#RISK Gründer Nick James im Gespräch mit Michael Rasmussen

Transkript:

Nick James:

Wir leben heute in einer Welt, in der fast jede Organisation täglich mit extremer Unsicherheit konfrontiert ist. Mehr denn je müssen Teams integriert und Silos abgebaut werden. Ich bin der Gründer und Event Director von #RISK, einer bedeutenden und sehr aktuellen Veranstaltungsreihe, die im November dieses Jahres in London beginnt. Ich freue mich, heute von Michael Rasmussen, einem unserer #RISK-Botschafter, begleitet zu werden. Hallo Michael.

Michael Rasmussen:

Es ist mir eine Freude, heute hier zu sein. Ich freue mich darauf.

Nick James:

Exzellent. Ich habe eine Reihe von Fragen an Sie, aber die erste habe ich in meiner Einführung über Unsicherheit gesagt. Denken Sie, dass die Wörter Risiko und Ungewissheit austauschbar sind?

Michael Rasmussen:

Wow. Ich meine, das wird in die Semantik einfließen. Wenn wir uns an die offizielle Definition von Risiko halten, die in ISO 31.000, der internationalen Norm für Risikomanagement, zu finden ist, ist Risiko die Auswirkung von Unsicherheit auf Ziele. Sind sie absolut gleich, wenn Sie sich an die Definition halten? Nein, denn Risiko ist die Wirkung von Ungewissheit und es ist die Wirkung. Aber das ist wahrscheinlich ein wenig zu tief ausgepackt. Im Allgemeinen ja, Risiko bedeutet Ungewissheitsmanagement. Um Risiken einzugehen, müssen Sie wirklich verstehen, worum es bei diesem Risiko geht. Zurück zu dieser Definition: Risiko ist die Wirkung von Ungewissheit auf was? Auf Ziele. Wir brauchen den Kontext, um zu verstehen, worum es bei der Ungewissheit geht, worum es bei dem Risiko geht. Das ist, wo die Ziele das in einen Kontext setzen.

Michael Rasmussen:

Nun, aus Unternehmenssicht, denn wir betrachten Risiken aus geopolitischer, umfassender, globaler Sicht, aus Ländersicht, aus individueller Sicht. Aus Unternehmenssicht könnten Ihre Ziele jedoch Ziele auf Unternehmensebene sein. Dies können Ziele auf Abteilungsebene, Abteilungs-, Prozess-, Projektziele oder sogar auf Asset-Ebene sein. Aber wir haben Ziele auf verschiedenen Ebenen in der Organisation. Risiko ist die Auswirkung von Ungewissheit auf diese Ziele. Wir müssen die Ziele der Organisation klar verstehen, um Risiken oder – und darum geht es hier – Unsicherheiten in Bezug auf diese Ziele bewältigen zu können.

Nick James:

Wie Sie sagten, Semantik, aber ein sehr pragmatischer Ansatz. Was wir in den letzten zwei Jahren bei der COVID-19-Pandemie gesehen haben, hat viele Organisationen auf die Notwendigkeit konzentriert, Resilienz aufzubauen und sicherzustellen, dass sie auf Betriebsunterbrechungen reagieren und sich davon erholen können. Bedeutet das, dass Risiko und Resilienz zwei Seiten derselben Medaille sind?

Michael Rasmussen:

Da würde ich nein sagen. Sie sind verwandt. Resilienz ist ein Ergebnis des Risikomanagements. Aber für mich sollte das Risikomanagement die Widerstandsfähigkeit bestimmen. Wenn Sie sich die Vorschriften zur operativen Resilienz auf der ganzen Welt ansehen, haben Sie die britische Verordnung zur betrieblichen Resilienz der Bank of England. Die FCA, die PRA. Sie haben das DORA, Digital Operation Resilience Act der EU. Sie haben [00:03:36] und die Bank for National Settlement Anleitungen zur betrieblichen Belastbarkeit. Dann haben Sie das United States Office of the Control the Currency Guidance on Operational Resilience. Wenn Sie sich die US-Definition in den OCC-Leitlinien ansehen, heißt es, dass die betriebliche Widerstandsfähigkeit ein effektives Ergebnis des betrieblichen Risikomanagements ist. Resilienz ist ein Teil des Risikomanagements, aber Risikomanagement ist viel umfassender als nur Resilienz. Wenn Sie zwei Seiten einer Medaille betrachten möchten, würde ich sagen, dass es Agilität und Widerstandsfähigkeit gibt, denn es geht nicht nur darum, das Risiko für das Unternehmen von einem belastbaren Standpunkt aus zu managen, sondern auch Ihr Risikomanagement effektiv zu reifen, damit Sie es können eine agile Organisation sein.

