Von der Risikokartierung zum Risikomanagement

"Fertig! Wir haben unser “Risikokarte”, wir haben das Risikomanagementprojekt abgeschlossen". Das denken wahrscheinlich Viele, wenn sie die Risikokartierung ihrer Organisation sehen. Denn um an diesen Punkt zu gelangen, haben sie typischerweise eine Reihe von Workshops zur Risikoidentifizierung, Findung von Massnahmen zur Risikomitigation und Besprechungen zu redaktionellen Überarbeitungen verschiedener Entwürfe sowie Festlegung von Verantwortlichen usw. durchlaufen bzw. durchlitten.

Da ist die Versuchung gross, die Risikokartierung mit Risikomanagement gleichzusetzen.

Das ist so, als wäre der der Kauf von einem Paar teurer Laufschuhe schon das Training, um einen Marathonlauf absolvieren zu können. So funktioniert das aber (leider) nicht. Mir sind durchaus Unternehmen begegnet, die ohne eine formell umgesetzte Risikokarte ein besseres Risikomanagement betreiben als andere, die zwar eine Risikokartierung und ein formell umgesetztes Modell haben, die aber kein eigentliches Risikomanagement betreiben, sondern lediglich einige selbst auferlegte oder von einer Aufsichtsbehörde geforderte Formalitäten einhalten.

Das ist vor allem dann zu beobachten, wenn die Unternehmensleitung Risikomanagement im Grunde fuer hinderlich hält. Dabei sollte gerade die Unternehmensleitung Interesse an einem guten Risikomanagementmodell haben und der Chief Risk Officer (CRO) ihr strategischer Verbündeter sein. Das gilt umso mehr für Unternehmen, die in Regionen oder Geschäftsfeldern mit einem hohen Grad von Ungewissheiten und Volatilitäten arbeiten.

Wenn wir Risiko als das definieren, was uns von unserem Ziel abbringen kann, ist es einfacher, Risikomanagement als ein hilfreiches Instrument für die Zielerreichung zu sehen. Dann ist es "der strategische Partner der Geschäftsleitung" und nicht eine Kontrollfunktion, die "überzeugt" oder "umgangen" werden muss. Häufig aber wird der CRO als bürokratisches Hindernis angesehen, das es zu überwinden gilt. In meinen Gesprächen mit Geschäftsleitungen höre ich oft Reaktionen wie "wenn ich das OK von Risk habe, versuche ich, sie nicht mehr zu sehen".

Viele Organisationen verfügen über gut strukturierte Risikomanagementmodelle mit unterschiedlichem Komplexitätsgrad, aber die Mitarbeiter des Unternehmens nutzen das Modell nicht oder nur soweit unvermeidlich. Warum ist das so? Was können wir tun, um diese Situation zu ändern?

Die Gründe für dieses Verhalten sind vielfältig,und werden wahrscheinlich durch eine Reihe von Vorurteilen (und misslichen Erfahrungen) beeinflusst. Dazu kommen psychologische Aspekte die uns dazu veranlassen, die Wahrscheinlichkeit des Eintretens und den Impakt von Risiken zu unterschätzen, während wir unsere Fähigkeit, ein potenzielles Problem zu lösen, überschätzen. Ohne ins Detail zu gehen, lässt sich leicht erkennen, wie kognitive Faktoren die Rationalität unserer Entscheidungsfindung beeinträchtigen.

Wir sehen auch, dass die Mitarbeiter von Organisationen in ihrem Streben nach Effizienz oft so beschäftigt sind, dass es ihnen schwer fällt, eine weitere Aufgabe auf ihre Agenda zu setzen, und wenn sie über das Risikomanagementmodell nachdenken, sehen sie noch mehr Arbeit ihre bereits volle Agenda. Wenn man dann noch bedenkt, dass man nicht nur Zeit, sondern auch Geld in investieren müsste, um Risiken zu vermeiden oder abzumildern, von denen man ja nicht einmal weiß, ob sie eintreten, ist die Entscheidung, nichts zu tun, leicht nachvollziehbar.

Die immer knapper werdenden Budgets (und Agenden) der heutigen Zeit sind da nicht hilfreich. So kommt es, dass Unternehmen ein minimales, Risikomanagement betreiben, das von den Anforderungen der Aufsichtsbehörden diktiert wird. Das funktioniert, solange kein unerwartetes Ereignis eintritt, sei es eine Gefahr oder eine Gelegenheit. Aber wenn ein Risiko eintritt, sind die Unternehmen für das Ereignis nicht gewappnet oder können eine strategische Gelegenheit nicht nutzen, weil sie die Möglichkeit des Risikoeintritts nicht vorhergesehen und keinen angemessenen Aktionsplan vorbereitet haben. Das ist gerade in Zeiten zunehmender Volatilität und Ungewissheiten eine Gefahr für den Unternehmenserfolg.

Abhilfe schafft ein kultureller Wandel, um einige risikobezogene Aspekte in der Organisation zu verankern. Ziel ist, dass alle Mitarbeiter des Unternehmens Folgendes verstehen:

● dass alle Unternehmen Risiken erzeugen

● dass es kein risikofreies Geschäft gibt und dass das Eingehen von Risiken nichts Schlechtes ist; dass Risiken ein integraler Bestandteil des Geschäfts sind

● dass es notwendig ist, sich bewusst zu machen, dass es Risiken gibt, die es wert sind, eingegangen zu werden, und andere, die ausgeschaltet oder gemildert werden sollten

● dass das Risikomanagement die Fähigkeiten des Unternehmens steigert und nicht behindert.

Nach der Identifizierung der Risiken und ihrer Messung, der Ermittlung ihrer Determinanten, der Entwicklung der Maßnahmen zu ihrer Abfederung und der Erstellung der Risikokarte muss der Prozess des kulturellen Wandels beginnen, damit dieses Modell in der Organisation "lebt". Ein entscheidender erster Schritt besteht darin, eine Risikomanagementpolitik zu entwickeln, sie allen Mitarbeitern des Unternehmens zu vermitteln und sie aktiv zu halten. Die Zielgruppe, die wir für die Sensibilisierung gewinnen müssen, ist typischerweise heterogen. In der Regel ist es sinnvoll, eine Umfrage durchzuführen, um den Grad der Sensibilisierung für das Thema zu ermitteln und auf dieser Grundlage gegebenenfalls Kommunikations- und Schulungspläne zu erstellen.

Um die Bedeutung dieses Themas angemessen zu vermitteln, können Instrumente wie Artikel, Spiele oder internes Merchandising eingesetzt werden, um kurze, leicht zu merkende Konzepte, Sicherheitstipps oder den Inhalt der zu vermittelnden Botschaft zu verbreiten.

Dies funktioniert allerdings nur, wenn das Risikomanagement auf den höchsten Ebenen der Organisation gelebt wird, da dies auf allen Ebenen stark wahrgenommen wird. Der berühmte Tone at the Top, auch beim Risikomanagement.

Prof. Lorenzo Preve

IAE Business School