Im Rahmen des RiskNET Summit 2015 in Ismaning bei München eröffnete Initiator Frank Romeike mit den Worten, dass es wichtig sei von der Risikobuchhaltung wegzukommen. Vielmehr zähle es, dass sich Risikomanagement endlich zu einer strategischen Steuerungsrolle und strategischen Sicht entwickle. Wie wichtig eine solche Strategie ist, zeigte sich im Laufe der zweitägigen Fachkonferenz zu den Themen Risikomanagement, Governance und Compliance. Eine der Erkenntnisse bei allen Themen, Trends und Thesen: Am Mensch führt kein Weg vorbei. Eine weitere Erkenntnis: Ohne Methodenkompetenz bleibt der Wandlungsprozess ein Wunschtraum.
Der Mensch als Ursache einer "Welt ohne Weltordnung"
"Von 183 Staaten befinden sich nach Zahlen der Vereinten Nationen ein Drittel im Zerfall", erklärte Dr. Günther Schmid zu Beginn seines Vortrags im Rahmen des RiskNET Summit 2015. Schmid, der als Experte für internationale Sicherheitspolitik und globale Fragen gilt, wurde vor den mehr als 100 Teilnehmern aus Wirtschaft und Wissenschaft am 14. Oktober in Ismaning deutlich. "Wir stehen vor einer historischen Zäsur", brachte es der Sicherheitsexperte auf den Punkt und meint, dass wir inmitten einer Welt "ohne Weltordnung" stehen. Viele Fragen, vor denen auch die politischen Akteure im Hintergrund stehen.
Beispielsweise betreibe der Planungsstab des Auswärtigen Amtes seine Krisenanalysen nur noch maximal vier Wochen im Voraus. Die Ursache liegt auf der Hand: Terror und Kriege lassen aktuell keine weitreichenden Planungen in die Zukunft zu. Und die Konfliktherde sind vielfältig, lokal, regional und global. Der beschleunigte Machtzerfall auf regionaler Ebene ist ein Dilemma. Angefangen von Syrien, dem Irak oder Libyen herrschen keine geordneten Strukturen mehr. "Die arabische Zivilisation ist zerfallen", machte Schmid die Folgen von jahrelangen (Bürger-)Kriegen deutlich. Nach Einschätzung Schmids stelle der Islamische Staat (IS) eine große Gefahr dar. Zumal mit der Ausrufung des Kalifats durch den IS erstmalig eine Terrororganisation ein eigenes Staatsgebilde ausgerufen hat. Schafft es der IS seine Grenzen sein selbsternanntes Kalifat zu festigen, müssen zukünftig auch die Machthaber in Rakka in diplomatische Prozesse um regionale Fragen eingebunden werden. Spätestens dann, wenn das Assad-Regime fällt und es zu einer Neugliederung Syriens kommt. Dabei handele es sich nach den Worten Schmids beim IS um eine Terrororganisation mit neuer Qualität, die das Überwinden der nationalstaatlichen Ordnung sucht. "Der IS ist ein totalitäres System" so der Sicherheitsexperte. Etwas weiter gefasst handelt es sich beim IS als Dschihadismus um den dritten großen Totalitarismus, der auf den Faschismus und Stalinismus folgt.
Als dritte Ebene benannte Schmid die globale Ebene als Herausforderung im geopolitischen Umfeld. Die Veränderungen der globalen Machtverhältnisse mit einem Globus ohne Gravitationspunkt führen zu einer sogenannten "Zero-Polaren-Welt". Eine Verschiebung der bekannten Normen und Wertvorstellungen wirft gleichzeitig die Frage auf: Was heißt heute Dritte Welt, wenn die Zweite Welt zusehends zerfällt? Mit solchen Begriffen sei die Welt von heute und morgen nicht mehr abzubilden ist sich Sicherheitsexperte Schmid sicher. Im Grunde haben wir es mit einem Transformationsprozess auf allen drei Ebenen zu tun, mit einem ungewissen Ausgang. Es herrscht gleichzeitig eine Globalisierung und Fragmentierung, Integration und Zerfall, wie das Beispiel EU versus Afrika zeigt.