Michael Rasmussen:

Nehmen wir die Analogie, dass ich die Straße entlang laufe. Wenn ich die Straße entlang laufe und morgens laufen gehe, was auch immer es ist. Ich stolpere über den Bordstein, Belastbarkeit ist, wie schnell ich aufstehen und wieder laufen kann? Bei Resilienz geht es um die Erholung von einem Ereignis, einem Risikoereignis. Während Agilität, die heute für das Risikomanagement so wichtig ist, in der Lage ist, Hindernisse wie Bordsteinkanten zu sehen, über die ich stolpern könnte, und in der Lage zu sein, zu navigieren und nicht darüber zu stolpern. Oder wenn ich so etwas wie Parkour mache, das wir uns da draußen auf YouTube ansehen können, einige Hindernisse für eine große Agilitätsleistung ausnutzen und für unseren größeren Gewinn handeln. Gutes Risikomanagement ermöglicht Resilienz, die Fähigkeit, Ereignisse zu sehen und die Auswirkungen zu minimieren, sich von Ereignissen zu erholen. Aber wirklich gutes Risikomanagement ist die Fähigkeit, Agilität einzubringen, um zu sehen, was auf uns zukommt, und in der Lage zu sein, die Organisation vorzubereiten und ein Risikoereignis zu steuern und zu vermeiden oder sogar das, was auf uns zukommt, zu nutzen, um größere Chancen zu nutzen und Gewinn für die Organisation.

Michael Rasmussen:

Wenn wir zwei Seiten der Medaille betrachten, dann sind das für mich Agilität und Belastbarkeit. Risikomanagement, gutes ausgereiftes Risikomanagement, wird reifen und beides auf den Tisch bringen.

Nick James:

Exzellent. Ich liebe die Analogie auch. Unsere Parole für #RISIKO lautet: Risiko geht jeden etwas an. Vor diesem Hintergrund, wer in einer Organisation sollte das Risiko tragen und sitzt es bei der C-Suite? Wenn dies der Fall ist, verfügt die C-Suite, der Vorstand über die erforderlichen Fähigkeiten, um eine effektive Risikoaufsicht zu gewährleisten?

Michael Rasmussen:

Da gibt es viel auszupacken. Lassen Sie uns zunächst über das Drei-Linien-Modell sprechen. Früher nannte man das drei Verteidigungslinien. Sie haben die dritte Linie, die Audit und Assurance ist und Assurance für das Risikomanagement bietet. Sie haben die Second-Line-Funktion, in der ich den größten Teil meiner Karriere verbringe, und das ist das Back Office des Risikomanagements, der Chief Risk Officer, der Operation Risk Manager, vielleicht spezifische Risikoschwerpunkte wie IT-Sicherheit oder Umweltrisiko oder Gesundheit und Sicherheit Risiko. Aber dann ist die erste Linie das operative Management bis hinunter zu den Mitarbeitern an der Front. Was wir sehen, ist ein großer Übergang, um die Risikoverantwortung voranzutreiben, nicht von dieser zweiten Linie in die erste Linie, bis hin zum Vorstand.

Michael Rasmussen:

Gerade jetzt ist es unglaublich wichtig, die Menschen einzubeziehen, die tatsächlich Risiken eingehen, und sie für Risiken zur Rechenschaft zu ziehen. Für mich liegt das Risiko auf höchster Ebene beim Vorstand und den leitenden Angestellten der Organisation. Aber offensichtlich filtert es nach unten und Sie haben verschiedene operative Manager und Personen, die Risiken auf verschiedenen Ebenen der Organisation eingehen und managen. Was eindeutig benötigt wird, ist Risikoverantwortung und Engagement, wo die Funktion der zweiten Linie eher zu einem Vermittler des Risikomanagements wird, aber es ist tatsächlich die erste Linie bis hin zum Vorstand, der das Risiko tatsächlich trägt und für das Risiko verantwortlich ist. Aus diesem Grund sehen wir einen stärkeren Fokus auf Rechenschaftspflicht, und das ist absolut wichtig. Aber es bedeutet auch, wie Sie erwähnt haben, dass es mehr Fähigkeiten und Ausbildung vom Vorstand geben muss, aber auch auf verschiedenen Ebenen der Geschäftsführung bis hin zum operativen Management, die auch das Risiko tragen.

