Kolumne

Reputation ist kein "weicher Faktor" mehr

Unternehmen in der Vertrauenskrise

Carina Sieler, Hans-Christoph Noack01.12.2014, 08:10

Eine gute Reputation steht für das Vertrauen der wichtigsten Stakeholder in das Unternehmen. Sie gilt als einer der bedeutendsten immateriellen Vermögensgegenstände und ist eine zentrale Quelle von Wettbewerbsvorteilen. Allerdings kann die Reputation in wenigen Tagen beschädigt werden, wie einige aktuelle Beispiele zeigen: Die Modekette Primark, bekannt bei jugendlichen Konsumenten für billige und gleichwohl modische Textilien, gerät ein Jahr nach dem Einsturz der Textilfabrik in Bangladesh wegen ihrer zweifelhaften Supply-Chain-Praktiken erneut in ein Glaubwürdigkeitsdilemma. Eingenähte Hilferufe asiatischer Tagelöhner tauchen in angebotenen Kleidungsstücken auf. Ob es sich dabei um Fälschungen handelt oder die Nachrichten authentisch sind, ist für die Reputation von Primark zweitrangig. Die öffentliche Meinung hält es für glaubhaft, dass sich das Unternehmen bei der Produktion seiner Kleidung nicht an ethische Mindeststandards hält und Subunternehmen lax kontrolliert.

Für den drittgrößten US-Einzelhändler Target hat sich der Großangriff auf vertrauliche Kundendaten Ende 2013 zu einem Desaster entwickelt. Datendiebe konnten Kreditkartendaten von 40 Millionen Kunden stehlen. Target erlitt in der Konsequenz einen erheblichen Umsatzeinbruch im wichtigen vierten Quartal. Im Vergleich zum Vorjahr büßte das Unternehmen 46 Prozent seines Gewinns ein. Auch andere Unternehmen sind Objekt von Cyberattacken, aber Target hat offenbar moderne Anforderungen an die Datensicherheit und unternehmensinterne Warnungen sträflich ignoriert und zudem ein völlig unzureichendes Krisenmanagement gezeigt. Vor allem die späte und nur schrittweise Kommunikation über das Ausmaß des Hackergriffs hat dem Ansehen geschadet. Auch wenn ein Teil des unmittelbaren finanziellen Schadens versichert und der Börsenkurs des Unternehmens weitgehend unberührt geblieben ist, der Vorfall hat die Kundschaft und die Lieferanten des Händlers massiv verunsichert und damit einen erheblichen Reputationsschaden verursacht. Als persönliche Konsequenz musste Konzernchef Gregg Steinhafel im Mai 2014 das Unternehmen verlassen, auch andere leitende Manager verloren ihre Posten.

An Produktrückrufe von Automobilherstellern hat sich die Öffentlichkeit gewöhnt. Erfolgen sie zeitnah und offensiv, dann leidet das Ansehen kaum. Ganz anders General Motors (GM): nach einer Serie verspäteter Rückrufaktionen ist der Reputationsschaden für den Hersteller immens. Allein im ersten Halbjahr 2014 musste das Unternehmen wegen gravierenden Sicherheitsproblemen weltweit 29 Millionen Autos zurückrufen. Nach Medienberichten rollt eine Kostenlawine auf den Automobilhersteller zu, die ohne Beispiel ist. Außerdem musste GM wegen des über 10 Jahre verschleppten Rückrufs von Fahrzeugen mit defekten Zündschlössern eine Strafe von 35 Millionen Dollar an die US-Verkehrssicherheitsbehörden zahlen.
Ein beschädigter Leumund kann also ganz reale wirtschaftliche Folgen haben. Die oft bemühte These, Reputation sei lediglich ein "weicher Faktor" für die Erreichung von Erfolgszielen, wird damit ad absurdum geführt.

Was sind Reputationsrisiken?

Reputationsrisiken stehen für mögliche Beschädigungen der Unternehmensreputation. Sie entstehen dadurch, dass die Erwartungen der Stakeholder nicht mehr erfüllt werden können und sie daraufhin ihr Verhalten verändern. Kunden wenden sich ab, Mitarbeiter verlassen das Unternehmen, NGOs rufen zu Boykotten auf, langfristige Partnerschaften mit Lieferanten werden gelöst, Aufsichtsbehörden verschärfen die Überwachung.

Dabei kann zwischen zwei grundsätzlichen Interpretationen unterschieden werden:

  • Reputationsrisiken als originäre Risikokategorie ("reputational risk") oder
  • Reputationsrisiken als mögliche Konsequenz anderer Risiken ("risk of risks" oder "reputational impact"), genau genommen also Reputationsschäden als zusätzliche Auswirkungsdimension neben rein finanziellen Schäden. Nach dieser Auffassung, der wir hier folgen, können Reputationsschäden praktisch aus allen möglichen Risiken folgen, etwa schlechter Corporate Governance, unethischen Praktiken, Cyber-Risiken, Lieferkettenstörungen oder einem betrieblichen Unfall.

