In einer sich schnell verändernden Welt spielt das Thema Risikomanagement eine zunehmend wichtige Rolle. In immer mehr Branchen und Unternehmen ist der gekonnte Umgang mit unabwägbaren Gefahren, intern wie extern, von einem Nice-to-have zu einem Have-to-have geworden. Risiken strategischer, betriebswirtschaftlicher, rechtlicher oder finanzieller Art frühzeitig zu erkennen, entscheidet darüber, ob Steuerungsmechanismen rechtzeitig greifen und mögliche negative Entwicklungen in positive Bahnen gelenkt werden können.
Wir leben in einer VUCA-Welt. Der vielen vertraute Begriff entstand bereits 1990. Hintergrund war der Zusammenbruch der Sowjetunion und damit eine neue Weltordnung. Eine Situation, in der auch das Umfeld komplett neu bewertet werden musste. Keiner wusste genau, wie sich alles weiterentwickelt. VUCA sollte Klarheit in diese Zeit, den Umbruch und die Zukunft bringen. Dabei stehen die vier Buchstaben für vier zentrale Begriffe: V = Volatility / Unstetigkeit, U = Uncertainty / Unsicherheit, Complexity / Komplexität, A = Ambiguity / Mehrdeutigkeit. Heute, mehr als 30 Jahre später, beschreiben diese Begriffe besser denn je unsere moderne (Arbeits-)Welt, in der wir uns behaupten oder als Unternehmen irgendwie zurechtkommen müssen. Wenn wir beispielsweise um die Volatilität wissen, sind wir in der Lage, eine starke, identitätsstiftende Vision für unser Unternehmen zu entwickeln. Wissen wir um die Mehrdeutigkeit, können wir in kleineren Schritten, sprich agil, vorgehen. Unterschiedliche Prototypen von einem neuen Produkt zeigen uns, wie bzw. was wir technisch gut umzusetzen vermögen, ob das auf dem Markt angenommen wird und genug Umsätze produziert. Wenn wir wissen, an welcher Stelle die Unsicherheiten existieren, haben wir die Möglichkeit, uns im Vorfeld zu überlegen, was wir dagegen tun können. Und schon sind wir beim Thema Risikomanagement.
Das Risikomanagement – der Versuch einer Definition
Risikomanagement bezeichnet die systematische Erfassung und Bewertung von Risiken für den Geschäftsbetrieb eines Unternehmens. Aber das ist längst nicht alles! Es reicht nicht, die Risiken nur zu erfassen und zu bewerten, weil das nur die Ist-Situation darstellen würde. Wir wollen schließlich irgendwie versuchen, etwas dagegen zu tun. Deshalb auch der zweite wichtige Punkt: Risikomanagement hilft Unternehmen, operative, rechtliche und prozessuale Risiken zu identifizieren und durch vorbeugende Maßnahmen zu vermindern. Ja, weitläufig wird Risiko als etwas Negatives gesehen, das man „vermindern“ muss. Vielleicht kann ein Risiko aber auch etwas Positives sein, weil es uns aufmerksam macht, weil wir dadurch unter bestimmten Bedingungen etwas „verbessern“ oder steigern können.
Risiken gehören verschiedenen Kategorien an bzw. können in unterschiedlichem Kontext auftauchen. Entsprechend müssen die Maßnahmen ausgewählt werden. Grundsätzlich besteht in den meisten Fällen eine Ursache, beispielsweise, wenn irgendeine rechtliche Pflicht nicht eingehalten wird. Das Risiko, das man dabei eingeht bzw. das besteht, ist, dass das zuständige Amt bei einer Prüfung darauf aufmerksam wird oder einen ggf. der Wettbewerb abmahnt. Beides hat Auswirkungen: Neben zusätzlichem Aufwand und Kosten nicht selten einen Imageschaden – intern wie extern, je nachdem wie weit das Ganze Kreise zieht. Erkennen wir das Risiko hingegen rechtzeitig, dann wird aus diesem Risiko eine Chance. Die Chance, Prozesse oder Strukturen zu verändern, Strategien im Vorfeld anzupassen – damit eben die Ursache-Wirkungs-Kette wie oben beschrieben, nicht mehr eintritt. Aus der Gefahr oder Gefährdung für das Unternehmen wird die Möglichkeit, sich rechtzeitig zu verbessern. Vorausgesetzt der Risikomanagement-Prozess funktioniert:
Ein gutes Risikomanagement verlangt nach einer systematischen Vorgehensweise. Die ISO-Norm 31000:2018 legt beispielsweise Leitlinien fest, die den Umgang mit Risiken in einer Organisation beschreiben. Die spezielle Anwendung dieser Leitlinien kann an jedes Unternehmen in seiner spezifischen Umgebung angepasst werden. Das Ablaufschema startet immer mit dem Herstellen eines Kontextes. Ein operatives Risiko ist beispielweise ein Stromausfall, aufgrund dessen ein Unternehmen nicht mehr produzieren kann oder ein Dienstleister auch im Büro sozusagen handlungsunfähig ist. Im Kontext von Projekten könnte ein Risiko auf operativer Ebene sein, dass bei der Entwicklung neuer Produkte unterschiedliche Stakeholder unterschiedliche Erwartung an das Projekt haben und die dadurch auftretenden Konflikte zu unnötigen Zeitverzögerungen führen. Ein anderes Beispiel: Aus der kurzfristig notwendigen Entscheidung, neue Produkte in ein Portfolio aufzunehmen, könnte im Laufe der Zeit das Risiko werden, dass diese nicht zu den langfristigen strategischen Zielen passen. Je nachdem, in welchem Kontext wir uns befinden, können sich unterschiedliche Risiken ergeben: Sind wir eher im Projektkontext oder in der strategischen Planung unterwegs oder bewegen wir uns auf der operativen Ebene?
