität von Cyber-Attacken auf Unternehmen und Private nahm in den vergangenen Jahren stark zu, während der Pandemie wurde diese Risikokategorie aufgrund der weltweit verbreiteten Ausgangsbeschränkungen und dem damit einhergehenden Remote Working sogar noch wichtiger. Laut der Befragten ist eine der größten Schwierigkeiten, qualifizierte Mitarbeiterinnen und Mitarbeiter in diesem Bereich zu finden.

• Cybersecurity geht (auch) mit Datenschutz einher und ist deshalb branchenunabhängig sehr wichtig. Die größten Einflussfaktoren stellen jedoch die Digitalisierung von Prozessen und Systemen sowie die häufige Verlagerung der Tätigkeiten ins „Home Office“ dar.

Third Party Risks – also Risiken, die durch Dritte entstehen. Dieser Bereich beinhaltet nicht nur KundInnen und LieferantInnen, sondern auch andere Interessensgruppen wie Behörden oder die Öffentlichkeit. Besonders der Bereich Datenschutz birgt viele Gefahren, die zu massiven Reputationsschäden und damit finanziellen Einbußen führen können.

• Da jedes Unternehmen abhängig von bestimmten Stakeholdern ist, seien es KundenInnen / LieferantInnen, Behörden oder die Öffentlichkeit, kann auch diese Risikokategorie nicht auf Finanzdienstleister beschränkt werden.

Umwelt-, Sozial- und Governance-Risiken (ESG) – eine genauere Beobachtung der sich stetig steigernden Erwartungshaltungen von Investoren, Kunden und Gesetzgebern wird hier angestrebt.

• Abseits der Regulatoren ist die Möglichkeit einer negativen Wahrnehmung in der Öffentlichkeit eine große Gefahr. Sogenannte „Shitstorms“ entstehen schnell und basieren selten auf einem kompletten und objektiven Bild eines Unternehmens. Darunter leidet die Reputation teilweise stark und wird nachhaltig beeinträchtigt.

Potential in digitalem Risikomanagement und Risikodaten – mit neuen Technologien und einer stärkeren Datenbasis sollen neue Möglichkeiten im Risikomanagement geschaffen werden (wovon auch das Qualitätsmanagement profitiert).

• Mit Risiken, die im Bereich Cybersecurity vermieden und vermindert werden, gehen auch Chancen im digitalen Risikomanagement einher. Risikomanagement-Applikationen oder ganzheitliche GRC (Governance, Risk & Compliance) Lösungen bringen viele Vorteile hinsichtlich Effizienz und Governance mit sich – und zwar in jeder Branche.

Klare Definition der 3-Lines-of-Defense (3 LOD) und der Rolle des CRO – die Rollen und Verantwortlichkeiten in und zwischen den 3 LODs sind eine große Herausforderung. Durch eine klare Auslegung und die Etablierung eines Chief Risk Officers (CRO) können diese Schwierigkeiten überwunden werden und eine direkte Berichtslinie in die oberste Managementebene geschaffen werden.

• Gerade in Unternehmen anderer Branchen ist die Rolle CRO und die klare Definition der 3 LOD essentiell, da die Übersicht über viele unterschiedliche Risikokategorien und die Aggregation vieler Risiken an einer zentralen Stelle durchgeführt werden sollte.
  
  

Entwicklung der Top 5 Ergebnisse seit 2012

Der „Global Risk Management Survey“ wird alle zwei Jahre durchgeführt und ausgewertet. Im Folgenden sind die aktuellen Top 5 Ergebnisse im Zeitverlauf der letzten 5 Befragungen dargestellt:

Daraus ist zu entnehmen, dass die derzeit wichtigsten Risiken erst seit 2016 überhaupt Teil der Top 5 sind.

Das steigende Kreditrisiko ist auf die COVID-19 Situation und damit einhergehende Geschäftseinbußen sowie Liquiditätsprobleme vieler Unternehmen zurückzuführen. Ähnlich verhält es sich mit den Third Party Risks  –> Liquiditätsprobleme eines Unternehmens führen zu erhöhtem Risiko bei Kunden / Lieferanten oder sonstigen Stakeholdern.

Nicht finanzielle Risiken wurden aufgrund stärkerer Regulierungen im Sektor der Finanzdienstleister wichtiger, genau wie ESG – Environmental, Social and Governance Kriterien. Für die befragten Unternehmen stand allerdings die Methodik im Vordergrund: viele sehen noch Defizite im Management von nicht finanziellen Risiken, da es, vor allem im Vergleich zu anderen Risikotypen, oftmals keinen dediziert für diese Kategorie zuständigen Verantwortlichen gibt.

Cybersecurity verzeichnete einen Anstieg bereits im Jahr 2016, da sich die Vorgaben regulatorischer Behörden in den letzten Jahren stark verschärften. Aufgrund der Verlagerung vieler Systeme und Prozesse in die Cloud lag ein starker Fokus auf Cybersecurity – weswegen auch durch COVID-19 kein großer Aufholbedarf entstand.

Ausblick

Digital angesiedelte Risiken im Bereich Cybersecurity, aber auch Chancen und Risiken im digitalen Risikomanagement, werden sowohl bei Finanzdienstleistern, als auch bei Industrieunternehmen oder anderen Branchen ein ständiger und wichtiger Begleiter bleiben.

Kreditrisiken werden aufgrund der weitreichenden Folgen der weltweiten Pandemie für Finanzdienstleister hochrelevant bleiben und weiterhin große Herausforderungen darstellen. Abgesehen von Veränderungen bzgl. der Finanzierungstätigkeiten aufgrund der Kreditvergabeprozesse bleibt diese Risikokategorie in anderen Branchen auch in Zukunft hinter anderen Top Risiken zurück.

Nicht finanzielle Risiken, insbesondere im Bereich ESG, werden an Dringlichkeit und Wichtigkeit nicht verlieren. Viele Unternehmen weiten ihr Risikomanagement aus und geben ihm auch formal durch die Rolle CRO oder die klare Definition der 3 LOD einen höheren Stellenwert.

Third Party Risiken wurden 2020 öfter schlagend – das führte dazu, dass diese Risiken neu analysiert und genauer bewertet wurden. Dies bringt auch in Zukunft viele Vorteile mit sich und hilft Unternehmen nicht nur im Risikomanagement, sondern auch dabei, Prozesse und Vorgänge nachhaltig zu verbessern.