Selbst kleinste Risiken sind vielen zu groß. Diese Neigung vieler Menschen zum Nullrisiko nennen Wissenschaftler den "Zero-Risk Bias” oder "Null-Risiko-Illusion". Dabei verkennen viele Unternehmen, dass Risiko immer zwei Seiten beinhaltet: Eine positiven und eine negative Seite des Risikos. Die positive Seite des Risikos spiegelt sich in Chancen wider.

Das größte Risiko gehen die Unternehmen ein, die nie das kleinste Risiko eingehen wollen. Sie akzeptieren keine Restrisiken und tappen damit in die Falle der "Null-Risiko-Illusion".

Wir müssen uns von der Vorstellung des Nullrisikos verabschieden. Wir müssen lernen, damit zu leben, dass nichts sicher ist. Risiko ist das Salz und der Zucker des Lebens [vgl. Erben/Romeike 2003]. Das Leben wäre ohne das Eingehen von Risiken langweilig.

Allerdings müssen Unternehmen aufpassen, dass die unternehmerische Suppe nicht versalzen wird, sprich Gefahren abwägen und die notwenigen Mittel und Wege einleiten, um Risiken zu minimieren und Chancen zu erkennen. Doch was heißt das konkret in einer Welt, in der bekanntlich Risiko und Chance zwei Seiten einer Medaille sind? Ein entscheidender Faktor ist der Reifegrad im gesamten Risikomanagementprozess.

Vom reaktiven zum integrierten Risikomanagement

Ein Blick in die Kristallkugel verheißt in Märchen oder bei Esoterikern Gutes oder Böses. Es wird orakelt, die Zukunft vorausgesehen. Die Welt wird planbar, weil Gefahren zu erkennen sind. Schöne Fantasiewelt. Die Realität ist davon weit entfernt. Und doch geht es auch darum, dass das Pendel nicht in die andere Richtung ausschlägt. Das Wirtschaftsmagazin "Brand eins" hat es einmal in einem Beitrag als "Das Zeitalter der künstlichen Aufregung bezeichnet" und meint, dass "Risikogesellschafter nach künstlicher Aufregung gieren. "In einer gezähmten Welt schafft man sich künstliche Gefahrensituationen, die stimulieren und, eine oft gehörte Feststellung, noch zeigen, dass man am Leben ist." Tragfähig sind solche Extremen nicht – weder in der einen noch in der anderen Schieflage.  Umso erstaunlicher ist es, dass sich viele Unternehmensentscheider auf das reine und spontane Erahnen als Mittel der Risikoanalyse verlassen oder panisch werden, sobald ein Konjunktiv einer Gewitterfront aufziehen könnte.

Demensprechend werden in dieser sogenannten reaktiven Phase oft nur Großrisiken im Unternehmen erfasst und in einer Art "Risikobuchhaltung" anlassbezogen dargestellt. Eine solide Risikomanagementplanung sieht anders aus. Dass solch ein spontaner Prozess wenig hilfreich ist, um ein modernes Risikomanagement zu unterstützen, war der Tenor des 8. CRISAM Risikomanagement Symposium, Ende Januar in Linz. Was es braucht, ist vor allem ein auf die jeweilige Organisation abgestimmtes System. Für Manfred Stallinger, Geschäftsführer der calpana business consulting GmbH, ist ein risikoorientierter Planungs- und Steuerungsprozess in der Organisation der Grundstein für eine zukunftsgewandte Risikomanagementsicht. Stallinger verweist allerdings darauf, dass das jeweilige System dem Reifegrad der Organisation entsprechen müsse und den Managementprozess von Beginn an unterstützte – inhaltlich, sprachlich, an die jeweilige Unternehmenskultur angepasst.



Abb.: Die unterschiedlichen Reifegrade im Risikomanagement("Risk Maturity Model" oder "maturity level risk management")

Die dahinter liegende Idee ist ein Reifegradmodell im Risikomanagement ("Risk Maturity Model" oder "maturity level risk management"), das in unterschiedlichen Ausprägungen in der jeweiligen Organisation mehr oder weniger verankert ist. Beginnend bei Stufe 1 und dem reaktiven/spontanen Risikomanagementprozess über einen nachvollziehbaren Prozess (Stufe 2) bis hin zum quantitativ gesteuerten (Stufe 4) und dem optimalen Prozess, verstanden als kontinuierlich verbesserten Risikomanagementprozess (inklusive Bandbreitenplanung) als letzte Stufe. Während im ersten Step lediglich ein "initiierter" Prozess vorhanden ist, der von Kollektionsmethoden dominiert wird ("Risikobuchhaltung"), liegt im obersten Level ein optimierter risikoorientierter Planungsprozess vor, der als integraler Bestandteil der strategischen Unternehmensführung verstanden wird. Das Risikomanagementsystem ist direkt in die Unternehmenssteuerung eingebunden und es werden Kreativitätsmethoden sowie analytische Methoden eingesetzt, flankiert von einer fest verankerten Risikokultur.

Risiken reduzieren und Chancen wahren

Trotz aller technischen und vorausschauenden Möglichkeiten, die moderne Risikomanagementmethoden heute bieten, ist und bleibt der Mensch als Entscheider im Mittelpunkt. Vor allem vor dem Hintergrund, dass die Zukunft unsicher ist. Diese Unsicherheit muss transparent und fundiert dargestellt und im Kontext der Entscheidung adäquat berücksichtigt werden.

Bekanntlich sind es die Chancen und Risiken, die Planabweichungen auslösen können. Die Aggregation von Risiken im Kontext der Unternehmensplanung erfordert die Berechnung einer großen repräsentativen Anzahl risikobedingt möglicher Zukunftsszenarien.

