Bei Diskussionen um Fintech-Startups geht es fast ausschließlich um deren disruptives Potenzial und die Geschwindigkeit, mit der sie Marktanteile erobern. Einige Experten sorgen sich um die regulatorischen Grauzonen, in denen Fintechs oft agieren – aber über die Ausgestaltung von Risikomanagement werden interessanterweise nicht viele Worte verloren. Warum eigentlich? Jeder Wagniskapitalgeber weiß, dass sein Einsatz von immensen Risiken begleitet ist.
Je nach Strategie und Geschäftsmodell unterscheiden sich FinTechs[1] dabei nicht grundsätzlich von konventionellen Finanzdienstleistungsunternehmen (FDLs) was die Art ihrer Risiken angeht. Wenn man nun davon ausgeht, dass Eigentümer, Aufsichtsräte und Geschäftsführer dieser Unternehmen ein vitales Interesse an den ihr Geschäft betreffenden Risiken haben und daran, dass ein angemessenes Risikomanagement stattfindet, sollte das Thema Risikomanagement in keiner Sitzung dieser Stakeholder fehlen – ebenso wie dies bei anderen Unternehmen der Fall ist. Dies liegt auf der Hand, da das Risikomanagement entscheidend zur stabilen Entwicklung und zur Vermeidung teurer Fehler (Risikoereignisse) beiträgt, mithin also über das Wohl eines Unternehmens zumindest mit entscheidet. Der oft gewählte Ansatz, zunächst das Geschäft zu entwickeln und dann, wenn die Kassenlage dies zulässt, in „nützliche, aber nicht notwendige“ Dinge wie Risikomanagement (auch Qualitätskontrolle, Innenrevision und dergleichen mehr) zu investieren, ist unter dieser Prämisse nicht haltbar. Gerade weil in der Start-up-Phase eines Unternehmens besonders wesentliche Risiken vorliegen.
Warum also nicht die Erfahrungen aus dem konventionellen Finanzgeschäft nutzen und mit den entsprechenden Anpassungen auch in Fintech-Start-ups effektive Risikomanagementsysteme etablieren? Natürlich müssen hierbei – im Vergleich zu den üblichen Lösungen bei konventionellen FDLs – Anpassungen vorgenommen werden, um die unbedingte Anforderung des Risikomanagementsystems zu gewährleisten. Aber das trifft ja auch schon innerhalb der konventionellen FDLs zu, deren Geschäftsmodelle (und damit die Anforderungen an das jeweils am besten geeignete Risikomanagementsystem) stark voneinander abweichen.
An erster Stelle steht ein umfassendes Risiko-Assessment zur Bestimmung aller für das Fintech-Unternehmen wesentlichen Risiken. Die „üblichen Verdächtigen“ bei FDLs, die auch bei den Fintech-Startups untersucht werden müssen, sind Kreditrisiken, Zins- und Fremdwährungsrisiken, Gegenparteirisiken und Operationelle Risiken inklusive den Risiken aus dem Bereich Informationssicherheit. Daneben sollten bei Fintech-Startups folgende für diese besonders relevanten Risiken besondere Berücksichtigung finden: Strategisches Risiko, Liquiditätsrisiko und spezielle Umstände aus dem Bereich der Operationellen Risiken.
Beginnend beim letzten dieser besonders relevanten Risiken sollte die Anhängigkeit von Schlüsselpersonen eingehend untersucht werden. Diese müssen erkannt und bewertet werden, um die jeweils adäquaten Maßnahmen zu treffen – zur Minderung des Ausfallrisikos selbst, und um Vorbereitungen für den möglichen Ausfall solcher Schlüsselpersonen zu treffen.
Da es sich bei Start-ups vorwiegend um junge Unternehmen mit zumeist junger Belegschaft handelt, sind des Weiteren das Prozessrisiko und das Risiko von menschlichen Fehlern hoch einzuschätzen. Dies wiederum muss bei der Etablierung interner Kontrollen berücksichtigt werden, ohne dabei die für das Unternehmen notwendige Flexibilität über Gebühr einzuschränken. Aber auch der rasche Wandel und die hohe Flexibilität des Unternehmens selbst, die in der Start-up-Phase notwendige Eigenschaften sind, um rasch auf unerwartete Entwicklungen oder spontan auftretendes neue Anforderungen reagieren zu können, stellen eine Quelle erhöhten operationellen Risikos dar. Dies liegt daran, dass der permanente Wandel bei Mitarbeitern zu Verwirrung darüber führen kann, welche Prozesse wie auszuführen sind oder wie sich Zuständigkeiten ändern.