Cyberraum und menschliche Gigantonomie
Globalisierung und Fragmentierung herrschen auch in einem anderen Bereich – meist im stillen, verborgenen aber nicht weniger brutal, sprich am Ende mit voller Wucht zuzuschlagen. Die Rede ist von Cybercrime. Das "Digitale Universum" steigt von 1,8 ZB im Jahr 2011 auf 44 ZB im Jahr 2020 (Anmerkung der Redaktion: Zettabyte (ZB) 1021Byte =1.000.000.000.000.000.000.000Byte).
Und bis 2020 rechnen Analysten mit 50 Milliarden Geräten, die mit dem Internet verbunden sind. Gigantische Zahlen, die in einer "Gigantonomie" mündet. Diese Ergebnisse präsentierte Tom Köhler, Leiter des Geschäftsbereichs Infokom bei dem Analyse- und Testdienstleistungsunternehmen IABG Industrieanlagen-Betriebsgesellschaft mbH, die unter anderem den Gesamtzellen-Ermüdungsversuch am Airbus A380 durchgeführt haben. Ein Blick in die Praxis zeigt, woran es hapern kann. Die sprunghafte Nutzung von Smartphones stellt ein weiteres Risikofeld dar. Von Köhler, als das "dritte Auge" bezeichnet, gibt es aktuell rund zwei Milliarden Smartphone-Nutzer – Tendenz steigend. Die Chancen der digitalen Technologien inklusive einer zunehmenden Vernetzung bieten für alle Wirtschaftsbereiche große Potenziale und Chancen. Gleichzeitig dürfen die Risiken im Umgang mit mobilen Endgeräten nicht vergessen werden. Und die lauern in Form von diversen Einfallstoren für Angreifer.
Rund 100 Milliarden Applikation befinden sich aktuell auf Apple-Endgeräten. Jüngst wurde bekannt, dass der Apple-Store von Hackern angegriffen wurde. Die Folgen solcher Angriffe auf Applikationsplattformen können immens sein. Gerade aufgrund der Tatsache, dass viele Anwender das Endgerät als digitalen Aktenkoffer nutzen, mit allen sensiblen Unternehmensinformationen versehen. In vielen Punkten hinkt ein Risikomanagement 1.0 der digitalen und eng vernetzten Welt hinterher. Köhler stellte in diesem Kontext die Frage, ob die einfache zweidimensionale Risk-Map überhaupt noch ausreiche, um solche komplexen Zukunftsszenarien abzubilden?
Vorausschau, Teamwork, der Mensch in der Kommunikation
Nein, wie auch Robert Ebel, Head of Corporate Risk & Insurance Management bei der Hoerbiger Holding AG, in seinem Vortrag feststellt. Seine Devise: "Risk Management ist operativ – oder nicht wirksam" und meint, dass der operative on-site-Ansatz Risiken reduziert und Mitarbeiter sowie Assets schützt. Vorausgegangen war eine Anpassung von Corporate Risk und Insurance Management an die sich stark veränderten Aufgabeninhalte den Bedürfnisse der Organisation in den letzten Jahren. Hierzu gab es in den Jahren 2009 bis 2014 einen Optimierungs- und Weiterentwicklungsprozess des Risk Management. Hierzu gehörten der Rollout des EBIT@Risk sowie der Betriebsunterbrechungsanalyse, ein Umweltrisikomanagement, eine umfangreiche Maßnahmendokumentation sowie der Weiterentwicklung der Risikoquantifizierung, unter anderem Expected Shortfall und Stresstests. Im Bereich des Versicherungsmanagements wurden unter anderem alle Prozesse überarbeitet – beispielsweise die Interaktion zwischen Makler, Versicherer und Hoerbiger. Außerdem wurden neue Schadenverhütungskonzepte entwickelt und umgesetzt.
Strategische und operative Risiken werden innerhalb der Organisation in etablierten Analyse-Routinen bearbeitet. Risikomanagement ist bei Hoerbiger als Bestandteil des Planungsprozesses integriert.