Nick James:

Da gab es viel auszupacken und ich finde, das ist dir ganz hervorragend gelungen. Wie können Führungskräfte vor diesem Hintergrund den Ton angeben? Nicht nur aus kommerzieller oder Compliance-Sicht, sondern auch aus ethischer Sicht. Denken Sie daran, dass Sie, wie Sie bereits angedeutet haben, manchmal Chancen verpassen, wenn Sie keine Risiken eingehen.

Michael Rasmussen:

Es geht darum, klar zu kommunizieren, was Risiko ist, und in diesem Zusammenhang auch eine Risikokultur aufzubauen. Was ist ein akzeptables und ein inakzeptables Risiko in Ihrer Organisation? Wer übernimmt und verwaltet Risiken? Risikokultur ist absolut entscheidend. Sind Sie eine Organisation, die sehr unbekümmert ist und viel Risiko eingeht und es nicht sehr gut handhabt, oder sind Sie eine Organisation, die Risiken sehr ablehnend gegenübersteht, aber selbst das Risiko, das Sie eingehen, nicht gut handhabt? Gehen Sie aggressiv Risiken ein, haben aber starke Strukturen der Risikoverantwortung und -verantwortung, bei denen es eine höhere Risikorendite gibt? Es ist entscheidend, dass Organisationen die richtige Kultur des Risikomanagements fördern.

Michael Rasmussen:

Ich bin globaler Botschafter des Institute of Risk Management und dort Ehrenmitglied auf Lebenszeit. Wir haben vor etwa einem Jahrzehnt an der Risikokultur gearbeitet. Aber es ist eines der grundlegendsten Stücke, die ich vom Institute of Risk Management gesehen habe, weil es so klar und richtungsweisend ist, wie wir die Einstellungen, das Verhalten und die Kultur in die richtige Richtung lenken akzeptables und inakzeptables Risiko und wie dieses Risiko eingegangen und gehandhabt wird. Vor etwa 15 Jahren gab es im Economist Magazine einen großartigen Artikel mit dem Titel „Goldman Sachs Behind the Brass Plate“. Es spricht eine Reihe von Themen an, aber ein Thema, auf das es sich einlässt, ist die Kultur des Risikomanagements von Goldman Sachs und dass, wenn Sie ein erhebliches Risiko eingehen, dies nicht die Anstrengung einer einzelnen Person sein kann. Es muss eine Teamleistung sein. Sie müssen mehrere Personen und Inputs einbeziehen, und das ist alles Teil unserer Kultur. Wie gehen wir mit Risiken um und arbeiten zusammen?

Nick James:

Dies spielt genau in die ganze Logik hinein, warum wir diese Veranstaltungsreihe #RISK durchführen wollen, weil sie nicht in einem Silo existieren kann. Es muss die Verantwortung aller sein. Aus meiner Sicht, als Verleger und Veranstalter, und ein wenig, denke ich, als Johnny, der in letzter Zeit zum gesamten Governance-Risiko- und Compliance-Sektor gekommen ist, sehe ich, dass es fast jeden Tag neue Risiken gibt, denen Menschen ausgesetzt sind zu betrachten. Offensichtlich ist das einzige, was wir sehen, eine zunehmende Bedeutung von ESG, von der ich wiederum weiß, dass wir es nicht sind. Ich werde von vielen Leuten gefragt: „Nun, wer übernimmt die Führung bei ESG? Ist es der CFO, der CMO, der CDO, der CRO, der CEO?“ Das ist eine Frage, es gibt eine doppelte Frage, der zweite Teil dieser Frage, nämlich, hat COVID-19 die verantwortungsbewusste Geschäftsagenda unterstützt oder behindert?

Michael Rasmussen:

Tolle Frage. Nun, ich meine, bei ESG geht es wieder um Rechenschaftspflicht. Wir hatten zuvor Iterationen von ESG. Früher nannten wir das Corporate Social Responsibility. Aber die Herausforderung bei der sozialen Verantwortung von Unternehmen war, dass sie wie eine heiße Kartoffel im Unternehmen herumgereicht wurde und oft im Schoß des Marketings landete, zu einer Branding-Übung wurde, die sagte: „Lasst uns Grün in unser Logo setzen“, und es nicht wirklich um Veränderungen ging die Praktiken der Organisation. ESG kommt aus so vielen Blickwinkeln auf die Organisation zu, vom Investor, vom Standpunkt des Unternehmensinvestors, von Vorständen, zu Kunden und Auftraggebern, zu Mitarbeitern, zu Interessengruppen und zu Aufsichtsbehörden. Dafür müssen Sie Ihre Verantwortung übernehmen. Ich sehe am häufigsten, dass der Compliance- und Ethikabteilung des Unternehmens, dem Chief Ethics and Compliance Officer, die gesamte ESG-Verantwortung und -Rechenschaftspflicht übertragen wird. Für mich, den obersten Ethik- und Compliance-Beauftragten, den CECO, geht es letztendlich um die Integrität der Organisation.

