Reifegrade im Risikomanagement

Potemkinsches Dorf – oder: Risikokultur leben


Potemkinsches Dorf – oder: Risikokultur leben Comment

"Kultur isst die Strategie zum Frühstück", so ein Zitat des ehemaligen US-amerikanischen Ökonomen Peter F. Drucker. Gemeint ist der Wert der Unternehmenskultur, der weit über die rein rationale und strategische Organisationswelt hinausgeht. Nach Definition des Dudens beschreibt der Begriff den "Grad", das "Maß, in dem ein Unternehmen den Ansprüchen der Unternehmensidentität entspricht oder zu entsprechen in der Lage ist". Eine dehnbare Erklärung, die viel Spielraum für Unternehmensdenker und -lenker zulässt.

Vor allem in den bunten Geschäftsberichten wird die Unternehmenskultur wie ein Heiliger Gral hochgehalten und strapaziert. Dort steht regelmäßig viel über den "Wandel" einer "global gelebten" und "geschäftsfeldübergreifenden" Unternehmenskultur. Selbstverständlich von "gegenseitigem Respekt" und "Offenheit" gekennzeichnet. Dass diese Begriffe in vielen Fällen nicht mehr als Füllwörter sind, bewahrheitet sich spätestens bei auftretenden Unternehmenskrisen. Nicht selten entpuppt sich das Ganze dann als "Potemkinsches Dorf": Hochglanzbroschüren versprechen viel, um den tatsächlichen, verheerenden Zustand zu verbergen. Im tiefen Inneren fehlt es an Substanz. Eine große Spielwiese, auf der Unternehmen und ihre Verantwortlichen herumtollen, stolpern und häufig nicht mehr aufstehen. Im Klartext heißt das: Treten Krisen auf, ist die vielfach vorgeschobene Unternehmenskultur schnell dahin – weil nie wirklich gelebt oder nur halbherzig umgesetzt. Und doch ist es nicht möglich, keine Kultur zu haben. Jedes Unternehmen hat eine – positiv oder negativ besetzt.

Letztere ist in zweierlei Hinsicht fatal, nämlich in puncto Reputationsrisiken sowie der immensen Kosten für betroffene Unternehmen. Ein Paradebeispiel bietet die Informationssicherheit in Organisationen. Um die ist es nicht zum Besten bestellt, wie der Digitalverband Bitkom jüngst prognostizierte. Den Gesamtschaden durch Hackerangriffe beziffern die Bitkom-Experten auf rund 51 Milliarden Euro pro Jahr – nur für die deutsche Wirtschaft und nach "konservativen Berechnungen". Ein warnendes Signal, bei einem Blick auf den allerorts propagierten digitalen Wandel der Geschäftswelt. Ergo braucht es die notwendige Sensibilisierung und das Wissen in Organisationen, um den technologischen Quantensprung hin zur Transformation im Maßstab 4.0 und höher bewältigen zu können.

Vom Tal der Ahnungslosen …

"Das Lieblingswort deutscher Manager ist zurzeit digitale Transformation. Sie wollen ihre Geschäftsmodelle ‚an das digitale Zeitalter anpassen‘", schrieb das Wirtschaftsmagazin brand eins 2015  in einem Beitrag zu "Die drei Zauberworte". Und diese drei Begriffe werden gebetsmühlenartig in Publikationen, Präsentationen und Pressegesprächen benannt. Die Rede ist von "Disruption", "Plattform" und "Netzwerkeffekt". Das klingt nach viel Management und leider nach viel heißer Luft. Denn laut der Wirtschaftswoche sei nur jeder zwölfte Manager in Deutschland fit für die digitale Transformation.