Das heißt, dass die Risikoermittlung und Maßnahmendefinition als integraler Bestandteil des Planungskalenders verstanden wird. Wichtig bei allen Maßnahmen ist Ebel die vorausschauende Sicht auf mögliche Risiken. Beispielsweise stehen alle Top-10-Risiken unter Beobachtung, wobei zu den Top-4-Risiken detaillierte Maßnahmen existieren. Robert Ebel: "Wenn Unternehmen nur mit historischen Informationen arbeiten, betreiben sie reine Risikobuchhaltung. Wichtig ist eine vorausschauende Sicht auf potenzielle Risiken, um die Chancen für die eigene Organisation zu wahren." Für Risikomanager Ebel bilde das Teamwork die Grundlage im Risikomanagement. Gefragt sind Erfahrung, Engagement, Fachwissen und Kommunikationsfähigkeit – multidisziplinär und operativ eingesetzt. Für Ebel und seine Risikomanagementkollegen ist die Kommunikation des Risikoberichts ein Integrationstreiber. Inhaltich heißt das auf Basis der Daten einen detaillierter Jahresüberblick der Ergebnisse der Risiko- und Maßnahmenarbeit des Jahres zu erstellen, inklusive einem Backup-Teil mit umfangreichen Zusatzinformationen. Hinzu kommen Simulationsergebnisse, Tätigkeitsplanung des folgenden Jahres. Und das kommuniziert an den CEO, CFO und den Verwaltungsrat. Wichtig für den gesamten Risikomanagementprozess, "denn wenn wir mit dem Top-Management nicht reden, haben wir ein Problem", resümiert Ebel.
Risiken der Weltwirtschaft, Unsicherheiten bei den Menschen
Die Risikolandkarte ist groß, eng vernetzt und muss daher im globalen Maßstab und unter Beachtung des Wachstumsdilemmas aufgeschlagen werden. Ein Beispiel bieten die Turbulenzen an den weltweiten Finanzmärkten. Dr. Martin W. Hüfner, Chief Economist bei Assenagon Asset Management S.A., und Referent des RiskNET Summit 2015 stellte klar, dass das Wachstum der Weltwirtschaft einen klaren Trend nach unten zeigt. Hierzu tragen nach Einschätzung von Hüfner beispielsweise Fragen um die wirtschaftliche Entwicklung Chinas, die Zinserhöhung in den USA sowie schlechte Unternehmensnachrichten, unter anderem bei VW oder Glencore, bei. Zugleich sieht Hüfner Licht am Ende des Tunnels oder die Lage nicht so pessimistisch wie Teile der Medien, kritischer Ökonomen oder Globalisierungsgegner. "Ich halte eine Rezession der Weltwirtschaft dennoch nicht für wahrscheinlich", so Hüfner. Ein positives Beispiel sieht Hüfner im Wachsen der Realwirtschaft in Europa. Der europäische Wirtschaftsraum sei nach der Eurokrise auf dem Weg der Erholung. Spanien wächst um drei Prozent. Dort habe nach Hüfners Worten die Reformpolitik gefruchtet. Auch in Italien ist eine Besserung in Sicht. In Deutschland sei die Situation noch gut, aber es herrsche ein Stillstand bei Reformen. Ein Thema, das übrigens EU-weit zu beobachten ist. Die Unsicherheit über den weiteren Reformkurs in Europa trägt zu weiterer Unsicherheit bei den Menschen bei.
Die Rahmenbedingungen für die Weltkonjunktur (unter anderem Zinsen, Liquidität und öffentliche Defizite) sind für Volkswirt Hüfner unverändert gut. Wenn sich die Wirtschaft stärker abschwächen sollte, werden Regierungen und Zentralbanken hier sicher noch nachlegen. Die Chinesen haben das schon angekündigt. Und Hüfner resümiert: "Es gibt keine Rezession der Weltwirtschaft. Emerging Markets bleiben in Schwierigkeiten. Die USA halten sich gut, erfüllen aber nicht die Erwartungen. Europa wird der Champion 2016." Ob das so kommt, werden die kommenden Monate zeigen. Denn es gibt in Europa viel zu tun. Oder wie es Le Monde diplomatique formuliert: "Die zukunftsentscheidenden Fragen lauten: Wie können – unter Bedingungen schrumpfender Wachstumsraten – Arbeitsplätze, Renten, Bildung, medizinische Versorgung gesichert werden?" Und darauf muss Europa, müssen die globalen Player Antworten liefern. Im Sinne eines geeinten Europas und der Menschen.