Management von Reputationsrisiken keine leichte Aufgabe

Bei Finanzdienstleistern gibt es bereits erste Ansätze, Reputationsrisiken in bestehende Risk Management-Systeme zu integrieren. In der Industrie hingegen steckt das Management dieser Risiken noch in den Anfängen. Hierfür gibt es eine Reihe von Gründen:

  • Die Reputation ist zwar unzweifelhaft ein zentrales Asset von Unternehmen, aber Ausmaß und Veränderung sind nur schwer messbar. Um mögliche Erwartungslücken der Stakeholder zu identifizieren und daraus resultierende Verhaltensänderungen abzuschätzen, gibt es keine "buchhalterischen" Messkonzepte.
  • Überdies haben Reputationsrisiken durch globale Kommunikationskanäle und ständige Medienpräsenz eine hohe Eigendynamik. Statische Risikobetrachtungen helfen daher wenig, weil vor allem vorausschauendes Handeln insbesondere im Krisenfall gefragt ist. Oft eskalieren Rufschädigungen erst durch die Art und Weise, wie Unternehmen mit Risiken umgehen, zur eigentlichen Vertrauenskrise. Wer leugnet, abstreitet, ignoriert oder überzogene juristische Mittel einsetzt, sorgt oft erst dafür, dass die Situation aus dem Ruder läuft. Krisensituationen werden durch Kommunikationsfehler unnötig verschärft. Schließlich sorgen die sozialen Netzwerke für eine extreme Beschleunigung. Heute sind die ersten Stunden für eine Krisenbewältigung ausschlaggebend. "Es dauert zwanzig Jahre, sich eine Reputation zu erwerben und fünf Minuten, sie zu verlieren. Wenn man das im Auge behält, handelt man anders", sagt der US-Investor Warren Buffet zutreffend.
  • Erschwert wird ein gutes Reputationsmanagement dadurch, dass es sich um ein typisches Schnittstellenthema handelt. Viele Bereiche sind involviert: Unternehmensleitung, Kommunikationsbereich, Chief Risk Officer, Marketing, Corporate Social Responsibility, Investor Relations, Rechtsabteilung und möglicherweise vorhandene interne Strategieexperten. Aber es gibt in aller Regel keine klaren Verantwortlichkeiten. Vor allem in der Industrie überlassen Risk Manager das Management der Unternehmensreputation lieber den PR-Abteilungen.
  • Schließlich sind die Möglichkeiten des Risikotransfers beschränkt. Es ist heute kaum möglich, das eigentliche Kernrisiko adäquat abzusichern. Stattdessen unterstützt zum Beispiel der Industrieversicherer Allianz Global Corporate & Specialty (AGCS) bei seinen Versicherungsnehmern die Analyse möglicher Reputationsrisiken und übernimmt im Krisenfall die Kosten für geeignete externe Kommunikationsexperten und den Mediaaufwand.

Worauf kommt es an, wenn man Reputationsrisiken zukünftig besser managen will?

Messung und Monitoring von Reputationsrisiken

Bislang dominiert bei Risikobetrachtungen eine Inside-Out-Betrachtung. Unter dem Reputationsaspekt gewinnt eine Outside-In-Perspektive eine zentrale Rolle, denn die Sichtweise ihrer wichtigsten Anspruchsgruppen ist für die Unternehmensreputation entscheidend. Kunden, Investoren, Mitarbeiter, Medien, Gewerkschaften, NGOs, Aufsichtsbehörden und die Politik fällen ihre Urteile. Die sind durchaus unterschiedlich, aber wenn die Einzelurteile – befeuert durch die Sozialen Medien – einen Trend ergeben, können sich Erwartungen an ein Unternehmen spürbar ändern, und das meistens zu dessen Lasten. Risiken, die aus unternehmensinterner Sicht eher operativer Natur sind (zum Beispiel kritische Arbeitsbedingungen oder Missachtung von Umweltauflagen), manifestieren sich in der Außensicht unter Umständen als Reputationsrisiken großen Stils.

Wie können neu aufkommende Meinungen, Stimmungen und Trends laufend verfolgt und Veränderungen frühzeitig erkannt werden? Bislang gibt es keinen Königsweg zur Erhebung und Verfolgung von Stakeholder-Erwartungen. Nützliche Tools sind rollierende Medienanalysen, Focus-Group-Interviews, Self Assessments oder regelmäßige Stakeholderbefragungen. Sie können helfen, herannahende Probleme des unternehmenseigenen Geschäftsmodells zu erkennen, die das Potenzial haben, die Erwartungen der Stakeholder und ihr Verhalten zu verändern. Jüngste Beispiele sind die Umweltrisiken des Fracking und die Landschaftszerstörung durch neue Stromtrassen.

Für kritische Problemlagen bietet es sich an, denkbare Risikoszenarien zu simulieren, zum Beispiel mit Hilfe der Business-Wargaming-Methode. Dazu werden die Verhaltensweisen verschiedener Stakeholder in mehreren Runden simuliert und die Wirkungsmechanismen ihrer möglichen Aktionen und Reaktionen transparent gemacht. Auf dieser Basis kann ein Unternehmen schließlich erste grobe quantitative Abschätzungen vornehmen, welche (un-) mittelbaren wirtschaftlichen Folgen aus dem Verhalten der Stakeholder resultieren können.