Der erste wichtige Schritt im Bereich Risikobeurteilung ist demzufolge die Risikoidentifikation, gefolgt von der Risikoanalyse (Ursachen und Auswirkungen beschreiben) und schließlich der Risikobewertung. Hilfreich für die Risikoidentifikation sind neben Datenbanken, in die Erfahrungswerte von anderen Unternehmen einfließen, vor allem auch eigene interne Risikofindungs-Workshops, bei denen man mit kreativen Techniken wie Brainstorming oder Brainwriting versucht herauszufinden, was eigentlich alles passieren könnte. Haben wir die Risiken erst einmal erfasst und klassifiziert, müssen wir entscheiden, welche Gefahren oder welche Chancen sie für unser Unternehmen darstellen. Ist dies oder jenes kritisch – oder eher weniger?
Schrittweise ergeben sich aus dieser Bewertung klar benennbare Kriterien für bestimmte Risiken inkl. möglicher Strategien und konkreter Maßnahmen. Welche Maßnahmen kann ich beispielsweise ergreifen und welche Aufgaben (Kommunikation intern, Konsultation/Beratung von extern u. a.) muss ich platzieren, um als Unternehmen mit diesem Risiko besser umzugehen und kritische Situationen möglichst ohne Schaden zu überstehen. Parallel dazu ergibt eine Risikoidentifikation immer auch die Möglichkeit, einzuordnen, welche Risiken wir noch oder permanent haben und welche Risiken neu dazugekommen oder eventuell sogar verschwunden sind. Risiken zu überwachen und zu überprüfen, schließt bei der Bewertung ein, immer zu vergleichen: Stimmt die Bewertung von letzter Woche/letztem Monat noch? Oder haben sich bestimmte Parameter verändert, wodurch sich auch die Bewertung verändert? Bei den Maßnahmen gilt es zu prüfen, welche geplant sind, welche noch rechtzeitig ausgeführt werden können oder ob die ergriffenen Maßnahmen bereits etwas zur Risikominimierung beigetragen haben. Ggf. müssen auch ganz andere Maßnahmen in Betracht gezogen werden.
Die elementaren Gefährdungen im Unternehmen
Die Pandemie hat uns eines gelehrt: Von einem Tag auf den anderen kann alles anders sein. Die Welt kann uns selbst, ein Unternehmen, die Wirtschaft, eine Nation oder die Gesellschaft plötzlich vor Aufgaben stellen, die wir uns nicht einmal im Traum haben ausmalen können (und wollen). Ein Risiko war da, plötzlich und massiv – wenn auch für uns alle schwer fassbar und schwierig einzuordnen. Trotzdem hat das nur bedingt mit dem Thema zu tun. Denn das Risikomanagement spielt nicht erst seitdem eine Rolle in den Unternehmen – zumindest zum Großteil. Die Gesetzgebung schreibt in vielen Bereichen ein Risikomanagement vor. Neben dieser Verpflichtung gibt es aber auch Unternehmen, die durch die Erlebnisse mit der Pandemie einen anderen Fokus auf dieses Thema gelegt haben. Der Schock sitzt tief und man möchte auf mögliche zukünftige Ereignisse dieser Art einfach (besser) vorbereitet sein. Unabhängig von diesem globalen Problem gibt es natürlich immer auch kleinere regionale oder branchenbezogene Vorkommnisse bis hin zu persönlichen Schicksalsschlägen, beispielsweise bei Unternehmern, die sich mit einem strategischen Risikomanagement leichter und besser bewältigen lassen. Die Aufmerksamkeit auf mögliche Gefahren und Risiken zu lenken, hilft auch, Chancen wahrzunehmen bzw. den generellen Wandel erfolgreicher zu gestalten. Werfen wir einen Blick auf mögliche Beispiele für Unternehmensrisiken:
Das Bundesamt für Sicherheit in der Informationstechnik BSI hat 47 elementare Gefährdungen für IT-Unternehmen aufgelistet[1]. Die einzelnen Gefahrenstellen werden in einem Dokument vorgestellt, verbunden mit Empfehlung, wie man damit umgehen kann. Betreibe ich beispielsweise ein Rechenzentrum und es gibt einen Wasserrohrbruch im Gebäude, kann dieses Wasser den Server und die Infrastruktur beschädigen.
