Die Praxis ist bekanntlich der beste Lehrer. Und was der Volksmund schon lange weiß, bewahrheitet sich wieder einmal in der aktuellen Lage. In einer Zeit, in der sich alle Politiker, Institutsleiter und Ärzte zu Risikomanagern entwickeln, ist die Betrachtung von proaktiven Risikoindikatoren, Inzidenzen und Reproduktionszahlen in der breiten Bevölkerung zum Alltag geworden.
Unterschiedlichste Maßnahmen werden entwickelt und schnell wird deutlich, dass die Implementierung der richtigen Risikostrategie komplex und vielschichtig ist. Risiken und Maßnahmen stehen in Beziehung, aber auch Risiken untereinander sind manchmal hochgradig komplex miteinander verknüpft. So ist der Umgang mit COVID-19 zum Schutz der Gesundheit eng verknüpft mit der wirtschaftlichen Zukunft gesamter Branchen, persönlichen Existenzen und sogar der Schulbildung unserer Generation von Morgen. Wir stellen fest, dass eine wirksame Risikosteuerung in einem Bereich für massive Schwierigkeiten bis hin zu Existenzbedrohung in anderen Bereichen führt. Es gilt Interessen abzuwägen, Chancen und Risiken zu analysieren und letztendlich Entscheidungen zu treffen, die das "Unternehmen" Deutschland auf Spur halten. Auch wenn sich der Erfolg gewählter Chancen- und Risikostrategien vielleicht erst in einigen Jahren bewerten lässt, wird schon jetzt deutlich, dass Risikomanagement eine ganzheitliche Sicht einnehmen muss. Und die Erkenntnis macht sich breit, dass die Lösung weder im "Schutz des Lebens um jeden Preis" noch in der "Freiheit und Selbstverantwortung" jedes Einzelnen liegen kann. An den Zielen ausgerichtetes Risikomanagement ist vielschichtig.
Der Blick aufs Ganze ist entscheidend
Und es scheint sich wieder einmal zu bewahrheiten, was Experten aus der Praxis, Wirtschaftsprüfung und Berater schon lange verkünden. Es braucht eine ganzheitliche Sicht auf Risiko – zur Unterstützung der Organisation und zur Stärkung der Widerstandsfähigkeit des Unternehmens. Risikomanagement und Wissensträger aus unterschiedlichsten Management-Disziplinen müssen gemeinsam helfen leistungsfähig zu sein und erfolgreich zu bleiben. Es braucht flexible Lösungen, die systematisch in unterschiedlichste Bereiche und Prozesse integriert sind und so eine systematische und ganzheitliche Betrachtung ermöglichen.
Einfache Excel-basierende Risikomanagement-Lösungen und rückwärtsorientierte "Berichtsinseln" im Controlling, der Revision aber auch im Risikomanagement oder der Compliance erfüllen nur selten den Zweck.
Zu viele weiße oder zumindest graue Schwäne werden zu Unrecht als schwarz deklariert und dienen nicht selten als Entschuldigung für fehlendes Risikomanagement. Menschliche Irrtümer, Verzerrungen und isolierten Betrachtungen sind Ursache für den einen oder anderen strategischen Fehler – auf allen Ebenen. Häufig zeigt sich erst in der Krise wie gut das Unternehmen, der Unternehmer, der Organisationsbereich und auch der Staat vorbereitet ist auf das Managen von Unsicherheit in einem komplexen Umfeld.
- Sind Verantwortlichkeiten, Zuständigkeiten und Kompetenzen klar geregelt?
- Sind Prozesse und Abläufe definiert?
- Liegen belastbare Zahlen zum Treffen von Entscheidungen vor?
- Wurden Maßnahmen zum Umgang mit Risiken vorbereitet oder bricht Panik aus, wenn es schon zu spät ist?
- Gibt es Systeme, die lokations- und fachbereichsübergreifende Zusammenarbeit ermöglichen und umständliche, manuelle und kostenintensive Vorgänge verhindern?
Die Vermeidung von Risiken, wie auch das Nutzen von Chancen, muss fest in den täglichen Routinen jeder einzelnen Stelle und jedes beteiligten Mitarbeiters verankert sein. Und das Fehlverhalten Einzelner kann massive Auswirkungen auf die gesamte Gemeinschaft haben – auch diese in zahlreichen Unternehmen beobachtete Tatsache lässt sich in der aktuellen gesellschaftlichen Realität eindrucksvoll beobachten. Die Praxis ist der beste Lehrer.
Es braucht eine flächendeckende, angemessene aber auch in weiten Teilen akzeptierte Risikokultur als Voraussetzung eines wirkungsvollen Risikomanagements. Nur auf Basis von Vertrauen in die Führung kann die Strategie, Ziele aber auch Leistungsfähigkeit und Fortbestand des Unternehmens wirkungsvoll gestützt werden.
Integriertes Risikomanagement – Komplexität wird beherrschbar
In komplexen Systemen sind Entscheidungen immer mit Risiken behaftet. Entscheidungen müssen schnell getroffen werden. Die indirekten aber auch direkten Auswirkungen unternehmerischen Handelns lassen sich nicht immer mit hinreichender Güte abschätzen und zeitnah modellieren. Fehler sind dadurch unausweichlich und werden passieren. Genauso sicher ist, dass Kritiker auftreten, die in der Rückbetrachtung alles besser wissen und besser gemacht hätten.
Dennoch bleiben die Sorgfaltspflicht des Unternehmers und die oft zitierte Anforderungen aus §§ 91 und §§ 93 AktG. Auch bei der neuen Fassung des IDW Prüfungsstandards 340 handelt es sich um eine weitere Präzisierung zum Umgang mit Risiken und zum Aufbau eines entsprechenden Systems.
