„Risikomanager müssen heute gute Netzwerker sein“

Selbst in Zeiten der Digitalisierung ist für Henning Wiedemeyer der individuelle Dialog ein wichtiger Faktor bei der Risikobewertung.

Für das Wissenschafts- und Technologieunternehmen Merck erhebt, bewertet und senkt Henning Wiedemeyer Geschäftsrisiken für den Nahen Osten, Afrika und Osteuropa – und ist zeitgleich lokal verantwortlicher Chief Financial Officer (CFO) für Merck in Dubai. Im Interview spricht er über den Wert von Risikomanagement, die Gefahr, Vorstände zu langweilen und die Bedeutung von Beziehungen.

EY: Herr Wiedemeyer, wenn es um Geschäftsrisiken geht, existieren in vielen Unternehmen verschiedene Realitäten. Mitunter unterscheidet sich die Risikorealität vor Ort in einer Region drastisch von dem, was im Hauptsitz auf den Folien steht. Wie passiert so etwas?

Henning Wiedemeyer: Ganz einfach. Das passiert, wenn die verantwortlichen Personen nicht genug miteinander reden. Oder sie einfach keine gute Beziehung zueinander haben. Dann werden die teilweise spezifischen und hochkomplexen Risiken nicht genug erklärt, besprochen und verstanden, sondern im Zweifelsfall nur einmal jährlich abstrakt in Formulare eingetragen und pflichtschuldig in den Bericht für den Vorstand kopiert.

Klingt nicht sehr effektiv.

Ist es auch nicht. In der heutigen Welt schon gar nicht. Die Zeit des „Häkchenmachens“, also einer eher reaktiven und rein formalistischen Interpretation von Risikomanagement, ist nun wirklich schon seit einiger Zeit Vergangenheit. Gute Risikomanager müssen heute gute Netzwerker sein. Sie müssen belastbare Beziehungen aufbauen und den Geschäftsbereichen aufrichtig zuhören. Erst dann kann die Realität vor Ort auch Tausende Kilometer entfernt in der Zentrale nachvollzogen werden. 

Wie gehen Sie in Ihrer aktuellen Rolle mit dieser Art von Konflikt um?

Aktuell arbeite ich in einer Doppelrolle. Ich bin einerseits als CFO für Merck in Dubai für die Finanzen der Legal-Einheit verantwortlich und muss ihre Risiken nach Darmstadt berichten. Anderseits stehe ich in regionaler Schnittstellenverantwortung für den Nahen Osten, Afrika und Osteuropa und erhebe mit den Länderverantwortlichen die spezifischen Risiken vor Ort. Was mir hilft, ist sicherlich die Tatsache, dass ich vor meinem Job in Dubai in unserer Zentrale tätig war. Hier war ich als Head of Group Risk Management am zentralen Aufbau des globalen Risk-Managements mitverantwortlich. Dadurch habe ich nun Verständnis für beide Seiten, wenn Sie so wollen. Das hilft.

Das klingt nach einem Argument für Job Rotation.

Job Rotation ist in einem globalen Unternehmen immer von Vorteil. Ich finde, im modernen Risikomanagement geht es maßgeblich um Verständnis. Verständnis für das Geschäft, für Prozesse, für Menschen, aber auch für Kulturen. Dafür, wie es vor Ort ausschaut, was die spezifischen Begebenheiten, Herausforderungen oder auch Fallstricke sind. Wirklich effektiv lässt sich das alles nur bewerten und behandeln, wenn man die richtigen Kontakte aufgebaut und einen guten Überblick über das Unternehmen hat.

Wie sehen Risikomanagement und Governance für Sie im Alltag aus?

Sehr dialogintensiv. Ich spreche mit den lokal Verantwortlichen, mit unserer Führung hier vor Ort, meinem eigenen Team, dem Vertrieb hier in den Golfstaaten und im Nahen Osten über einzelne Vorhaben oder auch mit der Zentrale in Darmstadt über globale Vorgaben. Manche Tage verbringe ich von morgens bis abends in Videokonferenzen.

Das ist bestimmt auch sehr ermüdend, oder?

Natürlich ist das anstrengend. Aber der Austausch in diesen Meetings ist essenziell, um auf Flughöhe zu bleiben. Es ist gar nicht möglich, alles im Detail zu durchdringen oder sich durch das Lesen von Berichten anzueignen, welche Risiken wirklich gerade priorisiert werden müssen. Umso wichtiger sind die Schilderungen der Menschen vor Ort. Ich selbst muss in meiner Funktion nicht nur Themen aus der Region nach oben transportieren, sondern auch im ständigen Austausch mit den örtlichen Einheiten stehen. Da sind E-Mails oft das falsche Instrument. Einige Geschäftseinheiten berichten tendenziell lieber alle möglichen Risiken, die sie so sehen. Andere wiederum scheuen sich komplett davor und gehen dem eher aus dem Weg. Das sind genau die Situationen, in denen man mit Gefühl und Augenmaß reinstechen sollte, um zu erfahren, was wirklich Sache ist.

Herr Wiedemeyer, Sie sind laut einschlägigen Indizes in einer Hochrisikoregion für Korruption tätig. Wo ist die Grenze zwischen „Beziehungen aufbauen“ und Klüngel?

