"Vorsicht ist das, was wir bei anderen Feigheit nennen." Was schon der berühmte irische Schriftsteller Oscar Wilde erkannte, steckt in den meisten Menschen von Natur aus. Denn wer fasst freiwillig auf eine heiße Herdplatte? Oder wagt als Bergsteiger unangeseilt einen Auf- und Abstieg an der Steilwand? Dahinter verbirgt sich der tief in uns sitzende Instinkt, vorsichtig zu sein. Die Scheu vor Risiken oder einfach die menschliche Vernunft. Unser Frühwarnsystem funktioniert. Zumindest, wenn es um unser Leben geht. Und darüber hinaus? Verwunderung über die oft nackte Risikobereitschaft im beruflichen Umfeld. Im Klartext heißt das: Es mangelt an Vorsicht. Die Folgen sind bekannt und reichen von Datenskandalen durch gestohlene oder vergessene Informationen bis hin zu Finanzturbulenzen und dem unkoordinierten Umgang mit Naturkatastrophen.

Gerade weil aufgrund vermehrter Krisen und Datenpannen rechtliche Anforderungen verschärft beziehungsweise neu geschaffen wurden – unter anderem mit dem Bilanzrechts-Modernisierungs-Gesetz (BilMoG) – ist ein durchgängiges Risikomanagement in Organisationen zwingend notwendig. Doch wie muss das Wissen um (potenzielle) Risiken intern verteilt sein? Und welche Methoden und Hebel sind zu berücksichtigen, um das Risk Management wirkungsvoll in einer Organisation zu etablieren? Fragen, auf die vor allem die Geschäftsführung Antworten finden sollte beziehungsweise eine Vorreiterrolle bei der Lösungsfindung einnehmen muss. Denn neben der Etablierung einer dementsprechenden Risikomanagementstrategie sind die persönliche Verantwortung und das individuelle Haftungsrisiko von Vorständen und Geschäftsführern kontinuierlich gestiegen. Zudem muss das Top-Management eine Unternehmenskultur anstoßen, die ein tragfähiges und zukunftsweisendes Risk Management fördert.

Risikomanagement sucht Strategie

Das Wissen um Schäden und deren Wahrscheinlichkeit setzt eine klare Strategie bei den internen Prozessen und der Wahl der richtigen Methoden der Risikoüberwachung, -bewertung und -steuerung voraus. So verlangt ein durchgängiges Risikomanagement zunächst einen hohen Reifegrad und eine dementsprechende Verlässlichkeit der Prozesse. Insofern sind Programme zur Verbesserung der Prozessqualität der richtige Weg – quer durch alle Hierarchiestufen und Unternehmensbereiche. In diesem Zusammenhang gilt dem mittleren Management eine besondere Beachtung. Diese Gruppe legt meist keine strategischen Ziele fest, entscheidet aber in hohem Maße über den Erfolg des jeweiligen Projektes und beeinflusst somit maßgeblich die Prozessqualität. Hinzu kommt die Ausrichtung der Messverfahren auf relevante Kennzahlen. Dies erfordert unter anderem eine Beurteilung, welche Kennzahl tatsächlich relevant für die Risikobetrachtung ist.

Eine solche Risikoorientierung steigert zudem die Akzeptanz bei den Mitarbeitern und führt zu einer besseren Unterstützung durch das Management. Ein nicht zu unterschätzender Faktor ist die Zeit, den ein Empfänger für ein Reporting aufwenden kann. Von daher empfiehlt sich bei der Wissensvermittlung (Berichterstattung) an Vorstände oder Geschäftsführer ein kurzes Reporting mit einem hohen Anteil an Grafiken. Als Faustregel kann man sagen, je operativer der Informationsempfänger arbeitet, desto detaillierter darf das Reporting ausfallen.

Auch die Wahl der Methode zur Risikobewertung ist entscheidend. Wichtig ist es, das Expertenwissen der Entscheidungsträger einzubinden. Zudem ist der Detaillierungsgrad der Analysen und Modelle sorgfältig zu wählen. Mithilfe fortgeschrittener Ansätze lassen sich zwar unter Umständen genauere Ergebnisse erzielen. Allerdings stellen diese auch hohe Anforderungen an die Qualität der Daten-Inputs und das Verständnis der Beteiligten. Generell gilt hierbei: Eher einfache Methoden, die breit akzeptiert sind und tatsächlich "gelebt" werden, sind in der Regel um ein Vielfaches effektiver als eine "High-End"-Lösung, die die meisten Mitarbeiter überfordert. Für eine zukunftsorientierte Unternehmenssteuerung empfehlen sich außerdem Szenarioanalysen und so genannte Stresstests. Durch das "Durchspielen" unterschiedlicher Konstellationen lassen sich potenzielle Entwicklungen transparent darstellen. Die Frage "Was wäre wenn"?, die im Rahmen dieser Analysen gestellt wird, gibt gleichzeitig wichtige Hinweise auf bestehende Defizite und legt die neuralgischen Punkte offen, bei denen der dringendste Handlungsbedarf besteht.