Ein Blick in die Realität zeigt, dass nur die wenigsten Unternehmen reif sind für die digitale Transformation und für die notwendigen Veränderungsprozesse im Unternehmen. Kurzum: Viele Unternehmen verharren eher im Tal der Ahnungslosen und trauen sich nicht vom "lahmen Gaul" abzusteigen und auf ein neues Pferd zu wechseln. Im Umkehrschluss heißt das: Führungskräfte, die den Weg hin zur digitalen Wende in den Organisationen initiieren, vorantreiben und überwachen müssen, haben schlicht keine Ahnung von dem, was sie an digitalen Platzhaltern von sich geben. Mehr noch sind sie überfordert und können dementsprechend nicht die Weichen Richtung zukunftsweisender digitaler Strukturen stellen. Aber genau dies braucht es. Denn Unternehmen jeder Größe und in allen Branchen sind in unserer digital eng vernetzten Welt verwundbarer denn je, bieten offene Flanken. Und diese lassen sich nicht einfach mit einem "Firewall-Denken 1.0" schließen. Nicht selten wird beispielsweise bei der Umsetzung von Informationssicherheitsstrukturen  vergessen, dass technologische Ansätze nur zu einem kleinen Anteil über den Erfolg entscheiden. Dreh- und Angelpunkt sind die eigenen Kollegen – von der Führungsebene bis zum normalen Mitarbeiter.

… zu mehr Awareness und einer gelebten Unternehmenskultur

Um aus digitalen Risiken Chancen reifen zu lassen, aus denen wiederum digitale Erfolgsgeschichten entstehen, muss eine "gelebte" Unternehmenskultur in der Organisation Einzug halten. Die sollte von der Unternehmensspitze initiiert werden, durch alle Organisationsbereiche reichen, verstanden und mitgetragen von allen Mitarbeitern.

Hierzu braucht es klare Spielregeln – ein Defizit in vielen Führungsköpfen. Böse formuliert "stinkt der Fisch vom Kopf her". Gemeint ist in diesem Kontext, dass sich Entscheider nicht an die Regeln im Unternehmen halten. So werden Maßnahmen für mehr Informationssicherheit ad absurdum geführt, wenn diese beim Verlassen des Firmengeländes über Bord geworfen werden. Ein offenes Ohr in der Bahn oder am Flughafen genügt, um Geschäftszahlen, Vertragsabschlüsse sowie sonstige Interna mitzubekommen.

Im Umkehrschluss heißt das, Informationssicherheit ist nur so gut, wie die Menschen, die sie leben. Gleiches zählt für Mitarbeiter, die mit dem eigenen Smartphone im Unternehmen hantieren, filmen, Daten kopieren oder unachtsam mit sensiblen Unternehmensinformationen umgehen. Social Engineering, Hackerangriffe oder Spionagefälle in Unternehmen beweisen, dass Angreifer diese Schwächen für sich zu nutzen wissen. Es zeigt sich: Gründe für mehr Awareness im Umgang mit dem Firmengut "Informationen" gibt es genug. Leider werden diese zu wenig beherzigt und in konkrete Sensibilisierungsmaßnahmen in der Organisation umgesetzt. Wichtig ist in diesem Zusammenhang auch, dass Mitarbeiter den Wert ihrer Person erfahren und als wichtiger Teil der Gesamtorganisation verstanden werden und dies auch vermittelt wird. Wer in Präsentationen mit Vokabeln der Marke "Humankapital" oder "Mitarbeiterressource" zu punkten versucht, scheitert. Denn die Kollegen haben ein gutes Gespür dafür, wer es als Firmenchef ernst meint mit der Kultur und wer nicht. Und hierzu zählt vor allem das Prinzip des Vertrauens.

