RepRisk-Management wird professioneller

-
11. November 2016
-
Von Stefan Hirschmann

Reputationsrisiken – und insbesondere solche, durch die Vertrauensbeziehungen beschädigt werden – sind eine Bedrohung für die Marktfähigkeit jedes Unternehmens. Vor allem in der Finanzwirtschaft ist die Reihe von Unternehmen lang, die in der Vergangenheit bereits einen massiven Vertrauensverlust erlitten haben. Doch derzeit ist ein Wandel erkennbar, der in zunehmendem Maße Fragen der Werte und der Unternehmensethik in den Vordergrund stellt. In diesen Prozess werden unter dem Stichwort „Risikokultur“ nun auch die Vorstandebenen einbezogen, da die Aufsichtsbehörden dem Reputationsmanagement größere Aufmerksamkeit widmen. Das gilt für den Finanzstabilitätsrat (Financial Stability Board, FSB), den Basler Ausschuss für Bankenaufsicht (BCBS), die Europäische Bankenaufsicht EBA und für die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Ihren nationalen Niederschlag wird die Risikokultur in der 5. MaRisk-Novelle der BaFin finden. Ein starke Ethik-Kultur und ein ausgeprägtes Risikobewusstsein sind Schlüsselfaktoren, um Fehlverhalten in den Unternehmen vorzubeugen. Problemlösungen können durch das Einbeziehen von Kulturaspekten nachhaltiger wirken. Die Wahrscheinlichkeit, tiefere Ursachen zu beheben, wird dadurch größer.

Inwieweit Unternehmenskrisen durch professionelles RepRisk-Management verhindert werden können, steht dagegen auf einem ganz anderen Blatt, denn auch das Strafgesetzbuch kann nicht verhindern, dass betrogen und gestohlen wird. Es reicht nicht aus, rechtliche Rahmenbedingungen zu optimieren. Das Bewusstsein, dass es keine Toleranz für Gesetzesverstöße gibt, muss im Unternehmen über alle Hierarchien hinweg verankert sein. Eine solche Verhaltenskultur zu schaffen, dauert Jahre. Und es kommt darauf an, dass die Unternehmensspitze nicht nur den Ton vorgibt, sondern sich kompromisslos daran hält, nichts zu tun und zu sagen, was das Vertrauen in das Unternehmen gefährdet. Zudem spielen auch das Geschäftsmodell, die Unternehmensgröße und die Kundengruppen eine Rolle.

„Reputationskrisen können unabhängig von der Unternehmensgröße eintreten. Mit der Größe steigen aber die Komplexität und aufgrund internationaler Bekanntheit die rechtlichen Risiken. Deswegen ist es unentbehrlich, dass sich große Unternehmen hier professionalisieren“, sagt Walter Dutschke von der internationalen Risikomanagervereinigung Institute of Operational Risk (IOR). Mit klassischen Kennziffern (z.B. Value at Risk) seien viele Banken in der noch schwelenden Finanzkrise beinahe ahnungslos in den Abgrund marschiert. „Natürlich wäre es schön, wenn wir eine quantitative Bewertung in Sachen Reputationsrisiken hätten. Noch mangelt es aber an einer allgemein verbindlichen Definition des Reputationsrisikos, besonders in Abgrenzung zum Kredit-, Marktpreis- und operationellen Risiko, wenn wir an die Hauptrisikoarten in der Finanzbranche denken“, so Dutschke im Rahmen der Konferenz „RepRisk-Forum 2016“ in Köln. Häufig werde das Reputationsrisiko als Bestandteil des strategischen Risikos oder des Geschäftsrisikos angesehen und überschlägig kalkuliert.

Ein ganz zentraler Aspekt für professionelles RepRisk-Management ist die Kommunikation. „Unternehmen sprechen täglich mit zahlreichen internen und externen Zielgruppen. Eine integrierte Kommunikation ist daher zwingend erforderlich, um gleiche Themen zu besetzen, gleiche Kernbotschaften zu verwenden, ein einheitliches Bild zu präsentieren und eine integrierte Analyse durchführen zu können“, weiß Dr. Gero Kalt, Geschäftsführer beim F.A.Z.-Institut, der mit „Market Intelligence“ eine IT-Lösung zur umfassenden Informationsgewinnung entwickelt hat. Auch schwache Signale sollten wahrgenommen und wichtige Erkennungsmuster gesehen werden. Dies bedarf einer gewissen Übung, aber bestimmte Handlungsmuster, die zu einem Reputationsrisiko führen können, lassen sich durchaus frühzeitig identifizieren. Wichtig ist, Risikoindikatoren nicht zu ignorieren, sondern möglichst früh zu adaptieren und adäquat darauf zu reagieren. „Das frühzeitige Entdecken von neue Themen, Querverbindungen und Marktentwicklungen ist eine zentrale Übung von RepRisk-Managern“, sagt Kalt. Wichtig sei nicht nur die Schnelligkeit („real time“), sondern auch das Herausfiltern der wirklich relevanten News in einer Flut von tagtäglichen Informationen.

Dies sieht auch der Krisenkommunikationsexperte Dr. Igor Reichlin so. Reputationsrisiken seien eng mit Compliance-Risiken verbunden. Je wahrscheinlicher eine Realisierung der internen Compliance ist – z.B. eine Verletzung des Unternehmensverhaltenskodexes durch internen Stakeholder – desto höher ist die Wahrscheinlichkeit, dass Reputationsschäden entstehen. Doch gehörten diese Risiken gewöhnlich in die Kompetenz der HR-oder PR-Abteilungen (Interne Kommunikation), und sind damit, üblicherweise, außerhalb der Reichweite für die Compliance- und RepRisk-Manager. „Trotzdem sollen für die RepRisk-Manager solche Entwicklungen als schwache, doch wichtige Signale gelten, die als Frühindikatoren auf ein steigendes RepRisk hinweisen und voll in die Monitoring-Systeme für interne und externe Compliance-Risiken einbezogen werden müssen“, sagt Reichlin.

Eine systematische Erfassung von Reputationsrisikosachverhalten ist hierfür Voraussetzung. Die RepRisk-Datenqualität hat sich in den letzten Jahren deutlich verbessert, wenngleich hier eine gewisse Parallelität zu den OpRisk-Daten zu konstatieren ist. Die VÖB-Service GmbH bietet mit dem Informationssystem „ÖffSchOR“ eine solche Schadenfallsammlung an, die sowohl große OpRisk-Schäden als auch primäre RepRisk-Schäden umfasst sowie eine Bewertung der Öffentlichkeitswirkung vornimmt. Solche Datensysteme verlangt in zunehmendem Maße auch die deutsche Finanzaufsicht – nicht nur für Banken. Der von der BaFin vorgelegte Entwurf eines Rundschreibens zu den „Aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) zählt sowohl die Entwicklung einer gemeinsamen Risikokultur explizit zu den Leitungsaufgaben in der Assekuranz als auch die Berücksichtigung externer Schadenereignisse bei der Identifizierung möglicher operationeller Risiken.

Foto: Bernd Schaller (Bank-Verlag).