8 Minuten Lesezeit 12 Januar 2022
Smiling businessmen holding hands while colleagues sitting at table in creative office

„Risikomanager müssen heute gute Netzwerker sein“

Von EY Deutschland

Building a better working world

8 Minuten Lesezeit 12 Januar 2022

Selbst in Zeiten der Digitalisierung ist für Henning Wiedemeyer der individuelle Dialog ein wichtiger Faktor bei der Risikobewertung.

Überblick
  • Gute Risikomanager müssen belastbare Beziehungen aufbauen und den Geschäftsbereichen aufrichtig zuhören.
  • Der Großteil ihrer Arbeit sollte proaktiv und wertorientiert sein.
  • Risikomanager sollten vernetzt sein, um über den persönlichen Dialog einen realistischen Einblick in Risiko-Themen zu bekommen.

Für das Wissenschafts- und Technologieunternehmen Merck erhebt, bewertet und senkt Henning Wiedemeyer Geschäftsrisiken für den Nahen Osten, Afrika und Osteuropa – und ist zeitgleich lokal verantwortlicher Chief Financial Officer (CFO) für Merck in Dubai. Im Interview spricht er über den Wert von Risikomanagement, die Gefahr, Vorstände zu langweilen und die Bedeutung von Beziehungen.

EY: Herr Wiedemeyer, wenn es um Geschäftsrisiken geht, existieren in vielen Unternehmen verschiedene Realitäten. Mitunter unterscheidet sich die Risikorealität vor Ort in einer Region drastisch von dem, was im Hauptsitz auf den Folien steht. Wie passiert so etwas?

Henning Wiedemeyer: Ganz einfach. Das passiert, wenn die verantwortlichen Personen nicht genug miteinander reden. Oder sie einfach keine gute Beziehung zueinander haben. Dann werden die teilweise spezifischen und hochkomplexen Risiken nicht genug erklärt, besprochen und verstanden, sondern im Zweifelsfall nur einmal jährlich abstrakt in Formulare eingetragen und pflichtschuldig in den Bericht für den Vorstand kopiert.

Klingt nicht sehr effektiv.

Ist es auch nicht. In der heutigen Welt schon gar nicht. Die Zeit des „Häkchenmachens“, also einer eher reaktiven und rein formalistischen Interpretation von Risikomanagement, ist nun wirklich schon seit einiger Zeit Vergangenheit. Gute Risikomanager müssen heute gute Netzwerker sein. Sie müssen belastbare Beziehungen aufbauen und den Geschäftsbereichen aufrichtig zuhören. Erst dann kann die Realität vor Ort auch Tausende Kilometer entfernt in der Zentrale nachvollzogen werden. 

  • Henning Wiedemeyer

    Henning Wiedemeyer ist seit 2019 als CFO der Merck Tochtergesellschaft Merck Serono Middle East in Dubai tätig und trägt zudem die regionale Finanzverantwortung für die Merck Landesgesellschaften in Osteuropa, dem mittleren Osten und Afrika. Zuvor leitete er das konzernweite Risikomanagement in der Merck-Zentrale in Darmstadt. Seine professionelle Laufbahn begann der Diplom Finanzmathematiker 2005 im Investmentbanking und als Unternehmensberater, bevor er 2012 in die Finanzorganisation von Merck eintrat und dort diverse Rollen durchlief.

Wie gehen Sie in Ihrer aktuellen Rolle mit dieser Art von Konflikt um?

Aktuell arbeite ich in einer Doppelrolle. Ich bin einerseits als CFO für Merck in Dubai für die Finanzen der Legal-Einheit verantwortlich und muss ihre Risiken nach Darmstadt berichten. Anderseits stehe ich in regionaler Schnittstellenverantwortung für den Nahen Osten, Afrika und Osteuropa und erhebe mit den Länderverantwortlichen die spezifischen Risiken vor Ort. Was mir hilft, ist sicherlich die Tatsache, dass ich vor meinem Job in Dubai in unserer Zentrale tätig war. Hier war ich als Head of Group Risk Management am zentralen Aufbau des globalen Risk-Managements mitverantwortlich. Dadurch habe ich nun Verständnis für beide Seiten, wenn Sie so wollen. Das hilft.

Das klingt nach einem Argument für Job Rotation.

Job Rotation ist in einem globalen Unternehmen immer von Vorteil. Ich finde, im modernen Risikomanagement geht es maßgeblich um Verständnis. Verständnis für das Geschäft, für Prozesse, für Menschen, aber auch für Kulturen. Dafür, wie es vor Ort ausschaut, was die spezifischen Begebenheiten, Herausforderungen oder auch Fallstricke sind. Wirklich effektiv lässt sich das alles nur bewerten und behandeln, wenn man die richtigen Kontakte aufgebaut und einen guten Überblick über das Unternehmen hat.