Die Reifegradtreppe hinauf bis zum Planspiel

Im Idealfall reift eine Kultur in der Organisation, in der alle an einem Strang ziehen und ihren Beitrag für den Erfolg des Unternehmens leisten. Doch Vorsicht: "Keep it simple, stupid", so die alte Managerweisheit. Dahinter steckt viel Wahrheit, denn Leitplanken für ein qualitatives Mehr an Informationssicherheit zu setzen ist das eine. Mitarbeiter mit zu viel Regeln, Normen und Software zu überfordern ist das andere. Ein durchgängiges Informationssicherheitsmanagement muss in ein gelebtes Chancen- und Risikomanagement integriert werden. Und dieses muss reifen. Unterschiedliche Reifegrade in der Risk-Governance – also einer stakeholderorientierten Risikosteuerung aus strategischer Sicht – sind ein guter Indikator für die Messbarkeit des Erfolgs der eigenen Maßnahmen. Ausgehend von fünf Stufen im Risikomanagement ist das erklärte Ziel, von einer reinen "Risikodokumentation" (Stufe eins) und einer Unternehmenssteuerung nach dem Prinzip "Zufall und Glück" zu einer "Leading-Stufe" zu gelangen. Die letzte Reifegrad-Stufe ist von einer gelebten Risikokultur auf allen Unternehmensebenen geprägt, mit einem starken Fokus auf Kreativitätsmethoden und Frühwarnsignalen, die in die Unternehmenssteuerung einfließen (vgl. Abbildung/Reifegradtreppe). Für Entscheider muss es das erklärte Ziel sein, einen möglichst hohen Reifegrad zu erlangen und als Teil der Unternehmenssteuerung zu verstehen. Damit lassen sich Chancen zukunftsgewandt erkennen und proaktiv steuern sowie die Resilienz (Widerstandsfähigkeit) des eigenen Unternehmens stärken – auch gegen Cyberattacken, Sabotage und Spionage im eigenen Haus.

Reifegradtreppe im Risikomanagement [Quelle: RiskNET GmbH]

Reifegradtreppe im Risikomanagement [Quelle: RiskNET GmbH]

Risiko- und Chancenmanagement wie im Flugsimulator lernen

Stellt sich die Frage, wie Unternehmens- und Risikokultur gemessen und weiterentwickelt werden können. Hier hilft ein Blick in die Luftfahrt, bei der ein gelebtes Risiko- und Krisenmanagement auf eine lange Historie verweisen kann. In den Kindertagen der Luftfahrt bestand das Risikomanagement- und Frühwarnsystem des Piloten – neben dem Kompass – im Wesentlichen aus drei Instrumenten: Schal, Krawatte und Brille. An der Art wie der Schal flatterte, konnte der Pilot Geschwindigkeit und Seitenwind abschätzen. Hing die Krawatte schräg, musste die Kurvenlage korrigiert werden. Und beschlug die Brille, so zeigte dies baldigen Nebel oder Regen an – und die Notwendigkeit, schleunigst zu landen. Heute sieht die Welt in der Luftfahrt anders aus: Hochtechnische Navigations- und Frühwarnsysteme und ausgefeilte Risikomanagement-Systeme haben zu einer hoch entwickelten Risikokultur und einem exzellenten Sicherheitsniveau in der Luftfahrt geführt. Ein wesentliches Element hierbei spielen heute Simulationen.

Piloten üben im Flugsimulator den richtigen Einsatz von Risikomanagement-Methoden und die adäquate Reaktion in Krisen. Der Flugsimulator stellt eine realitätsnahe Trockenübung dar und vereint Elemente aus Kreativitäts-, Szenario- und Simulationstechniken. Die erweiterte Form der Szenario- und Simulationstechnik unter Zuhilfenahme spielerischer Elemente und Interaktionsmuster kann auch im Unternehmensalltag genutzt werden, um Unternehmens- und Risikokultur zu entwickeln.

Ein Risikomanagement-Planspiel bzw. sogenannte Business-Wargames (wie etwa RiskNET R & OM Simulation bzw. Project@RISK von RiskNET) schaffen ein tieferes Verständnis der Aktionen und Reaktionen der unterschiedlichen Stakeholder und explizieren kognitive Verhaltensmuster und Verzerrungen. Ein praktischer Nebeneffekt: Risikokultur kann – basierend auf den Verhaltensweisen der Stakeholder – gemessen werden. Kritische Risiken können identifiziert werden, die durch "klassische" Analysemethoden nicht erkannt werden. So werden beispielsweise aufgrund sogenannter "kognitiver Heuristiken" (Repräsentativität und Verfügbarkeit) die Wahrscheinlichkeiten für Ereignisse umso größer eingeschätzt, je repräsentativer das Ereignis für die zugrunde liegende Grundgesamtheit erscheint und je leichter bzw. schneller Menschen in der Lage sind, sich (plastische) Beispiele für das Ereignis vorzustellen bzw. in Erinnerung zu rufen (vgl. Gleißner/Romeike 2012, siehe Literaturkasten).