Als Beispiel lassen sich die Bankenstresstests nennen. Diese wurden durchgeführt, um abschätzen zu können, ob bzw. wie gut unterschiedliche Banken eine eventuelle Verschlechterung der wirtschaftlichen Rahmenbedingungen verkraften können.

Um das Wissen im Bereich der zukunftsorientierten Risikobewertung voranzutreiben, ist ein grundsätzliches Verständnis über den Sinn und Zweck interdisziplinären Arbeitens sowie neuer Methoden erforderlich. Ein klarer Auftrag an Entscheider, die den Prozess im Unternehmen initiieren müssen.  

Weniger ist mehr oder Unternehmenskultur

Unternehmen sitzen beim Thema Wissensmanagement oft zwischen zwei Stühlen. Einerseits müssen sie gesetzliche Vorgaben im Umgang mit Informationen und potenziellen Risiken erfüllen und andererseits ein Knowledge-Management etablieren, das den Freigeist in der Organisation nicht hemmt und das Erfindertum fördert. Somit kann ein zu viel an Regeln und Organisation Firmen blockieren. Oder wie es der Direktor des Instituts für Unternehmer- und Unternehmensentwicklung Gerd Walger im Wirtschaftsmagazin "brand eins" formuliert: "In den meisten Organisationen lähmen zu viele Regeln die Organisation, das selbstständige Denken und die persönliche Verantwortung der Mitarbeiter." Doch was bedeutet dies im Umkehrschluss?

Walger plädiert dafür, dass Unternehmen sich fragen sollten, welche Regeln notwendig sind, um den Gestaltungsfreiraum in einer Organisation nicht zu behindern – also lediglich "Mindestorganisationsbedingungen" zu definieren. In letzter Konsequenz verlangt ein solches Verfahren eine starke Unternehmenskultur. Diese muss in einer Organisation wachsen und von allen Unternehmensbereichen verinnerlicht werden. Initiiert und getragen von der Firmenleitung bis hin zu jedem einzelnen Mitarbeiter, der sich als Teil des Ganzen verstehen sollte. Für Unternehmen ergeben sich daraus bestimmte Parameter, an denen ausgerichtet eine organisationsinterne Struktur wachsen sollte.
Hilfreich sind in diesem Zusammenhang zum Beispiel klare Verhaltensregeln im Umgang mit sensiblen Firmendaten und Risiken, gekoppelt mit einer Art Belohnungssystem für jeden Mitarbeiter. In diesen internen Denk- und Wandlungsprozess ist zudem zu empfehlen, die Mitarbeitervertretung eines Unternehmens bereits frühzeitig einzubinden. Hierbei ist es wichtig, dass eine starke Unternehmenskultur zum Wohle aller etabliert wird und transparente Verhaltensregeln nicht zum Zweck von Sanktionen eingeführt werden, sondern dem Schutz des Unternehmens und des gesamten Wissensmanagementprozesses dienen.

Fazit

Mit Sicherheit ist das Thema Risikomanagement auf einem guten Weg und bei der Mehrzahl der Entscheider ist es bereits angekommen. Allerdings steht es auf der Prioritätenliste häufig noch immer nicht ganz oben. Dass sich das ändern muss, zeigt ein Blick auf die letzten Datenskandale und Krisen. Zumal die Mehrheit der weltweiten Datenvorfälle auf Organisations- und Überwachungsversagen zurückzuführen ist. Wollen Unternehmen zukünftig den Informationsabfluss stoppen oder aufgrund von Krisen Millionenschäden für Firmen sowie rechtliche Konsequenten samt unkalkulierbarer Reputationsschäden verhindern, sind mehr Vorsicht, Vernunft und bessere Risikostrategien unumgänglich.

Wichtige Eckpunkte beim Risikomanagement

> Richtige Methoden zur Risikoüberwachung, -bewertung und -steueurng wählen
> Prozesse brauchen einen hohen Reifegrad (Stichwort: Prozessqualität)
> Relevante Kennzahlen für die Risikobetrachtung wählen
> Kurze Reportings für Entscheider
> "Keep it simple" bei der Methodenwahl
> Szenarioanalysen und Stresstests ein- und durchführen
> Grundverständnis über interdisziplinäres Arbeiten fördern
> Entscheider müssen den Prozess initiieren
> Aufbau einer dementsprechenden Unternehmenskultur (unter der frühen Einbindung aller Unternehmensbereiche)
> Einführung klarer Verhaltensregeln

Zum Autor:

Dr. Roland Franz Erben ist Vorsitzender des Vorstands der Risk Management Association (RMA) e. V.



[Bildquelle: iStockPhoto]