Governance und Risikosteuerung

Wie gut ist ein Unternehmen vorbereitet, um die erkannten Risiken zu adressieren? Welche möglichen Antworten stehen zur Verfügung? Wie passen diese zum eigenen Unternehmen, wie ist der kulturelle und strategische "Fit"? Und wie kommuniziert man am besten mit der relevanten Öffentlichkeit? Wer ist für den Umgang mit Reputationsrisiken im Unternehmen verantwortlich?

Im Krisenfall kann die Verantwortung angesichts der kurzen Reaktionszeiträume nur beim CEO liegen, unterstützt von einem abteilungsübergreifenden Krisenteam. Dieses Team muss schon bestimmt sein, bevor es zu einer Krise kommt. Es setzt sich aus Entscheidungsträgern unterschiedlicher Bereiche zusammen und ist durch Krisentrainings erprobt, denn die Krise kommt immer zur Unzeit. In der Regel gilt, dass schnelle und transparente Kommunikation sowie die Übernahme von Verantwortung ausschlaggebend sind, um eine Reputationskrise überhaupt ohne größeren Schaden in den Griff zu bekommen.

Für den Präventionsteil sind die Verantwortlichkeiten und Prozesse genauer zu differenzieren. Die Messung und das regelmäßige Monitoring von Reputationsrisiken können vom Kommunikationsbereich koordiniert werden. Linienmanager in Operations, Marketing und Vertrieb wissen in der Regel eher als Corporate-Abteilungen, welche Themen die Stakeholder bewegen. Entsprechend können sie zwar die Bedeutung von Issues für eigene Produkte, Services oder die Supply Chain bewerten, nicht aber für die Unternehmensreputation als solches. Wenn Stakeholder ihre Erwartungen plötzlich ändern, muss das Unternehmen geeignete Antworten finden. Diese sollten im Rahmen eines cross-funktionalen und hochrangig besetzten Reputational Risk Committee festgelegt werden.

Der Chief Risk Officer (CRO) übernimmt das regelmäßige Reporting wesentlicher Bedrohungsszenarien an die Unternehmensleitung und sorgt für die Verzahnung mit dem unternehmensweiten Risikocontrolling. Unternehmenskommunikation und Investor Relations verantworten schließlich, dass ein schlüssiger Außenauftritt des Unternehmens gelingt.
Je besser diese Verantwortlichkeiten miteinander verzahnt sind, umso eher wird es gelingen, rasch in einen vertrauensvollen Dialog mit den wichtigsten Stakeholdern zu treten.
Darüber hinaus müssen Reputationsrisikoüberlegungen fester Bestandteil strategischer Entscheidungsprozesse über neue Geschäftsmodelle, Projekte, Investitionen und Produkte werden.

Fazit und Ausblick

Leider haben in den vergangenen Jahren viele Corporate Risk Manager vor allem auf eine weitgehende Quantifizierung von Risiken mit Eintrittswahrscheinlichkeit und Schadensausmaß in Form einer Riskmap gesetzt. Diese Entwicklung wird Reputationsrisiken nicht gerecht. Ganz im Gegenteil: Eine solide qualitative Risikobewertung oder eine szenarioorientierte Beschreibung (etwa mit Hilfe eines Worst-Case-, Best-Case- oder Realistic-Case-Szenarios) ist häufig der bessere Weg.

Glücklicherweise starten die meisten Unternehmen nicht bei null. Ein Reputation Risk Review ist ein guter Einstieg, um bestehende Ansätze für das Management von Reputationsrisiken aufzunehmen und den eigenen Weiterentwicklungsbedarf zu erkennen. Größte Hürde ist erfahrungsgemäß der nötige Kulturwandel: Die Unternehmen müssen lernen, zuzuhören, was die externen Stakeholder bewegt und was sie vom Unternehmen erwarten. Das ist ein längerfristiger Prozess, der am Ende jedoch zu einer soliden Reputation führen kann und ein Unternehmen gegen negative Schlagzeilen robuster macht. Unternehmen, die nicht die Augen davor verschließen, durch welche Denkweise Reputationsprobleme verursacht werden, sind auf dem richtigen Weg. Oder, um mit Albert Einstein zu sprechen: "Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind."

Autoren:

Dr. Carina Sieler,

Hans-Christoph Noack, Proconio Management Consultants GmbH, Köln

[ Bildquelle: © by-studio - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Methoden im Risikomanagement

Komplex oder kompliziert – das ist die Frage

Frank Romeike | Herbert Saurugg06.10.2017, 11:02

Nachdem wir immer wieder auf die fälschliche Verwendung des Begriffs "Komplexität" stoßen, möchten wir mit diesem Beitrag eine einfach verständliche Erklärung liefern, was unter Komplexität...

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...