Sich der eigenen Schwächen beim intuitiven Umgang mit Risiken bewusst zu sein, ist der erste Schritt für die Verbesserung der Potenziale im Risikomanagement. Hierbei können Planspiele einen erheblichen Mehrwert bieten. In diesem Kontext passt sehr gut ein Zitat des US-amerikanischen Ökonomen Thomas Crombie Schelling, Preisträger für Wirtschaftswissenschaften der schwedischen Reichsbank im Gedenken an Alfred Nobel: "The one thing you cannot do, no matter how rigorous your analysis or heroic your imagination, is to make a list of things you never thought of.”  Bei diesem kreativen Prozess kann ein Business-Wargame bzw. Planspiel Unterstützung bieten.

Weiterführende Literatur

  • Erben, Roland F. / Romeike, Frank (2016): Allein auf stürmischer See – Risikomanagement für Einsteiger, 3. komplett überarbeitete Auflage, Wiley Verlag, Weinheim 2016.
  • Gleißner, Werner / Romeike, Frank (2012): Psychologische Aspekte im Risikomanagement – Bauchmenschen, Herzmenschen und Kopfmenschen, in: Risk, Compliance & Audit (RC&A), 06/2012, S. 43-46.
  • Romeike, Frank / Spitzner, Jan (2013): Von Szenarioanalyse bis Wargaming – Betriebswirtschaftliche Simulationen im Praxiseinsatz, Wiley Verlag, Weinheim 2013.
  • Romeike, Frank (2014): Simulation mit Business Wargaming, in: FIRM Jahrbuch 2014, Frankfurt/Main 2014, S. 140-143.

Autoren:

Frank Romeike ist Gründer und geschäftsführender Gesellschafter des Kompetenzzentrums RiskNET – The Risk Management Network. Er hat u. a. ein wirtschaftswissenschaftliches Studium (Versicherungsmathematik) in Köln und Norwich/UK abgeschlossen und ein exekutives Masterstudium im Bereich Risiko- und Compliancemanagement. Frank Romeike zählt international zu den renommiertesten und führenden Experten für Risiko- und Compliancemanagement und hält regelmäßig Vorträge und publiziert Fachartikel rund um die Themen Risikomanagement, wert-und risikoorientierte Steuerung, Szenarioanalyse und Unternehmensbewertung. Frank Romeike ist Mitglied des Vorstands beim Institut für Risikomanagement und Regulierung e. V. (Frankfurt a. M.).

Christoph Schwager war bis Mitte 2014 Chief Risk Officer im EADS-Konzern (Airbus Group). Er ist im Beirat beim Kompetenzportal RiskNET sowie Trainer der Risk Academy. Er absolvierte sein Studium der Betriebswirtschaftslehre an der Universität Augsburg und erwarb an der University of Chicago den Grad eines Certified Public Accountant. Seine berufliche Karriere begann er als Assistent des Vorstandsvorsitzenden eines internationalen Softwareunternehmens, wo er in der Folge für den Bereich Controlling und Accounting verantwortlich war. Im Anschluss wechselte er zur Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PWC). Dort war er in der Beratung, im Projektmanagement, bei Due-Dilligence-Prüfungen und M&A-Projekten tätig.

Christoph Schwager und Frank Romeike [RiskNET]

Christoph Schwager (links) und Frank Romeike (rechts)

[Artikel im Dezember 2016 erschienen im "Handbuch Digitalisierung" (Hrsg.: ayway media, 1. Auflage 2016, der Text steht unten den gemeinfreien Textlizenzen Creative Commons CC BY-SA 3.0 DE und GNU FDL 1.2 zur Nutzung zur Verfügung. Siehe www.handbuch-digitalisierung.de]

[ Source of cover photo: © guukaa - Fotolia.com ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.