Nachhaltiges Risikomanagement für Vorsorgeeinrichtungen

Unter Förderung der KTI, der eidgenös­sischen Kommission für Technologie und ­Innovation, entwickelt das Kompetenzzentrum Vorsorge der Kalaidos Fachhochschule zusammen mit der Müller-Gauss Consulting und der Profond Vorsorge­einrichtung ein integrales Risiko-Ma­na­gement-System, das entscheidungs­­t­heo­retisch fundiert, konform zu den gesetzlichen Vorgaben und «handhabbar» auf die Bedürfnisse von Vorsorgeeinrichtungen abgestimmt ist.

Es wird den Verantwortlichen im Vorsorgebereich (Geschäftsleitung und Stiftungsrat) am Ende ein Controlling-Instrument mit einem massgeschneiderten Reporting an die Hand gegeben, sodass diese ihren gesetzlichen Verpflichtungen noch besser nachkommen können und die Risiken, die eine Vorsorgeeinrichtung (VE) eingeht respektive eingehen muss, transparenter gemacht werden können. Dieses System kann die Sicherheit im Vorsorgebereich erhöhen, da allfällige Risiken besser und /oder schneller erkannt und kontrolliert werden können.

Keine einmalige Aufgabe

Risiko-Management ist keine einmalige Aufgabe. Vielmehr stellt es einen Kreislauf, bestehend aus fünf Schritten, dar, der regelmässig, jedoch mindestens einmal jährlich von den Verantwortlichen durchgeführt werden muss, da sich das Umfeld jeder VE oder auch die VE selbst ändert und somit auch ein Risiko-Management-System kontinuierlich den neuen Gegebenheiten angepasst werden muss. (vergleiche Abbildung 1)

Im Detail sollen zur kontinuierlichen Gewährleistung des Risiko-Prozesses regelmässig die folgenden Schritte durchgeführt werden:

Schritt 1: Risiko-Bewusstsein schaffen

Es liegt in der Natur des Menschen, Gefahren intuitiv fehleinzuschätzen, was
in allen Phasen der Einführung eines Risiko-Managements zu Problemen führen kann. Daher ist es notwendig, regelmäs­sig aufs Neue bei den Verantwortlichen ein Risiko-Bewusstsein zu schaffen, auszubauen und zu erneuern und die Risiken emotionslos und systematisch nach vorgegebenen Kriterien, sogenannte «Metriken», zu bewerten.

Welche typischen Probleme während eines operativen Risiko-Management-Prozesses immer wieder identifiziert werden, beschreibt Abbildung 2. 

Da bei Vorsorgeeinrichtungen das Erwirtschaften von Anlagegewinnen nicht ri­sikofrei möglich ist, müssen diese Insti­tutionen Risiken eingehen, um spätere Rentenleistungen garantieren zu können. Auch der «dauerhafte Betrieb» der Vorsorgeeinrichtung ist – wie der dauerhafte Betrieb einer jeden anderen Unternehmung – an sich mit diversen Risiken behaftet. Beispielsweise könnten dies sein: unbewusstes Auslösen fehlerhafter Zahlungen, unbedachter / unwissentlicher Ankauf unrentabler Immobilien, Kalkulieren von Risiko-Prämien im Bereich der Invalidität, die später nicht den Auszahlungen entsprechen, bis hin zu einem allfälligen deliktischen Verhalten.

Schritt 2: Risiken identifizieren

Eine der schwierigsten Aufgaben des Risiko-Managements ist das tatsächliche Erkennen der Risiken, die eine Vorsorgeeinrichtung bedrohen. Der operative Prozess des Risiko-Managements beginnt daher sinnvollerweise damit, die Gefahren und ihre Auslöser systematisch zu identifizieren (möglichst breit alle erdenklichen Risiken erfassen) und danach zu analysieren (reduzieren der erfassten Risiken auf «die relevanten»). Das Ergebnis wird ein Risiko-Inventar sein, das möglichst alle relevanten Risiken einer VE listet.

Dieser Schritt wird sinnvollerweise in­nerhalb eines Workshops und durch Einzel-Audits mit den Verantwortlichen durchgeführt. Die Identifikation der Ri­siken wird dabei sowohl Top-Down als auch Bottom-Up stattfinden, da erfahrungsgemäss eine Mischung beider Ansätze zu den treffsichersten Ergebnissen führt. An dieser Stelle ist es sinnvoll, entscheidungstheoretische Ansätze mit in den Planungsprozess einzubeziehen.

