Wie steht es um die Akzeptanz der Risikomanager in der Praxis? Vielfach werden sie als Bedenkenträger betrachtet und nur äußerst selten als Sparringspartner auf der Entscheidungsebene gehört. Ist das verwunderlich? Ein Blick in die Praxis präsentiert sehr häufig Risikomanagement-Systeme ohne jegliche Methodenfundierung und ohne jeglichen Bezug zur Strategie des Unternehmens. Während sich der Vorstand mit disruptiven Entwicklungen des Geschäftsmodells und den Turbulenzen auf den Märkten beschäftigen muss, baut der Risikomanager (und der Compliancemanager parallel dazu) ausufernde Kontrollsysteme und überbürokratisierte Risikomanagement-Systeme auf. Die wesentlichen potenziellen Überraschungen, die auf der Strategiereise lauern, werden nicht selten systematisch ausgeblendet.
In Unternehmen entstehen auf diese Weise funktionale Subkulturen im Bereich Compliance und Risikomanagement, über deren Mehrwert man trefflich streiten kann. In nicht wenigen Fällen führen derart überbürokratisierte Systeme eher zu einer Schwächung der Unternehmenskultur. Dies kann insbesondere in Großkonzernen seit Jahren beobachtet werden. Eine empirische Studie würde bestätigen, dass die Mehrzahl der Risikomanagement-Systeme in Großkonzernen nicht wirksam sind und einen niedrigen Reifegrad aufweisen.
"Risiken und Nebenwirkungen" ausufernder Kontroll- und Risikomanagementsysteme
Vor den "Risiken und Nebenwirkungen" ausufernder Kontroll- und Risikomanagementsysteme auf den Organismus Unternehmen hatte vor vielen Jahren bereits Armin Sorg gewarnt, der bis zum Jahr 2008 Leiter der Abteilung Wirtschaftspolitik der Siemens AG war. "Mit der Ausbreitung einer Compliance-(Un-)Kultur wird Führungskräften ihre unmittelbare und uneingeschränkte Verantwortung für die Rechtmäßigkeit und Stimmigkeit ihres Handelns genommen. Welch ein Widerspruch zu der in den 1990er-Jahren aufgekommenen Einsicht, dass ‚Empowerment‘ nötig ist, dass der Einzelne Verantwortung erhält und übernehmen kann. In einer aufgeschlossenen Haltung, statt einer misstrauischen, wurde ein Schlüssel zu größerer Motivation und höherer Produktivität gesehen. Viele Unternehmen verdankten diesem Gesinnungswandel in der Führung Fortschritte in Innovation, Qualität und Produktivität.", so Armin Sorg in seiner Analyse.
In den letzten Jahren haben wir durch überbürokratisierte Compliance-Systeme, in deren Fahrwasser auch viele Risikomanagement-Systeme unterwegs waren und sind, einen aufwendigen Kontrollapparat installiert ohne messbaren Mehrwert und ohne jegliche Wirksamkeit. Während auf der einen Seite Compliance-getriebene und überbürokratisierte Risikoverwaltungs-Systeme in den Unternehmen Einzug halten, wird auf der anderen Seite Agilität und eine gelebte Fehlerkultur gefordert. Doch das Ergebnis überbordender und nicht-wirksamer Risikoverwaltungssysteme ist nicht selten eher eine Kultur des Misstrauens und des Papierkriegs. An dieser Stelle sei Publius Cornelius Tacitus, der römische Historiker und Senator, zitiert: "Corruptissima res publica plurimae leges." (Der korrupteste Staat hat die meisten Gesetze). Dies lässt sich gleichermaßen auf Unternehmen übertragen.
Einfach mal zuhören
Statt überbürokratisierte und unwirksame Risikoverwaltungs-System aufzubauen, sollten Führungskräfte und auch Risikomanager lernen in die Organisation hineinzuhorchen und schwache Frühwarnsignale erkennen. Und sie sollten lernen einfach mal zuhören. So hat vor einigen Jahren der Bosch-CEO Volkmar Denner sogenannte "Disruption Discovery Teams" gebildet und die Mitarbeiter aufgefordert, disruptive Risiken zu identifizieren, die das eigene Geschäftsmodell angreifen könnten. Das Ergebnis: In nur sechs Tagen kamen 1800 Bewerbungen zurück. Die Teams wurden für acht Wochen freigestellt und durften in einer inspirierenden Arbeitsumgebung einfach mal kreativ denken und Risiken für das bestehende Bosch-Geschäftsmodell erarbeiten. Sie erarbeiteten "blinde Flecken" im eigenen Geschäft und sollten vor allem innovative Lösungen zur Risikoprävention erarbeiten. So sieht ein wirksames Risikomanagement aus. Viele Risikomanager haben es verlernt, in die Organisation hineinzuhören und den operativen Einheiten zuzuhören.
Sie beschränken sich auf das Einsammeln von Risiken und unsinnige Fragen nach Eintrittswahrscheinlichkeiten und Schadensaumaß. Und werden hierbei noch von branchenspezifischen und internationalen sowie nationalen Standards unterstützt. Die Mehrzahl der Risikomanager arbeitet mit langweiligen Kollektionsmethoden (Risikoidentifikationsmatrix, Checklisten etc.) oder analytischen Methoden (FMEA, FTA etc.). Die wenigsten Risikomanager arbeiten mit Kreativitätsmethoden, beispielsweise der "Reverse Thinking"-Methode oder einer Szenarioanalyse. Nur die wenigsten Risikomanager können der Organisation den Mehrwert ihrer Tätigkeit aufzeigen. Sie sammeln Risiken ein und visualisieren diese anschließend in Form einer Risk Map. Wo liegt der Mehrwert eines solchen Risikomanagements, wenn ein Risikomanager sich eben gerade nicht mit den wirklich wichtigen Themen beschäftigt und vor allem aufgrund einer fehlenden Methodenkompetenz über eine reine Risikodokumentation nicht hinauskommt?
Lesen Sie den kompletten Beitrag "Reverse Thinking / Kopfstandtechnik" in der aktuellen Ausgabe der Fachzeitschrift GRC aktuell (Romeike, F.: Reverse Thinking / Kopfstandtechnik, in: GRC aktuell, Ausgabe Nr. 4/2019, November 2019, S. 138-141.)