Gute Beziehungen und Networking sind vor allem im Unternehmen wichtig, wenn es darum geht, Risiken zu erheben, sie zu verstehen und sich der Mitigation, also der Senkung, anzunehmen. Natürlich ist es schöner, wenn man mit lokalen Behörden nicht auf Kriegsfuß steht und man offen, transparent und ehrlich miteinander umgeht. In Sachen Compliance aber gelten bei Merck an jedem Ort der Welt die gleichen, überaus klaren Regeln. Da macht niemand irgendwelche Kompromisse oder regionale Ausnahmen. Auch nicht, wenn man gerade in einer Region operiert, in der Vertrauen oder persönlicher Kontakt wichtiger sind als woanders. Was ich allerdings immer versuche, ist ein gewisses Fingerspitzengefühl für die Risiko-Themen der Region und ihre Menschen zu entwickeln. Und dann zu schauen, ob man Lösungen innerhalb des Erlaubten findet. Lösungen und wirklichen Einblick erhält man nur durch Dialog.

Bemessen und rechnen müssen Sie trotzdem.

Natürlich. Dialog und Verständnis sind ein Teil des Jobs, der wichtig ist, wenn es ums Erheben geht. Bei der Bewertung, Vermittlung und Verkleinerung von Risiken sind dann wiederum Zahlen, Daten und Fakten entscheidend. Spätestens dann, wenn man den Risikoreport gegenüber der Geschäftsführung vorstellt. Eine klassische Risikomatrix unterteilt Geschäftsrisiken nach möglichen Auswirkungen und nach Eintrittswahrscheinlichkeit. Das Management will natürlich wissen, warum gewisse Risiken rechts oben stehen – große Auswirkungen, hohe Eintrittswahrscheinlichkeit. Da muss man dann sehr tief reingehen und viel Substanz und Ressourcen einsetzen, damit die Aufbereitung genau das tut, was sie tun soll.

Und das wäre?

Genau die Risiken auf die C-Level-Agenda setzen, die akut, relevant und auch behandelbar sind. Wir versuchen immer, entscheidungsorientiert zu berichten. Es bringt einem Vorstand nichts, wenn man jedes halbe Jahr unsortiert und unpriorisiert das komplette Risikoinventar herunterbetet, einschließlich aller theoretischen Erdbebenrisiken. Damit würde man das Board nur langweilen und am Ende gar nichts von dem erreichen, wofür man da ist: Wert durch Risikominderung schaffen.

Ist das ein Wert, den man messen kann? Schließlich haben Sie ja Ihre Aufgabe dann erfüllt, wenn rein gar nichts passiert.

So reaktiv und defensiv würde ich die Arbeit von Risikomanagern gar nicht einschätzen. Der Großteil der Arbeit sollte proaktiv und wertorientiert sein. Messen können wir das allein schon durch den Vergleich von Bruttorisikosumme und Nettorisikosumme. Dabei ist die Bruttorisikosumme quasi die Gesamtheit an Risiken, die unmitigiert sind, also derer man sich noch nicht angenommen hat. Mögliche Schäden werden in einer Art Risikoinventur erfasst und durchgerechnet. Die Mitigierung, also das Senken dieser Risiken, wird dann als Aufgabe verteilt und nachgehalten. Die Summe der in diesem Sinne behandelten Risiken ergibt dann die Nettorisikosumme. Die Differenz kann man ausrechnen.

Das sagt über die Resilienz einer Organisation im Krisenfall aber erstmal wenig aus, oder?

Deswegen muss man immer mit aggregierten Risikosummen wie dem „Value at Risk“ (Wert im Risiko) rechnen. Einzelne Positionen im Risikoregister können aggregiert betrachtet enorme Einflüsse haben. Teilweise sogar auf die Existenz des Unternehmens. Daher ist auch die Kennzahl der Risikotragfähigkeit enorm wichtig. In der Risikotragfähigkeit hat man die wohl akkurateste Resilienz-Kennzahl: Welche Schadensdimensionen, welchen Value at Risk können wir eigentlich wegstecken? Ab wann wird es wirklich kritisch? Welche Folgeeffekte sind zu erwarten, wenn Risiko X eintritt? Wer sein Risikoportfolio, den Value at Risk und die Risikomitigierung verstehen und bewerten kann – auch unter Einsatz von Technologie – der kann seine Risikotragfähigkeit genau da erhöhen, wo er sie im Ernstfall braucht.

Auch wenn etwas wenig Vorstellbares wie die Covid-19-Pandemie passiert?

Ja und nein. Schwarze Schwäne sind deshalb schwarze Schwäne, weil sie eben nicht vorhersagbar sind. Andererseits sollte man die Risikotragfähigkeit, das heißt die Liquiditätsreserve im Ernstfall, auch unabhängig vom Auslöser betrachten. Für eine Airline spielt es keine Rolle, ob die Flugzeuge wegen einer Pandemie oder wegen einer Aschewolke nicht fliegen dürfen. Das Gesamtrisiko, das heißt der Value at Risk, ist bei pharmazeutischen Unternehmen stärker durch Risiken der Produkthaftung, Cybersecurity oder Preisgebung getrieben. Uns hat Covid-19 weniger beeinflusst als das in anderen Branchen der Fall war. Risiken sind in gewisser Weise immer relativ, dynamisch und eben nur in ihrer Tiefe und ihrem Kontext versteh- und behandelbar. Das macht unseren Job so fordernd – aber auch sehr spannend und vielfältig!