Schritt 3: Risiken bewerten

Die festgestellten Gefahren und deren Auswirkungen werden nun danach beurteilt, wie schwerwiegend mögliche Folgen für verschiedene Typen von Vorsorge­ein­richtungen (autonome, teilautonome Kas­sen, Sammelstiftungen und Gemeinschaftseinrichtungen, Einrichtungen eines Arbeitgebers) sind. Dabei gilt es die Tragweite der Auswirkungen pro Risiko zu ermitteln.

In «klassischen» Risikobewertungen wäre innerhalb dieses Arbeitsschrittes neben dem Schadensausmass die Eintrittswahrscheinlichkeit für jedes einzelne Risiko abzuschätzen. Diese ist jedoch meist schwer resp. nicht zu berechnen und im Allgemeinen noch weniger zu beeinflussen. Aus
diesem Grund hat Uwe Müller-Gauss ein neuartiges Modell zur Risi­­ko-Bewertung entwickelt, das die erkannten Risiken tatsächlich «managebar» macht. Demnach können innerhalb eines nachhaltigen, integralen Risk-Managements die Risiken mit den folgenden Metriken bewertet, besser erfassbar und «steuerbar» gemacht werden:

• Schadensausmass qualitativ (also «kein Schaden» bis «sehr hohe Aussenwirkung / Marktanteilverlust»)
• Schadensausmass quantitativ (50 000 bis > 100 000 000 CHF; alternativ Prozentanteil der Anlagen)
• Entwicklungszeit /Dauer bis zu Erkennen des Ereignisses («sofort /zwingend» bis «keine Entdeckung»)
• Umgang im Ereignisfall /Ereignisbewältigung («integriertes Krisenmanagement» bis «keine Mechanismen»)
• Kontrolle bei Risiko-Exposition («volle Kontrolle» bis «keine Kontrolle»)
• Bewusstsein, Sensibilisierung für die Risiko-Exposition («volles Bewusstsein» bis «unbekannt /nicht bewusst»)
   

Die Anwendung dieser oder ähnlicher Metriken erlaubt es, Risiken steuerbar zu machen. Es werden klare Stellschrauben ersichtlich, an denen die Risiko-Verantwortlichen Verbesserungen erarbeiten können.

Beispiel: Wenn kein Risiko-Bewusstsein vorhanden ist, kann man die Mitarbei-tenden schulen; ist die Entdeckungszeit mangelhaft, muss über allfällige Warnsysteme oder Vermeidungsmöglichkeiten (etwa mithilfe des Vier-Augen-Prinzips bei Verträgen) nachgedacht werden, besitzt man keinen Mechanismus zur Ereignisbewältigung, muss man diesen implementieren, zum Beispiel indem man ein fertiges Krisenkommunikationskonzept besitzt, das man im Falle einer negativen Berichterstattung in den Medien «nur» noch herausnehmen müsste etc.

Diese Steuerbarkeit der Metriken gegenüber einer reinen Betrachtung einer – im Tagesgeschäft meist kleingerechneten – Eintrittswahrscheinlichkeit ist für das spätere Management der Risiken von gros­sem Vorteil. Das Ergebnis dieses Ana­lyse- und Bewertungsprozesses kann daraufhin in einem zweidimensionalen Diagramm abgebildet werden, das die vorhandenen Risiken nach den genannten Metriken einordnet (Abbildung 3).

In einer derartigen Übersicht können alle Risiken auf einen Blick erfasst werden. Ein unkontrolliertes und unbewusstes Risiko (rot), das ein hohes Schadensausmass bewirken kann, eine lange Entdeckungszeit hat und im schlimmsten Fall noch keine Werkzeuge existieren, mit denen man das Problem zeitnah bewältigen könnte, würde in diesem Diagramm an der Position rechts oben (Risiko D) abgetragen. Ein Risiko, dessen man sich sehr bewusst ist, das man gut unter Kontrolle hat und wo im Ereignisfall getestete Abläufe vorliegen, wäre links unten grün eingezeichnet (Risiko H).

Schritt 4: Risiken bewältigen

Im vierten Schritt des Risk-Management-Prozesses wird festgelegt, wie man mit den erkannten Risiken umgehen will. Es stehen grundsätzlich vier Möglichkeiten zur Risikobewältigung zur Verfügung: vermeiden, vermindern, abwälzen oder das Risiko selbst tragen (Abbildung 4).