Grundsätzlich lassen sich Risiken in zwei große Bereiche aufteilen, und zwar in externe Risiken und interne Risiken. Mit einem gravierenden Unterschied: Bei externen Risiken, die das Umfeld (Gesetze, räumliche Bedingungen u.a.) betreffen, haben wir wenig Einfluss. Wir müssen Ereignisse erst einmal so hinnehmen, wie sie eintreten und auch wann dies geschieht. Natürlich können wir uns beispielsweise auf Gesetze rechtzeitig vorbereiten, sie verhindern können wir nicht. Bei internen Risiken innerhalb des Unternehmens haben wir im Normalfall mehr Einfluss, bereits auf die Eintrittswahrscheinlichkeit und vor allem darauf, was und wann ich etwas dagegen oder dafür tun kann. Ein aktuelles Beispiel: Die Menschen, die heute in den Unternehmen tätig sind, haben ganz andere Bedürfnisse als die Mitarbeiter vor 20 Jahren. Ein Risiko für Unternehmen, deren Kultur sich nicht weiterentwickelt (hat). Sie laufen Gefahr, dass sie keine neuen Mitarbeiter finden (was ohnehin schon nicht leicht ist), weil veraltete Strukturen und Führungsgrundsätze auf die nachwachsenden Generationen abschreckend wirken.
Risikobewertung = Eintrittswahrscheinlichkeit + Schaden (+ Zeitfaktor)
Haben wir als Unternehmen erst einmal alle Risiken gesammelt, sie klassifiziert, Ursachen und Auswirkungen beschrieben, dann können wir zum nächsten Punkt kommen: der Risikobewertung. Zwei Kriterien sind hier vor allem relevant: erstens die Eintrittswahrscheinlichkeit (Mit welcher Wahrscheinlichkeit tritt das Risiko ein?) und zweitens die Schadenshöhe (Welcher Schaden entsteht, wenn das Risiko eintritt). Die Eintrittswahrscheinlichkeit lässt sich gut in Prozenten ausdrücken. 100 Prozent Wahrscheinlichkeit bedeutet sicheres Eintreten, 0 Prozent Wahrscheinlichkeit bedeutet sicheres Nicht-Eintreten und dann gibt es noch alles dazwischen. Hinsichtlich des Schadens hilft es, sich gedanklich einfach mal in die Zukunft zu versetzen: Was passiert, wenn das Risiko da oder bereits eingetreten ist? Welche Auswirkungen gibt es? Lassen sich diese beispielsweise monetär beziffern. Welcher finanzielle Schaden kann entstehen oder umgekehrt: Gibt es, wenn wir das Risiko abwenden, Chancen auf einen zusätzlichen Gewinn?
Schließlich haben wir noch ein drittes Kriterium, das manchmal vernachlässigt wird, weil es für die Bewertung nicht unbedingt relevant, umgekehrt aber sehr wichtig für die Planung der Maßnahmen ist: die Eintrittsnähe, sprich der Zeitfaktor. Wann wird ein Risiko eintreten? Abhängig davon, ob wir ein Risiko in der nächsten Woche oder erst in einem Jahr erwarten, ist schließlich, wie wir entsprechende Maßnahmen planen. Für die Bewertung bleiben wir allerdings erst einmal bei der Kombination aus Eintrittswahrscheinlichkeit und Auswirkungen, die folgende Grafik wunderbar demonstriert:
Darauf aufbauend lässt sich eine Risikomatrix erstellen/der Risikowert berechnen:
Risikomanagement ist ein sehr umfassendes Thema und hat dementsprechend auch ein breites Feld an möglichen Bewertungen und Behandlungen von Gefährdungen im Unternehmen. Je nachdem, wie viele Experten man befragt, umso mehr Meinungen gibt es, wie man Risiken idealerweise bewertet bzw. wie man am besten mit ihnen umgehen kann. Jeder hat eine andere Perspektive und Erwartung sowie ggf. bereits Verfahren ausprobiert und wird diejenigen weiterempfehlen, mit denen er gute Erfahrungen gemacht hat. Aber machen wir uns nichts vor: Bei allen persönlichen Empfehlungen, kommt es doch immer auf das jeweilige Unternehmen, die jeweilige Situation und die aktuellen Bedingungen an.
