Die Krux mit den Risiken

Diejenige Pensionskasse, die ihre Risiken perfekt im Griff hat, werfe den ersten Stein. Zu (fast) allem gibt es inzwischen detaillierte Standards oder verbindliche Regeln. Sei es für die Erstellung eines Nachhaltigkeitsberichts oder für die Führung einer Pensionskassen-Buchhaltung, nicht jedoch für das Risikomanagement und das interne Kontrollsystem (IKS).

Zwar gibt es verbindliche Pflichten für das oberste Organ einer  Pensionskasse. So steht in Art. 51a Abs. 2 lit f. BVG, dass der Stiftungsrat die strategische Verantwortung für die Gestaltung des internen Kontrollsystems trägt. Zudem ist ein besonderes Augenmerk auf die Risiken bei den Vermögensanlagen zu richten. Und zu guter Letzt verlangt die OAK von Pensionskassen im Wettbewerb ein «umfassendes Risikomanagement mit Transparenz- und Dokumentationspflicht». Doch nirgends ist festgehalten, wie dies genau erfolgen soll.

Wie wichtig das Managen von Risiken ist, hat uns jüngst der Iran-Krieg aufgezeigt. Wer hätte gedacht, dass die «sicheren» Golfstaaten ins Visier von Drohnen und Raketen geraten? All die Einwohner, Expats und Touristen vor Ort auf jeden Fall nicht. Haben die Vereinigten Arabischen Emirate das Kriegsrisiko richtig eingeschätzt? In Anbetracht der Tatsache, dass es in ganz Dubai nicht einen einzigen öffentlich zugänglichen Luftschutzkeller gibt, wohl kaum. Risikomanagement ist eben nicht nur Analyse bekannter Risiken, sondern auch «expect the unexpected».

Zurück zu den Pensionskassenrisiken: Zuerst stellen sich die Fragen, was unter Risiken verstanden wird und welchen Risiken eine Pensionskasse ausgesetzt ist. Letztlich kann alles auf ein Risiko heruntergebrochen werden: das Risiko, als Ganzes nicht mehr weiter existieren zu können. Immer wieder habe ich festgestellt, dass die Crux mit dem Risikomanagement ist, sich einig zu werden, was Risiken sind und in welcher Granularität sie definiert werden.

Der Duden meint: «Unter einem Risiko versteht man die Möglichkeit einer negativen Entwicklung, die aus unsicheren zukünftigen Ereignissen entsteht und mit nachteiligen Auswirkungen verbunden sein kann.» ISO geht noch einen Schritt weiter und definiert Risiko als «die Auswirkung von Unsicherheit auf die Zielerreichung », womit auch positive Abweichungen als Risiken zählen. Worin sich alle einig sind: Ein Risiko wird über die möglichen Folgen und die Wahrscheinlichkeit des Eintritts desselben beschrieben und gemessen.

Vor einigen Jahren haben wir uns bei der  Pensionskasse der Stadt Winterthur für ein integrales, webbasiertes Risikoüberwachungs-  und IKS-Tool entschieden. Die Zeiten, als die Risiken und Prozesse noch mit Standalone-Excel-Tabellen überwacht wurden, haben wir damit hinter uns gelassen. So wie sich die Risiken und die Arbeitsabläufe bei einer Pensionskasse laufend verändern, so ist auch das Tool in einem permanenten Veränderungsprozess. Was am Anfang mit viel Aufwand und wenig Ertrag angefangen hatte, hat sich zu einem nicht mehr wegzudenkenden operativen Hilfsmittel und strategischen Führungsinstrument gemausert.

Da das Tool in seiner heutigen Form in erster Linie bei der Überwachung von Risiken und Prozessen seine guten Dienste erweist, sind neue Fragen aufgeworfen worden. Zum einen: Wie kann die Berichterstattung über den Verlauf der Risikoüberwachung gestaltet werden? Und zum anderen: Wie kann die zukunftsgerichtete Risikosteuerung verbessert werden?

In diesem Jahr haben wir erstmals eine quantitative Auswertung der Aktivitäten vorgenommen, die uns ermöglicht, eine vergangene Zeitperiode systematisch zu analysieren. Zudem musste die Geschäftsführung vordefinierte qualitative Fragen für die gleiche Zeitperiode beantworten. Beispielsweise lautet eine von rund zwanzig Fragen: «Mussten neue Prozesse in IKS aufgenommen, gelöscht oder angepasst werden, und falls ja, welche und weshalb?» Der so erarbeitete Risiko- und IKS-Jahresbericht wurde dem Stiftungsrat zur Kenntnisnahme vorgelegt. Zudem hat er  zuhanden der Revisionsgesellschaft die Zwecksmässigkeit des IKS bestätigt.

Zwar verfügen wir nun über ein effizientes Überwachungs-, aber noch nicht über ein zukunftsgerichtetes Steuerungsinstrument. Zur strategischen Führung einer Pensionskasse gehört es, die Risiken immer wieder zu hinterfragen. Werden die relevanten Risiken mit zielführenden Massnahmen überwacht? Eine Idee ist es, sich mittels Risk Committee periodisch Gedanken zur Wirksamkeit des Risikomanagements und des IKS, aber eben auch zu den «expect the unexpected»-Risiken zu machen.