Was sind die Gründe für diese Entwicklung? Die letzten zwei Jahrzehnte sahen etliche Firmenskandale, die regulatorische Maßnahmen in einem gegebenen politischen Umfeld auslösten. Letzteres war durch den Erfolg der neo-liberalen Theorie der Selbstregulierung gekennzeichnet. Diese kam wiederum den Regulatoren als Effizienzgewinn und den Regulierten als Flexibilität und Machtgewinn gleichermaßen entgegen (Spira und Page, 2003, 641). Der Zusammenbruch der Barings Bank und andere führte über die Neugestaltung der unternehmerischen Governance zur Verantwortlichkeit der Unternehmensführung für den Betrieb eines internen Kontrollsystems, das über die traditionelle Rechnungslegung hinaus bis zur regulatorischen Compliance und Rechtstreue auskragt.
In den USA löste eine Kongressanfrage das erste COSO Dokument zur internen Kontrolle aus, das von Wirtschaftsprüfern geschrieben wurde. In der gleichen Zeit hat die Prüfung den Status einer Allzwecklösung für alle betrieblichen Steuerungs- und Kontrollprobleme angenommen. Speziell im Nachgang zu den Unternehmensskandalen, wurde die Wirtschaftsprüfung noch mächtiger (Power, 1994, 38).
Power (1994, 39) definiert das Audit folgendermaßen:
Instead of involving direct observation, audit is largely an indirect form of “control of control” which acts on systems whose function is to provide observable traces. In a number of areas this results in a preoccupation with the auditable process rather than the substance of activities. This consequently burdens the auditee with the need to invest in mechanisms of compliance, a fact which apparently has produced a consistent stream of complaint.Die Primärgefahren vieler Industrien, besonders der finanziellen mit ihren Markt- und Kreditrisiken, kann nicht direkt auditiert oder inspiziert werden. Allerdings wird angenommen, dass Kontrolle indirekt ausgeübt werden kann, indem das Management des Kontrollsystems auditiert wird.
Dies ist vielleicht eine kühne Behauptung aber vor allem auch ein potentes Verkaufsargument. Beispielsweise präsentierte 1996 Deloitte and Touche, ein Wirtschaftsprüfer eine Studie, die den Titel trug: Internal Control Issues in Derivatives Usage: An Information Tool for Considering the COSO Internal Control -- Integrated Framework in Derivatives Applications.
Insgesamt war der Versuch, Risikomanagement unter den Schirm der internen Kontrolle mit ihrer Buchhaltungsperspektive zu stellen so erfolgreich, dass seine Repräsentanten das Unternehmensweite Risikomanagement (ERM) mit dem späten COSO-Modell von 2004 propagieren konnten. Wenn wir einen flüchtigen Blick auf die Interpretation der Wirtschaftsprüfer bezüglich Risikomanagement werfen, dann sehen wir, dass sie Risikomanagement als interne Kontrollen verkaufen, das mit leichter Variation in die COSO-Schablone gepresst wird (siehe beispielsweise KPMG, 2008; EY, 2008) . Es geht sogar noch weiter.
Gemäß Power (2005, 595) konstruieren sie das operationellen Risiko als dem Markt- und Kreditrisiko übergeordnete Kategorie. So werden Buchhalter, mit allem Respekt, als simple Quantifizierer in eine hierarchische Beziehung zum mathematischen Modellierungsexperten gestellt. Dies ist nicht die Art, wie die Nicht-Buchhalter das Thema betrachten. Deshalb liegen beim operationellen Risiko die Spannungen zwischen verschiedenen Arten von Expertise offen und führen zu einem Wettlauf um die Vorherrschaft in der Führungshierarchie.
Risikomanagement in Finanzinstituten ist eine eher technische Disziplin, die sich um die Risikoquantifizierung bemüht, um bessere Entscheidungsgrundlagen zu erzeugen und insbesondere die ganze Organisation durchdringt mit den Konzepten von risikogerechter Kapitalallokation und risiko-ajustierten Renditen. Der Advanced Measurement Approach für operationelle Risiken ist das letzte Schlachtfeld für diese Ansicht. Interne Kontrolle hat expandiert und behauptet, Risikomanagement einzuschließen. Ironischerweise hat Risikomanagement ebenfalls gefordert, interne Kontrolle als integrativen Teil anzusehen.