Wie sehen Risikomanagement und Governance für Sie im Alltag aus?

Sehr dialogintensiv. Ich spreche mit den lokal Verantwortlichen, mit unserer Führung hier vor Ort, meinem eigenen Team, dem Vertrieb hier in den Golfstaaten und im Nahen Osten über einzelne Vorhaben oder auch mit der Zentrale in Darmstadt über globale Vorgaben. Manche Tage verbringe ich von morgens bis abends in Videokonferenzen.

Das ist bestimmt auch sehr ermüdend, oder?

Natürlich ist das anstrengend. Aber der Austausch in diesen Meetings ist essenziell, um auf Flughöhe zu bleiben. Es ist gar nicht möglich, alles im Detail zu durchdringen oder sich durch das Lesen von Berichten anzueignen, welche Risiken wirklich gerade priorisiert werden müssen. Umso wichtiger sind die Schilderungen der Menschen vor Ort. Ich selbst muss in meiner Funktion nicht nur Themen aus der Region nach oben transportieren, sondern auch im ständigen Austausch mit den örtlichen Einheiten stehen. Da sind E-Mails oft das falsche Instrument. Einige Geschäftseinheiten berichten tendenziell lieber alle möglichen Risiken, die sie so sehen. Andere wiederum scheuen sich komplett davor und gehen dem eher aus dem Weg. Das sind genau die Situationen, in denen man mit Gefühl und Augenmaß reinstechen sollte, um zu erfahren, was wirklich Sache ist.

Wichtig sind die Schilderungen der Menschen vor Ort. Ich selbst muss nicht nur Themen aus der Region nach oben transportieren, sondern auch im ständigen Austausch mit den örtlichen Einheiten stehen.
Henning Wiedemeyer,
Regional CFO Middle East, Africa and Eastern Europe, Merck Serono Middle East Fz-Ltd.

Herr Wiedemeyer, Sie sind laut einschlägigen Indizes in einer Hochrisikoregion für Korruption tätig. Wo ist die Grenze zwischen „Beziehungen aufbauen“ und Klüngel?

Gute Beziehungen und Networking sind vor allem im Unternehmen wichtig, wenn es darum geht, Risiken zu erheben, sie zu verstehen und sich der Mitigation, also der Senkung, anzunehmen. Natürlich ist es schöner, wenn man mit lokalen Behörden nicht auf Kriegsfuß steht und man offen, transparent und ehrlich miteinander umgeht. In Sachen Compliance aber gelten bei Merck an jedem Ort der Welt die gleichen, überaus klaren Regeln. Da macht niemand irgendwelche Kompromisse oder regionale Ausnahmen. Auch nicht, wenn man gerade in einer Region operiert, in der Vertrauen oder persönlicher Kontakt wichtiger sind als woanders. Was ich allerdings immer versuche, ist ein gewisses Fingerspitzengefühl für die Risiko-Themen der Region und ihre Menschen zu entwickeln. Und dann zu schauen, ob man Lösungen innerhalb des Erlaubten findet. Lösungen und wirklichen Einblick erhält man nur durch Dialog.

Bemessen und rechnen müssen Sie trotzdem.

Natürlich. Dialog und Verständnis sind ein Teil des Jobs, der wichtig ist, wenn es ums Erheben geht. Bei der Bewertung, Vermittlung und Verkleinerung von Risiken sind dann wiederum Zahlen, Daten und Fakten entscheidend. Spätestens dann, wenn man den Risikoreport gegenüber der Geschäftsführung vorstellt. Eine klassische Risikomatrix unterteilt Geschäftsrisiken nach möglichen Auswirkungen und nach Eintrittswahrscheinlichkeit. Das Management will natürlich wissen, warum gewisse Risiken rechts oben stehen – große Auswirkungen, hohe Eintrittswahrscheinlichkeit. Da muss man dann sehr tief reingehen und viel Substanz und Ressourcen einsetzen, damit die Aufbereitung genau das tut, was sie tun soll.

Und das wäre?

Genau die Risiken auf die C-Level-Agenda setzen, die akut, relevant und auch behandelbar sind. Wir versuchen immer, entscheidungsorientiert zu berichten. Es bringt einem Vorstand nichts, wenn man jedes halbe Jahr unsortiert und unpriorisiert das komplette Risikoinventar herunterbetet, einschließlich aller theoretischen Erdbebenrisiken. Damit würde man das Board nur langweilen und am Ende gar nichts von dem erreichen, wofür man da ist: Wert durch Risikominderung schaffen.