Michael Rasmussen:

Wenn ich den Chief Ethics and Compliance Officer umbenennen könnte, wäre er Chief Integrity Officer, aber wir haben bereits einen CIO, also würde dieses Akronym vielleicht nicht funktionieren. Aber es geht um die Integrität der Organisation, dass das, was wir kommunizieren, unsere Werte in Bezug auf die Umwelt, das Soziale, die Governance und andere Compliance-Aspekte sind, dass dies eine Realität in der Organisation ist. Für mich kommt es auf die Integrität der Organisation an, dass das, was wir der Welt und unseren Mitarbeitern intern mitteilen, das ist, was in der Organisation getan wird. Dafür ist der Chief Ethics and Compliance Officer verantwortlich. Bei den meisten meiner Interaktionen, bei den meisten, würde ich sagen, sehe ich, dass der CECO dort die Verantwortung übernimmt. Aber wie Sie bereits erwähnt haben, sind all diese anderen Rollen, von Betriebsrisiken über seltsame Versicherungen bis hin zu Umwelt, Gesundheit und Sicherheit, IT-Sicherheit und Datenschutz, alle beteiligt.

Michael Rasmussen:

Dies ist keine Abteilungsfunktion. Es ist eine föderierte Funktion, die all diese verschiedenen Abteilungen umfasst. Jemand muss es führen. Meistens sehe ich das als Chief Ethics and Compliance Officer, aber nicht immer. In anderen Fällen handelt es sich um ein Betriebsrisiko. Andere Male habe ich seltsame Selbstsicherheit in anderen Rollen gesehen. Aber wenn ich die Rolle wählen müsste, in der ich am meisten Action gesehen habe, dann ist das die des Chief Ethics and Compliance Officer. Aber das ist eine Moderationsrolle, denn um ESG zu erfüllen, sind all diese verschiedenen Abteilungen und Funktionen erforderlich, die mit einigen Aspekten des ESG-Risikos verknüpft sind, von der Beschaffung über das Personalwesen bis hin zur IT-Sicherheit und internen Kontrollen. All dies muss ein Teil davon sein.

Michael Rasmussen:

Nun zu Ihrer anderen Frage zu COVID-19, ich würde sagen, COVID-19 hat geholfen. Wenn Sie in den Dezember 2019 zurückgehen, habe ich auf meiner Website einen Blog-Artikel mit dem Titel A Tale of Two Futures veröffentlicht. Es war unsere Zukunft, eine Blade-Runner-Zukunft oder eine Star-Trek-Zukunft. Wir steuern auf das eine oder andere zu und die Entscheidungen, die Regierungen treffen, aber auch Einzelpersonen. Aber auch Unternehmen werden Einfluss nehmen, wenn wir auf diese ökologische und soziale Katastrophe, einen Blade Runner oder die umweltfreundlichere und freundlichere intergalaktische Zusammenarbeit außerirdischer Rassen von Star Trek zusteuern. Sie sehen sich nur die neueste Serie von Picard an und sehen, dass San Francisco eine sehr grüne Umgebung ist. Wir steuern auf das eine oder andere zu. Ich weise in diesem Blogartikel darauf hin, dass das, was Unternehmen jetzt tun, diese Zukunft beeinflussen wird. Aber dann sage ich, wenn Sie sich viele Programme zum Management von Unternehmens- und Betriebsrisiken ansehen, würden Sie denken, dass das einzige Risiko, das ihnen Sorgen bereitet, das IT-Sicherheitsrisiko ist, und das ist ein riesiges Risiko.