Leitch (2008, 20) sagt:
Internal control has been expanding and has claimed to include risk management. Ironically, risk management has also been expanding and claims to include internal controls.Risikobeurteilung ist ein Bestandteil des COSO-Würfels und das sogenannte interne Kontrollumfeld wird ausdrücklich im regulatorischen Rahmen von Basel 2/3 erwähnt. Das Rahmenwerk gibt die Wahl, entweder den quantitativen Verlustverteilungs- oder den dem Buchhalteruniversum affinen Score-Card-Ansatz zu verwenden.
Alle substantiellen Änderungen innerhalb einer Firma verschieben die Kräfteverhältnisse und verursachen Druck auf Einzelpersonen und Abteilungen zur Neupositionierung. Mit dem zunehmenden Fokus auf interne Kontrolle hat die Funktion der internen Revision, sich von einer schwachen und dienstbaren Rolle in eine Beraterrolle mit einer direkten Verbindung zum Verwaltungsrat erweitert, oder dies zumindest versucht. Sie trachtet danach, Sicherheit in Bezug auf Wirksamkeit und Leistungsfähigkeit des Betriebs zu produzieren. Früher war ihr wichtigster Wettbewerbsvorteil nicht etwa der Zusatznutzen sondern ihre Unabhängigkeit von den operativen Einheiten. Aber jetzt sind Unabhängigkeit und die beratende Rolle im Konflikt.
Das operationelle Risiko ist gemäß Power (2004, 39) eine “Grenzregion”, deren weite Definition es vielen Untergruppen ermöglicht, innerhalb der Organisationen es für viele unterschiedliche Interessen zu vereinnahmen, wie zum Beispiel Einfluss, Status, Karriereförderung, etc.
Skeptische Kommentatoren, wie Power (2004, 31), bezweifeln die Möglichkeit, operationelle Risiken überhaupt steuern zu können:
The suspicion is that, while operational risk facilitates a greater “managerialisation of risk” via new organisational processes, and ex-tends the scope of the risk manager’s and the regulator’s work into more corners of organisational and social life, it also reinforces myths of controllability in areas where this is at best limited – for example, the senior management culture and the often discussed “tone at the top” of organisations. Very much the same can be said of reputational risk management.
[Der Verdacht liegt nahe, dass das operationelle Risiko die “Managerialisierung” des Risikos über neue organisatorische Prozesse, die Ausweitung der Zuständigkeit der Manager und der Regulatoren für mehr unternehmerische und soziale Aspekte betreibt und gleichzeitig den Mythos der Beherrschbarkeit in Gefielde trägt, wo sie bestenfalls limitiert zu bezeichnen ist. Beispielsweise in der Kultur des obersten Managements und des oft diskutierten “tone at the top” (Vorbildsfunktion, gelebte Werte). Ähnliches gilt für Reputationsrisiken.]Ist etwas falsche mit der Betrachtung von interner Kontrolle als Risikomanagement? Das Hauptproblem ist, dass sie besessen ist mit der Vorstellung von Prozessen und deshalb annimmt, dass alle relevanten Risiken in diese Form gegossen werden können. Es ist eine interne Ansicht von dem, was ist und nicht von dem, was sein könnte. Die Prozesssicht ist schwer bürokratisch und verfehlt es, systematisch Mehrwerte zu schaffen -- außer man legt Wert auf die Milderung der Furcht vor der Verantwortung. Es ist ein wirksamer Mechanismus, um die mögliche Schuld dem abstrakten “System” zu zuweisen, solange man die Prozeduren eingehalten hat. Experten kümmern sich immer mehr um die Risiken für ihre Reputation anstatt der primären Risiken, für die sie angestellt wurden. Das führt zu einer Kultur der Abwehr.