Noch größere Bedeutung haben aber die Risiken aus dem Bereich Informationssicherheit. Der Erfolg des Start-ups hängt maßgeblich von der erfolgreichen Entwicklung und dem erfolgreichen Betrieb der IT-Systeme ab. Besondere Risiken ergeben sich daraus, dass junge Entwickler ein schnelles Programmierergebnis oft dem überlegten Entwurf vorziehen. Dabei wird jedoch die Notwendigkeit und Effizienz von durchdachten und mit den Produktverantwortlichen abgestimmten Anforderungen (funktionale Spezifikation), von Programmentwürfen und IT-Dokumentation ignoriert, was regelmäßig zu deutlich höherem Entwicklungs- und Wartungsaufwand führt. Es ist ein Missverständnis zu glauben, dass agile Programmierung den diesbezüglichen Aufwand überflüssig macht. Das sich ergebende Risiko ist dann besonders groß, wenn die Unternehmensleitung entsprechend „infiziert“ ist. Nicht jeder talentierte Codierer ist auch gleichzeitig ein guter CTO, CIO oder sogar CEO. Zudem ist Schnelligkeit bei der Codierung nicht immer besser als Qualität, auch wenn für einige Fintech-Modelle die Konkurrenz hoch ist und Marktanteile möglichst rasch wachsen sollen. Diese können nämlich bei Qualitätsmängeln auch sehr schnell wieder verloren gehen. Eine regelmäßige Überprüfung der IT-Prozesse durch einen erfahrenen IT-Auditor und der Aufbau eines Informationssic
herheits- Managementsytems wie z. B. nach BSI oder ISO sind hier sicher hilfreich, um Fehlentwicklungen von Anfang an zu vermeiden.
Ein weiterer Bereich von größter Wichtigkeit für ein Startup-Unternehmen ist dessen Liquidität. Um die Liquiditätsrisiken eines Start-ups gut zu managen, sollten die gleichen Elemente eines Systems zum Management von Liquidität wie bei jedem anderen Unternehmen von Anfang an installiert werden: eine Übersichtstabelle, einschlägige Liquiditätskennzahlen, ein Liquiditätspuffer in Abhängigkeit des jeweiligen Liquiditätsrisikos und der Zugang zu alternativen Finanzierungsquellen für den „Ernstfall“. Dies mag vielen Start-ups als unnötig erscheinen, weil sie für die erste Zeit durch Eigenkapitalgeber bequem ausgestattet wurden. Diese komfortable Situation kann sich jedoch bei Änderungen der Rahmenbedingungen (plötzlicher wirtschaftlicher Erfolg oder unerwarteter Kostenanstieg aus anderen Gründen) sehr schnell ändern. Dann ist die Fähigkeit, Liquidität gut zu steuern, überlebenswichtig.
Der letzte Risikobereich, in dem sich Start-ups von etablierten Unternehmen stark unterscheiden, ist der des strategischen Risikos. Anders als bei etablierten Unternehmen ergibt sich bei Start-ups öfter und schneller die Notwendigkeit, die Geschäftsstrategie zu überprüfen und gegebenenfalls radikal anzupassen. Nicht, dass etablierte Unternehmen sich hier abwartend zurücklehnen könnten, aber sie haben je nach finanzieller Stabilität die Möglichkeit strategische Anpassungen über einen langen Zeitraum vorzubereiten, während Start-ups sich möglicherweise innerhalb von Wochen neu ausrichten müssen. Die wesentliche Fähigkeit muss dabei darin liegen, strategische Notwendigkeiten rasch zu identifizieren und radikal umzusetzen – eine Fähigkeit, die Start-ups und ihr Management normalerweise ohnehin bereits haben. Aber um sicherzugehen, dass entsprechende Risiken identifiziert und bewertet werden und entsprechend zu handeln, ist ein Risikomanagementsystem die richtige Maßnahme.
Wer nun sollte sich darum kümmern, das jeweils angemessene Risikomanagement in einem Start-up aufzubauen? Wie in anderen Unternehmen ist dies die Aufgabe des Aufsichtsrats, der entsprechend von den Eigentümern instruiert sein sollte. Denn es ist der Aufsichtsrat, der dafür Sorge zu tragen hat, dass das ihm anvertraute Unternehmen die richtigen strategischen Entscheidungen trifft und diese umsetzt. Dazu gehört ein gut funktionierendes Risikomanagement- und Kontrollsystem.
Wann sollte ein Start-up ein Risikomanagement-System aufbauen? Ganz klar in der je nach Entwicklungsstand angemessenen Art und Weise von Anfang an! Von den vielen Start-ups, die versuchen sich zu etablieren und wirtschaftlich erfolgreich zu sein, schaffen dies nur die wenigsten. Bei den meisten bliebt der Erfolg aus, obwohl sie ein über ein erfolgversprechendes Geschäftsmodell verfügen. Die Antwort auf die Frage, was ein Start-up (oder auch andere Unternehmen) scheitern lässt, liegt zu einem großen Teil innerhalb des Risikomanagements – egal, in welcher Entwicklungsphase das Scheitern eintritt. Manager, Aufsichtsräte und Anteilseigner tun also gut daran, an dieser Stelle angemessen zu investieren: Um die Chancen auf Erfolg zu vergrößern und das Start-up zur Profitabilität zu führen, bevor das Eigenkapital oder die Geduld der Eigenkapitalgeber aufgebraucht sind. Dies sollte schon dann geschehen, wenn die entsprechenden regulatorischen Anforderungen noch nicht geklärt sind. Denn es geht nicht darum, die Aufsichtsbehörden zufriedenzustellen, sondern möglichen Schaden vom Unternehmen fernzuhalten.
[1]Ich verstehe hierunter Firmen, die auf Grundlage neuer Technologien verbesserte Finanzdienstleistungen bereitstellen.