Dass die leicht einsetzbaren Simulationsverfahren nicht konsequent genutzt werden, liegt vermutlich daran, dass die Entscheider von Unternehmen die Resultate (Häufigkeitsverteilungen, Bandbreiten) nicht adäquat interpretieren und für Entscheidungen nutzen können. Manfred Stallinger bringt es am Beispiel von Projekten auf den Punkt: "Je höher der Reifegrad einer Projektorganisation, umso höher ist die Leistungsfähigkeit Störungen zu erkennen und gegenzusteuern." Für die Austrian Power Grid AG (APG), als unabhängige Netzgesellschaft Österreichs, ist der Risikomanagementprozess in einem Regelkreislauf fest in der Gesamtorganisation verankert. Die APG versteht nach eigener Definition "Risiko als Möglichkeit der negativen Abweichung von geplanten Unternehmenszielen. Bei der Bewertung und Steuerung von Risiken werden auch die damit verbundenen Chancen in Betracht gezogen."

Von Praktikern lernen: Risikomanagement gelebt, der Prozess stimmig

Im Rahmen des Risikomanagement-Symposiums erläuterte Philipp Bruchbacher, Risikomanagementverantwortlicher bei der APG, den Risikomanagementprozess der APG. Dieser setzt sich aus den Einzelschritten Identifikation, Analyse, Bewertung, Steuerung (Durchführung von Maßnahmen) und Reporting zusammen. Die Aktualisierung und Neubewertung sowie die Berichterstattung innerhalb der APG erfolgen quartalsweise. In die Risikobetrachtung werden alle wesentlichen Risiken einbezogen – von Betriebs- und Projektrisiken über Finanz- und Marktrisiken bis zu rechtlichen Risiken oder Gefahren, die aus Sicherheitsumfeld entstehen können. In diesem Zusammenhang wies Robert Kolmhofer, Professor und Leiter des Departments Sichere Informationssysteme an der Fachhochschule Oberösterreich auf die Schwierigkeit im Umgang mit Informationssicherheitsrisiken ein. So seien Entwicklung im Security-Bereich praktisch nicht vorhersehbar, verbunden mit dem "Hase- und Igelspiel", dass technische Lösungen oft zum Zeitpunkt der Einführung schon unsicher seien. Kolmhofer empfiehlt daher, ein laufendes Risiko-Assessment der Lösungen sowie Notfallpläne und -maßnahmen in der Schublade zu haben und regelmäßig zu aktualisieren.

Eine Gesamtsicht auf Risiken praktiziert auch Technologiekonzern Kapsch BusinessCom AG. Für Unternehmens-CEO, Franz Semmernegg, steht Risikomanagement im Vordergrund, um besser entscheiden zu können: "Ein Risikoinventar für Prüfer und Auditoren zu führen ist nicht ausreichend." Vielmehr entscheidet das Unternehmen auf Basis von Zahlen und Fakten. Risiken werden als Abweichung von geplanten Zielen verstanden.

Wichtig ist für die Kapsch BusinessCom der Bezug zur Unternehmensplanung, der  eine klarere Sicht auf wirkliche Risiken liefere. "Wir betrachten Risikomanagement und Controlling gesamthaft" erklärt Semmeregg. Und er ergänzt: "Im Controlling betrachten wir Planpositionen mit einer Bandbreite möglicher Entwicklungen."

Mit der IT besser planen und vorausschauen

Unterstützung finden Unternehmen jeder Größe dank fortschrittlicher IT-Lösungen. Diese helfen den Risikomanagementprozess organisatorisch zu begleiten und stellen der Unternehmensleitung wichtige Kennzahlen für mittel- und langfristige Entscheidungen bereit. Wie wichtig dieser Prozess ist, verdeutlicht Manfred Stallinger: "Der Risikomanagement-Prozess wird verteilter. Nicht nur Aufgaben müssen den richtigen Empfänger finden, sondern Vorgaben, Richtlinien und Policies müssen nachvollziehbar ihre Adressaten finden." Das heißt, Risikomanagementlösungen müssen in unserer schnelllebigen und global vernetzten Welt jede Menge Aufgaben erfüllen. Angefangen beim Policy- und Audit-Management über die Einbindung von Mitarbeitern via Internet bis zur Integration mobiler Geräte.

Mittlerweile gibt es eine ganze Reihe guter Lösungen zum Risikomanagement als Instrument zur Unternehmenssteuerung. Und das nicht nur für Konzerne, sondern auch auf KMU zugeschnitten. Mit anderen Worten: Ein kritischer Blick auf potenzielle Chancen und Risiken geht Hand in Hand mit professionellen IT-Lösungen im Risikomanagement. Experten verweisen darauf, dass sich die Ära selbstgestrickter In-house-Lösungen à la Excel & Co. dem Ende zuneigt. Der Grund? Moderne Risikomanagement-Informationssysteme sind den "Eigenbasteleien" weit überlegen. Entscheidend ist weniger die Quantität als die Qualität der Aussagen. Um die notwenigen Daten- und Informationsstände zu erhalten, kann die IT eine wesentliche Stütze sein. Für Stallinger liegt in der Wahl der richtigen Lösung ein Hauptaugenmerk für ein erfolgreiches Risikomanagement in der jeweiligen Organisation. "Entscheidend ist dabei ein methodisches Vorgehen, um komplexe Risikomanagementthemen handhabbar und nachvollziehbar zu machen." Und er ergänzt: "Nur mit diesen Parametern kann eine Risikomanagementlösung sinnstiftend und zugleich wertsteigernd im eigenen Haus etabliert werden."

[Bildquelle: © Murat Subatli - Fotolia.com]