Michael Rasmussen:

Ich habe meine Karriere in der IT-Sicherheit begonnen, aber ich behaupte in diesem Bericht, wenn Sie sich den jedes Jahr erscheinenden globalen Risikobericht des Weltwirtschaftsforums ansehen, dass die größten Risiken, denen wir ausgesetzt sind, Umweltrisiken wie Klimawandel und Gesundheit sind Sicherheitsrisiken wie Pandemien. Ich sage dies im Dezember 2019 und sage, dass viele Programme für das Betriebsmanagement von Unternehmen geändert werden müssen, um ein breiteres Spektrum an Risiken anzugehen. COVID-19 kommt daher, um meinen Standpunkt zu beweisen. Die Herausforderung besteht jedoch darin, dass es sich um ein vernetztes Risikoumfeld handelt. Der Physiker [unverständlich 00:15:04] erklärt: „Je mehr wir uns mit den großen Problemen unserer Zeit befassen, desto mehr erkennen wir, dass sie miteinander verbunden und voneinander abhängig sind. Sie können nicht isoliert verwaltet werden.“ Das heutige Risikoumfeld ist ein vernetztes Risikoumfeld. Was mit einem Gesundheits- und Sicherheitsrisiko wie der Pandemie beginnt, kaskadiert und bringt IT-Sicherheitsrisiken aus der Arbeit von zu Hause aus mit sich.

Michael Rasmussen:

Gehen Sie Risiken ein, da die Leute in Zoom-Meetings und im Home Office sind und Dinge sagen, die die Grenze der Belästigung und Diskriminierung überschreiten, weil sie nicht glauben, dass die gleichen Regeln für sie gelten, weil sie zu Hause sind und nicht in der Firmenzentrale. Erhöhtes Betrugs- oder Bestechungs- und Korruptionsrisiko aufgrund von Zollbeschränkungen und begrenzt geregelten Verträgen und Genehmigungen. Größeres Risiko von Problemen der sozialen Verantwortung, wie internationale Arbeitsnormen, Kinderarbeit und Zwangsarbeit, weil unsere Fabriken in der Lieferkette wegen der Krankheit dunkel werden und sie mit Kinderarbeit und Zwangsarbeit wiedereröffnen. Es ist ein vernetztes Risikoumfeld und wir müssen etwas dagegen tun. Deshalb wird ESG so wichtig und was vielen Menschen wirklich die Augen öffnete, war die Pandemie.

Nick James:

Wow. Da stimme ich Ihnen vollkommen zu, und ich drücke Ihnen nur die Daumen, dass wir zielen und im Star-Trek-Szenario landen werden. Diese ESG könnte ein Leitfaden sein, der uns in diese Richtung führt. Ich habe eine letzte Frage, Michael, und die ist offensichtlich eher aus geschäftlicher als aus persönlicher Sicht. Aber was hält dich nachts wach?

Michael Rasmussen:

Geopolitisches Risiko, kein Zweifel. Aber das kann zu Umweltrisiken und geopolitischen Spannungen führen. Eines der Dinge, die ich seit 15 Jahren beobachte, ist das geopolitische Risiko. Viele Organisationen speisen dies nicht in ihre Unternehmens- und Betriebsrisikoprogramme ein, weil sie sich so sehr auf IT-Sicherheit und andere Dinge konzentrieren, was immer noch ein wichtiges Risiko darstellt. Ich spiele das nicht herunter. Aber ich meine, das geopolitische Risiko ist definitiv das, was mich nachts wach hält, wegen all der Spannungen, die wir sehen, und des Potenzials für Spannungen und globale Störungen. Von der Blockierung des Suezkanals und dem Stillstand in globalen Lieferketten über Umweltkatastrophen und Dinge, die sich auf unsere globalen Unternehmen auswirken könnten, bis hin zu geopolitischen Spannungen, die wir derzeit in der Ukraine und in Russland beobachten. Das geopolitische Risiko steht an erster Stelle.

Michael Rasmussen:

Das andere, das mir in den Sinn kommen würde, ist das Risiko von regulatorischen Änderungen. Finanzdienstleistungen, globale Finanzdienstleistungen beschäftigen sich mit, meine Güte, was ist das? 1.217 regulatorische Änderungen alle … Nein, tut mir leid. Sie haben es jeden Geschäftstag mit 257 regulatorischen Änderungsereignissen zu tun, die von 1.217 Regulierungsbehörden auf der ganzen Welt stammen. Jeden Geschäftstag gibt es so viele regulatorische Änderungen. Neue Vorschriften, Änderungsvorschriften, Durchsetzungsmaßnahmen und einfach mit dem Umfang der Veränderungen in der Umwelt Schritt halten. Die regulatorische Änderung, die Risikoänderung, die Geschäftsänderung, das alles ist extrem herausfordernd.

Nick James:

Michael, das war absolut faszinierend und wir könnten noch lange so weitermachen. Aber ich hoffe, Sie bald persönlich zu sehen, wo wir all dies vielleicht bei einem Glas Rotwein diskutieren können. Absolut wunderbar, Sie wiederzusehen und freuen uns auf ein baldiges Wiedersehen.

Michael Rasmussen:

Ebenfalls.

Nick James:

Danke.