Ausgehend von einem Gesamt-Risiko, dem jede Vorsorgeeinrichtung gegenübersteht, kann man:

• Risiken vermeiden: Dies bedeutet, bewusst auf Risiken zu verzichten. Man kann als VE den Entscheid treffen, nicht in spezielle Anlageformen zu investieren, um so das Risiko zu vermeiden, in diesen Bereich Verlust zu machen.
• Risiken vermindern: Risiken können auf zwei Ebenen vermindert werden: Durch Schadenverhütungsmassnahmen verringert man die Reaktionsfaktoren (beispielsweise beim Absichern eines Gegenparteiri­sikos). Kommt es trotz Prävention zu einem Schadenereignis, so gilt es mit Schadenminderungsmassnahmen das Schadenausmass zu begrenzen (zum Beispiel mit Case Management).
• Risiken abwälzen: Mit der Risiko-Abwälzung werden die finanziellen Folgen einer möglichen Störung auf einen Dritten übertragen. Durch entsprechende Vertragsbedingungen kann man Risiken auf Dienstleister (Berater, Prüfer, Experte) oder Kunden (klassisches Beispiel: Umwandlung einer Kasse vom Leistungsprimat ins Beitragsprimat) überwälzen. Durch Abschluss einer Versicherungspolice überwälzt man Schäden auf eine Versicherungsgesellschaft (in der Vorsorge typisch: Rückversicherung von Invalidität).
• Risiken selber tragen: Nachdem alle Überlegungen zur Vermeidung von Ri­siken, zur Minderung und zur Risiko-Abwälzung durchgeführt wurden, verbleibt zusammen mit den nicht identi­fizierten Risiken immer ein «Rest­bestand», den die Vorsorgeeinrichtung (VE) selber tragen muss / will. Hat man ein Risiko innerhalb einer Versicherungs­lösung abgewälzt, so kann «willentliches Risiken selbst tragen» hier bedeuten, dass man einen Selbstbehalt vereinbaren kann, dafür aber geringere Prämien bezahlen muss.

Die Risiko-Bewältigung kann dann analog in das zuvor bereits vorgestellte Diagramm eingetragen werden. (Abbildung 5)

Der denkbare Idealzustand nach dieser – ersten – Bewältigung wäre, alle Risiken so zu reduzieren, dass sie sechseckig, grün und links unten eingetragen werden können. Dies kann durch eine Verbesserung des Umgangs mit dem Risiko nach den vorgeschlagenen Metriken geschehen (Risiko-Bewusstsein erhöhen durch Schulungen, Notfallpläne entwickeln sowie integrieren, Frühwarnsysteme entwickeln und integrieren etc.)

Da ein Risiko zugleich eine Chance darstellen kann, kann die gewünschte Risiko-Position auch «höher» liegen (vergleiche Risiko H), indem eine VE zum Beispiel eine sehr teure Versicherung kündigt und das dadurch entstehende für sie «akzeptable» Risiko selbst trägt.

^

Schritt 5: Risiken kontrollieren

Risiko-Management ist eine Daueraufgabe der Unternehmensführung und damit des obersten Organs einer VE, des Stiftungsrates. Da sich eine VE in einem dynamischen Umfeld bewegt, sind heute bewertete Risiken nicht bis in alle Ewigkeit gültig. Eine VE entwickelt sich wie jede andere Unternehmung kontinuierlich weiter. Entsprechend erfahren auch die identifizierten Risiken laufend Änderungen. Es tauchen neue Risiken auf. Indem die beschriebenen Schritte re­gelmässig wiederholt werden, ist die VE in der Lage, ihre Risiken kontinuierlich zu kontrollieren. Eine VE kann nicht wirklich strategisch tätig sein, wenn sie nicht parallel dazu transparent ihre Risiken managt. Der Turnus zur Kontrolle muss für jedes Einzelrisiko separat festgelegt werden. Demnach muss ein geeignetes Reporting entwickelt werden, das Stiftungsrat und Geschäftsleitung eine monatliche, quartalsweise, halbjährliche und jährliche Kontrolle der mit einem bestimmten Turnus beaufschlagten Risiken erlaubt. Mindestens einmal jährlich sollten alle Risiken in einem Gesamt-Reporting zusammen mit einem «Überprüfungs-Workshop» neu analysiert werden.

Schlussbemerkung

Nur eine Vorsorgeeinrichtung, deren Geschäftsleitung und Stiftungsrat auf ein systematisches, nachhaltiges Risikomanagement ausgerichtet ist, stärkt nachhaltig das Vertrauen von Geschäftspartnern, Kunden und Mitarbeitenden in das Unternehmen und ermöglicht so die dringend benötigte longterm licence to operate sowie die Sicherstellung eines Sus­tainable Developments.