Compliance und menschliche Schwächen
Was passiert, wenn Menschen in der Organisation "quer laufen" erörterte Jan Hansen, Head of Compliance Strategy & Risk, Siemens AG, in seinem Vortrag zu "Compliance Risk Assessment @ Siemens". Siemens, 2006 selbst von einer immensen Compliance-Panne betroffen, stellte nach diesem Vorfall die Uhren neu. Das heißt, der Gesamtprozess des Compliance-Managements wurde fundamental umgebaut und verbessert. Hierzu heißt es im Siemens-Geschäftsbericht 2007: "Vor dem Hintergrund der Ende des Jahres 2006 bekannt gewordenen Korruptionsvorwürfe gegen Mitarbeiter des Unternehmens hat Siemens im Laufe der vergangenen zwölf Monate eine Reihe von wesentlichen Schritten unternommen, um seine Compliance-Verfahren und internen Kontrollen zu verbessern. Das Compliance-Programm wurde unter den Eckpunkten Vorbeugen, Erkennen und Reagieren neu strukturiert." Compliance-Manager Hansen: "Für Siemens war der Vorfall ein Auslöser, das Thema Compliance kulturell ganz anders anzugehen." 2006 war der Konzerne zunächst damit beschäftigt, eine Analyse zu betreiben und die Fälle aufzuarbeiten. Ab dem Jahr 2009 startete das Unternehmen mit der Compliance-Risikoanalyse. Nicht nur, um den eigenen Compliance-Prozess besser aufzustellen, sondern auch vor dem Hintergrund dass Behörden stärker Richtung Compliance schauen. Die zunehmenden Kartellrechts- und Korruptionsverfahren sind ein eindeutiges Indiz. In diesem Zusammenhang spricht Dr. Josef Scherer, Professor für Unternehmensrecht, Risiko- und Krisenmanagement, Gründer und Leiter des Internationalen Instituts für Governance, Management, Risk und Compliance der Technischen Hochschule Deggendorf und Redakteur beim Kompetenzportal RiskNET, von Pflichtaufgaben des Managements beim Thema Compliance.
"Im Rahmen von Corporate Governance müssen Organisationen herausarbeiten, was zu den Pflichtaufgaben des Managements in den einzelnen Unternehmensfunktionen, Führungs-, Kern- und Unterstützungsprozess-Themen, zählt." Und Scherer ergänzt: "Es geht darum, diese Anforderungen transparent zu machen, in messbare Ziele zu übersetzen und mit einem Steuerungs- und Überwachungssystem dafür zu sorgen, dass diese Ziele erreicht werden."
Zurück zu Siemens und dem neuen Weg. Aufgrund der komplexen Struktur bei Siemens gibt es eine Regionen- und Geschäftsverantwortlichkeit. "An diesen Stellen sitzen operative Compliance-Officer", so Hansen zum Organisationsaufbau. Gesamt spricht Hansen von rund 300 Mitarbeitern weltweit, die in den operativen Einheiten sitzen. Hinzu kommen Zentraleinheiten, wie "Regulatory", "Strategy & Risk Data" und "Corporate Core, Global Services, Financial Services, Anti-Money Laundering". Hansen ging im Rahmen seines Vortrags auf zwei Kernprozesse innerhalb der Siemens-Organisation ein. Hierzu zählt der "Compliance Risk Assessment: Bottom-up Compliance risk process". Ein relativ einfacher Prozess in Form eines Workshops. Ziel war es, dass der jeweilige CEO oder CFO Workshops mit den Compliance-Officer in der jeweiligen Einheit (Lead Country/Division) durchführt. Identifizierte Top-Risiken werden danach vor Ort in den Ländern besprochen, systematisiert, dokumentiert und zentral ausgewertet. Der Vorteil dieses Prozesses liegt für Hansen darin, dass man ein anders Bild über die speziellen Risiken vor Ort bekommt und kulturelle und nationale Aspekte besser berücksichtigt. Ein Beispiel: Was kann man als Unternehmen in Nigeria tun, um nicht permanent angehalten zu werden, wenn man eine Turbine von A nach B transportiert. Denn solche Stops sind in der Regel mit massiven Hindernissen, Diskussionen und nicht selten Complianceverstößen verbunden. Nach den Worten Hansens stelle solch ein Verfahren vor Ort mit den unterschiedlichen Risikoeinflüssen ein Lernprozess dar. Diese ganzen Maßnahmen laufen parallel zum Enterprise-Risk-Management-Prozess, wo es vielmehr um strategische oder Produktthemen geht.