Behandlung von Risiken
Grundsätzlich ist es immer sinnvoll beim Umgang mit und der Behandlung von Risiken zu überlegen, wie nutzen wir als Unternehmen unsere Stärken, um Gefahren auszuweichen bzw. Chancen zu ergreifen. Treffen hingegen Schwächen auf Risiken, ist das für Unternehmen meist weitaus herausfordernder. Aus der zuvor erstellten Risikomatrix ergeben sich grundsätzlich vier Strategien:
Bei der Risikovermeidung geht es darum, dem Risiko – sofern möglich – komplett aus dem Weg zu gehen. Kommen wir also gar nicht in die Situation, kann die Gefährdung verständlicherweise nicht wirksam werden. Bei der Risikoreduktion geht es darum, die Eintrittswahrscheinlichkeit des Risikos zu senken oder die Tragweite (des Schadens) bei Eintritt des Risikos zu reduzieren. Beim Risikotransfer tragen wir das Risiko nicht selbst, sondern übergeben es an einen Beteiligten (Beispiel: Factoring). Letzte Möglichkeit ist die Risikoakzeptanz, bei der wir – genau – erst einmal gar nichts tun! Zumindest für den Moment. Natürlich lohnt es sich auch hier, immer mal wieder einen Blick auf die Risiken zu werfen.
Aus diesen Strategien können wir schließlich Maßnahmen ableiten – konkrete Aktivitäten, die geplant werden und präventiv oder korrektiv sein können. Präventiv wirken sie auf die Ursache und damit Eintrittswahrscheinlichkeit, korrektiv auf die Auswirkungen und folglich auch die mögliche Schadenshöhe. Ein Beispiel dazu: Wenn ich weiß, dass im Treppenhaus die Treppen gewischt wurden, sie glitschig sind, ich ausrutschen und hinfallen kann, könnte ich als korrektive Maßnahme eine Matratze an den Fuß der Treppe legen, auf die ich falle und damit das Verletzungsrisiko minimiere. Präventiv wäre es, die Eintrittswahrscheinlichkeit für das Ausrutschen zu minimieren, indem ich beispielsweise oben an der Treppe warte, bis diese trocken ist.
Wichtig im Risikomanagement, das hat dieser Artikel sicher deutlich gemacht, ist ein strategisches und strukturiertes Vorgehen. Genau dafür braucht es zum einen das Bewusstsein und zum anderen gut ausgebildete Mitarbeiter. Statt eines möglichen Schadens durch scheinbar unvorhersehbare Risiken, haben es Unternehmen also selbst in der Hand, rechtzeitig und klug zu investieren. Stärken diese Unternehmen die entscheidende Kompetenz Risikomanagement, amortisiert sich die Investition oft schneller als gedacht. Und dazu bedarf es nicht einmal einer Pandemie. Menschliche Fehler oder maschinelles Versagen, die VUCA-Welt oder viele kleine alltägliche Gefährdungen – all das lässt sich meistern mit einem guten Risikomanagement. Also identify, assess, measure – und unvorhersehbare Risiken gehören der Vergangenheit an!
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.htm
Über die Autoren:
Russell Kenrick, CEO von TSG Training und der ILX Group, ist seit 15 Jahren im Gebiet L&D tätig. Seine Leidenschaft liegt in den Bereichen persönliche Entwicklung, datengetriebene Entscheidungsfindung und Lerntechnologie, die bei der Transformation von Unternehmen und Arbeitsplätzen eine immer größere Rolle spielen. Neben dem Geschäftswachstum zeichnet er verantwortlich für das Schulungsportfolio sowie die Karriereentwicklung der ILX-Mitarbeiter.
Sidra Sammi ist bei der ILX Group für die Geschäftsentwicklung DACH verantwortlich. Ihre Stärke liegt im Identifizieren spezifischer Herausforderungen in Organisationen und der Präsentation maßgeschneiderter Lösungen. In ihrer vorherigen Rolle als Territorialmanagerin für die europäischen Märkte bei Axelos agierte sie als zentrale Anlaufstelle für Unternehmen, die Best-Practice-Methoden wie PRINCE2, ITIL und PRINCE2 Agile nutzen.