Wir versuchen immer, entscheidungsorientiert zu berichten. Es bringt einem Vorstand nichts, wenn man jedes halbe Jahr unsortiert und unpriorisiert das komplette Risikoinventar herunterbetet, einschließlich aller theoretischen Erdbebenrisiken.
Henning Wiedemeyer,
Regional CFO Middle East, Africa and Eastern Europe, Merck Serono Middle East Fz-Ltd.

Ist das ein Wert, den man messen kann? Schließlich haben Sie ja Ihre Aufgabe dann erfüllt, wenn rein gar nichts passiert.

So reaktiv und defensiv würde ich die Arbeit von Risikomanagern gar nicht einschätzen. Der Großteil der Arbeit sollte proaktiv und wertorientiert sein. Messen können wir das allein schon durch den Vergleich von Bruttorisikosumme und Nettorisikosumme. Dabei ist die Bruttorisikosumme quasi die Gesamtheit an Risiken, die unmitigiert sind, also derer man sich noch nicht angenommen hat. Mögliche Schäden werden in einer Art Risikoinventur erfasst und durchgerechnet. Die Mitigierung, also das Senken dieser Risiken, wird dann als Aufgabe verteilt und nachgehalten. Die Summe der in diesem Sinne behandelten Risiken ergibt dann die Nettorisikosumme. Die Differenz kann man ausrechnen.

Das sagt über die Resilienz einer Organisation im Krisenfall aber erstmal wenig aus, oder?

Deswegen muss man immer mit aggregierten Risikosummen wie dem „Value at Risk“ (Wert im Risiko) rechnen. Einzelne Positionen im Risikoregister können aggregiert betrachtet enorme Einflüsse haben. Teilweise sogar auf die Existenz des Unternehmens. Daher ist auch die Kennzahl der Risikotragfähigkeit enorm wichtig. In der Risikotragfähigkeit hat man die wohl akkurateste Resilienz-Kennzahl: Welche Schadensdimensionen, welchen Value at Risk können wir eigentlich wegstecken? Ab wann wird es wirklich kritisch? Welche Folgeeffekte sind zu erwarten, wenn Risiko X eintritt? Wer sein Risikoportfolio, den Value at Risk und die Risikomitigierung verstehen und bewerten kann – auch unter Einsatz von Technologie – der kann seine Risikotragfähigkeit genau da erhöhen, wo er sie im Ernstfall braucht.

Auch wenn etwas wenig Vorstellbares wie die Covid-19-Pandemie passiert?

Ja und nein. Schwarze Schwäne sind deshalb schwarze Schwäne, weil sie eben nicht vorhersagbar sind. Andererseits sollte man die Risikotragfähigkeit, das heißt die Liquiditätsreserve im Ernstfall, auch unabhängig vom Auslöser betrachten. Für eine Airline spielt es keine Rolle, ob die Flugzeuge wegen einer Pandemie oder wegen einer Aschewolke nicht fliegen dürfen. Das Gesamtrisiko, das heißt der Value at Risk, ist bei pharmazeutischen Unternehmen stärker durch Risiken der Produkthaftung, Cybersecurity oder Preisgebung getrieben. Uns hat Covid-19 weniger beeinflusst als das in anderen Branchen der Fall war. Risiken sind in gewisser Weise immer relativ, dynamisch und eben nur in ihrer Tiefe und ihrem Kontext versteh- und behandelbar. Das macht unseren Job so fordernd – aber auch sehr spannend und vielfältig!

Henning Wiedemeyer

Henning Wiedemeyer

Abstract big data illustration

Ein Blick auf die CIO-Agenda

Der Einsatz von Technologie und Daten beschleunigt die Unternehmenstransformation enorm – doch es braucht ein Gleichgewicht zwischen Wertschöpfung und Wertsicherung, um langfristig erfolgreich zu sein. 

Erfahren Sie mehr

Fazit

Modernes Risikomanagement bedeutet nicht nur Risiken zu reduzieren, sondern Chancen zu erkennen und nutzbar zu machen. Der Risikomanager der Zukunft sollte strategisch und beratend agieren. Dabei sucht er nicht nur den Dialog in seinem internen Unternehmensnetzwerk, sondern auch den persönlichen Austausch mit externen Partnern und Experten.

Über diesen Artikel

Von EY Deutschland

Building a better working world