Der hohe Stellenwert und die Bedeutung des Risikomanagements werden schon lange in zahlreichen Management-Standards deutlich, die eine risikoorientierte Vorgehensweise fordern:
- Das Qualitätsmanagement gem. ISO 9001:2015, das eine risikoorientierte Vorgehensweise bei der Erzeugung und Erhaltung der Produktqualität fordert.
- Der Arbeits- und Gesundheitsschutz gem. ISO 45001, der Risiken und Gefährdungen des Mitarbeiters zu vermeiden hat.
- Die Informationssicherheit gem. ISO 27001, die eine fundierte Analyse der Bedrohungen hinsichtlich Integrität, Verfügbarkeit und Vertraulichkeit von Informationen fordert.
- Das Notfallmanagement gem. ISO 22301 und BSI-Standard 100-4 zur Geschäftsfortführung im Not- und Krisenfall.
- Die Compliance gem. ISO 19600 oder IDW PS 980, die ebenfalls risikoorientiert ausgestaltet wird.
Zu viele Unternehmen betrachten die unterschiedlichen Managementsysteme als "Silos" und verwenden unterschiedlichste Vorgehensweisen und Prozesse des Risikomanagement.
Die Methoden zur Risikosteuerung sind redundant und Berichte über Eintrittswahrscheinlichkeit und Schadenshöhe sind nicht selten widersprüchlich. Auch moderne Hilfsmittel und Weiterentwicklungen des Risikomanagement helfen oft nicht weiter. "Artificial Risk Management" (AI Risk), KI-Risk-Management (KI Risk) oder besondere proaktive Frühwarnindikatoren und "early warning indicator" liefern keinen Mehrwert, wenn der Prozess nach der Identifikation des Risikos und dem Eintragen in einer Excel-Liste endet.
Unternehmen müssen reagieren und der Handlungsdruck war noch nie so hoch wie jetzt.
Wie gut sich vor Augen zu führen, dass Komplexität nicht gleichzusetzen ist mit Kompliziertheit. Vielmehr gilt es die wesentlichen Elemente sinnvoll zu verknüpfen und standardisiert und systemgestützt über Prozesse hinweg zu steuern.
Der risikoorientierte Ansatz erlaubt dabei eine Konzentration auf das "Wesentliche" und hilft dabei, Komplexität zu reduzieren. Gute Lösungen müssen nicht kompliziert sein.
Wie funktioniert integriertes Risikomanagement?
Integriertes Risikomanagement betrachtet die Auswirkung von Risiken auf die gesamte Organisation und über unterschiedliche Managementfunktionen hinweg. Es legt die Grundlagen für ein strukturiertes und systematisches Auseinandersetzen mit Gefahren und deren Ursachen. Risiken sind nicht abstrakt. Sie haben konkrete Ursachen und treten an unterschiedlichsten Stellen innerhalb und außerhalb des Unternehmens auf.
Eine Verknüpfung von Risikoursache und Auswirkung auf Prozesse, Systeme, Abläufe, Produkte, Lieferanten, Lieferketten, Projekte, Infrastruktur und Finanzen ist daher bei der Steuerung der Risiken unerlässlich. Nur durch die ganzheitliche Betrachtung und der Verknüpfung von Maßnahmen mit den umsetzenden Organisationseinheiten in Einkauf, Logistik, Vertrieb und Verwaltung wird das Unternehmen gestärkt. Schadenseintritte werden verhindert und Schadensauswirkungen reduziert.
Mit einem modernen Software-Tool und einer integrierten Plattform ist die Komplexität unterschiedlichster GRC- und Managementfunktionen steuerbar. Eine Bewertung auf Basis einheitlicher Daten wird möglich:
- hohe Aufwände durch redundante Arbeit werden vermieden,
- klare Rollenmodelle helfen Risiken zu analysieren, und diese übergreifend in der Organisation zu steuern,
- Maßnahmen sind standardisiert und werden nachweislich in der gesamten Organisation implementiert,
- Akzeptanz bei Mitarbeitern und Fachbereichen steigt,
- Risikomanagement wird als Unterstützung wahrgenommen,
- Management, Vorstand und Aufsichtsrat haben in Cockpits einen Überblick über die unterschiedlichen GRC Initiativen,
- der Umsetzungsstand von Maßnahmen ist dokumentiert,
- Pflichten nach "Good Governance" und der Sorgfalt eines ordentlichen Kaufmanns wird entsprochen,
- Organisationsversagen wird vermieden.
Um die Anforderungen verschiedenartiger Fachbereiche abzubilden, kommen vielfältige Werkzeuge, Tools und Verfahren zum Einsatz. Wie im "Lego-Baukasten” unserer Kinder stehen im Risikomanagement zahlreiche flexibel kombinierbare Teile zur Verfügung, die je nach Organisation und Anforderung passend zusammengestellt werden können.
"Einfache” Simulationen, moderne fragebogenbasierte Ansätze aber auch fortgeschrittene Monte-Carlo-Verfahren, Risikoaggregation und Risikoverknüpfung sind möglich. Auch externe und interne Datenströme sowie "Third Party”-Informations-Feeds können einfach eingebunden werden. All das hilft, die Komplexität in den Griff zu bekommen.
Zusätzlich unterstützen standardisierte Modelle und Vorgehensweisen bei der schnellen Abbildung von "best-practice"-Ansätzen und einer problemlosen Integration bestehender Standards- und Richtlinien.
Mit Hilfe moderner Software-Tools kann die Einführung eines integrierten Risikmanagement-Systems ganz einfach sein. Eine Lösung, eine Plattform.
Autor:
Steffen Schürg, Direktor Integriertes Risikomanagement GSA, Corporater