Diese Art des Risikomanagements untergräbt die ehrliche professionelle Meinung des Experten und zwingt ihn, sein Wissen durch einen Prozess zu ersetzen. Anderseits ist es problematisch, die direkte Beobachtung des Risikos, beispielsweise einer Handelseinheit mit Markt- und Kreditrisiko, mit dem Audit der Regeleinhaltung und des Überwachungsprozesses zu ersetzen. Sowohl Revisor als auch Regulator brauchen dafür keine spezifischen Kenntnisse der Risiken und der technischen Spezialitäten dieser Handelseinheit mehr. Auditing lässt wirksame Regulierung möglich erscheinen und verquickt die Interessen eines fernen Regulators mit denen des gewinnorientierten Händlers (Power, 1997b, 15).
Daraus erkennen wir, dass Risikomanagement sich zu einer organisierenden Schablone von zwei eindeutigen Kulturen d.h. einer quantitativen und einer buchhalterischen, entwickelt hat. Offensichtlich wird sich das technischere Risikomanagement mit interner Kontrolle mischen. Aber nun haben wir noch die folgende Situation (Leitch, 2008):
Jedoch neigen Risikomanager und interne Kontrollenmanager dazu, unterschiedliche Hintergründe und Hauptbeschäftigungen zu haben. Risikomanager sind eher von den großen, nicht wiederkehrenden Risikoereignissen betroffen und haben häufig Versicherungs- oder Technikhintergründe. Interne Kontrolleure werden mehr von den kleineren, wiederkehrenden, internen Risikoereignissen betroffen. Sie kommen meist von der Bilanzierung oder Buchhaltung her.
Es ist ironisch, dass die interne Kontrolldenkart fast keine Aufmerksamkeit der Risikoquantifizierung oder dem Nutzen der Kontrolle geschenkt hat, die sich auf glaubwürdige, mathematik- und datengestützten Methoden stützt. Die meisten Einschätzungen kommen nicht über eine Hoch-mittel-niedrig-Indikation hinaus.Der Unterschied zwischen internen Kontrolleuren und Risikomanagern kann wie in Tabelle unten (Franzetti, 2010, 340) zusammengefasst werden. Die ideologischen Unterschiede zwischen den Quants und Non-quants , von Mikes (2008c; 2008b) “quantitative Enthusiasts” und “quantitative Sceptics” genannt, oder Idealist und Pragmatiker, gepaart mit der Energie der unterschiedlichen Lager, definieren den spezifischen Risikomanagement-Stil des Instituts. Mikes (2008a) gibt gute empirische Belege und einen klaren Einblick zu diesem Punkt.
*) see Franzetti, C. (2011).Operational Risk Modelling and Management. CRC Press, Boca Raton, FL. Pages 336 -- 340.
Literaturverzeichnis
Ernst & Young (2008). The future of risk management and internalcontrol. Brochure. http://www.ey.com/Global/assets.nsf/International/-AABS_RAS-The_Future_of_Risk_Management_and_Internal_Controls/$file/AABS_RAS_The_Future_of_RM_and_IC.pdf.Franzetti, C. (2011).Operational Risk Modelling and Management. CRC Press, Boca Raton, FL
KPMG (2008). Risk management, methodology for implementing risk management. Brochure. http://www.kpmg.ch/docs/20081201_Broschuere_RM_e_web.pdf.
Leitch, M. (2008). Intelligent Internal Control and Risk Management. Gower, Aldershot.
Mikes, A. (2008a). Counting risk and making risk count: The organizational significance of risk management. SSRN eLibrary.
Mikes, A. (2008b). Risk management and calculative cultures. SSRN eLibrary.
Mikes, A. (2008c). Risk management at crunch time: Are chief risk offcers compliance champions or business partners? SSRN eLibrary.
Power, M. (1994). The Audit Explosion. Demos, London.
Power, M. (1997). From risk society to audit society. Soziale Systeme, (3), 3–21.
Power, M. (2004). The Risk Management of Everything. Rethinking the politics of uncertainty. Demos, London.
Power, M. (2005). The invention of operational risk. Review of International Political Economy, 4(12), 577–599.
Power, M. (2008). Organized uncertainty: designing a world of risk management. Oxford New York: Oxford University Press
Spira, L. and Page, M. (2003). Risk management: The reinvention of internal control and the changing role of internal audit. Accounting, Auditing & Accountability Journal, 16, 640–661(22).
Keine Kommentare:
Kommentar veröffentlichen