Zum zweiten Kernprozess zählt die "Compliance Risk Analysis: Top-down Compliance risk process". Hierbei werden vier bis fünf Einheiten pro Jahr von zentraler Stelle ausgewählt. Es folgt eine detaillierte interne und externe Analyse des gesamten Umfelds. Die Informationen werden gesammelt und konsolidiert, um daraus Fragen für das Management abzuleiten. "Das Ziel ist der Dialog mit dem Management vor Ort", erklärt Hansen den Prozess. Ebenso ausführlich wird der externe Markt nach möglichen Compliance-Schwachstellen abgeklopft und analysiert – inklusive des Marktumfeldes und der Entwicklung, Wettbewerber sowie das juristische Umfeld. Im Grunde geht es nach Hansens Worten darum mit dem Kollegen offen zu diskutieren und die Frage zu stellen, wie sie mit der Beobachtung zu einem potenziellen Risiko umgehen.
Blackout von Systemen und Menschen im Gesamtprozess
Hacker und Saboteure – hinter denen immer auch Menschen mit unterschiedlichen Motiven stecken – haben es mittlerweile auf die kritischen Infrastruktureinrichtungen abgesehen, wozu auch die Energieversorgung zählt. Im Sommer 2014 attackierte eine Hacker-Gruppe mit dem Namen "Dragonfly" Energieversorger mit der Schadsoftware "Havex", um explizit industrielle Steuerungssysteme von Energieanlagen anzugreifen. Und ein Hacker-Team testete 2014 einen Angriff auf die Stromversorgung eines Versorgers mit dem Ergebnis, dass die Steuersoftware der Leitstelle beeinflusst wurde. Solch ein Szenario im reellen Leben mit Erfolg durchgeführt und Kriminelle sowie Saboteure haben leichtes Spiel mit dem kappen der Energieversorgung. Auch weil vielfach veraltete Systeme zum Einsatz kommen, die für Cyberangriffe anfällig sind. Die Folgen eines Stromausfalls vermittelte Kurt Meyer, Head of Risk Management, Chief Risk Officer, Swissgrid AG, am Beispiel eines Blackout. Die Kernfrage hierbei: Was würde passieren, wenn über mehrere Tage der Strom ausfällt? Es zeigt sich, die komplette Infrastruktur bricht ohne Stromversorgung zusammen – vom Verkehr über Kommunikationsnetze bis zum Ausbruch von Seuchen. Kritisch auch, weil die Notfallsysteme nur für 48 Stunden ausgelegt sind.
Nicht umsonst wurden Strommangellagen als Top-Risiko im "Swiss Government Risk Report 2015" verankert. Nicht nur, weil die komplette Infrastruktur von Ausfällen betroffen ist, sondern auch weil die Kosten eines Stromausfalls rund zwei bis vier Milliarden Schweizer Franken pro Tag bedeuten. Diese Dimensionen machen ein schnelles und zugleich schlüssiges Handeln unumgänglich. Doch Papier und Menschen sind geduldig. In der Risikomanagementwelt werden vielfach unschlüssige Prozesse im Umgang mit Cyberrisiken aufgesetzt. Neben der unterschiedlichen Wahrnehmung im Umgang mit Risiken in den Organisationsbereichen. Im Grunde fehlt vielfach die Verknüpfung der einzelnen Bereiche, es kommt zu einem nur schleppenden Feedback, ganz abgesehen von einem fehlenden Lagebild. Das ist kritisch, denn Entscheider müssen in der Krise ad-hoc entscheiden. Im Falle eines Energieversorgers bleiben nach Aussagen von Kurt Meyer nur 20 bis 30 Minuten, um das System wieder zum Laufen zu bringen. Um das umzusetzen, braucht es valide Informationen und klare Prozesse.
Wichtig ist in diesem Kontext eine offene Unternehmenskultur mit einem nach vorne gerichteten Sicherheitskonzept, das in ein modernes Risikomanagement eingebunden ist. Innerhalb des Unternehmens Swissgrid arbeiten Meyer und seine Kollegen daran, die Mitarbeiter in der Organisation stärker zu sensibilisieren und ihnen klarzumachen: "Jeder sollte sein eigener Risikomanager sein", so Meyer. Und er ergänzt: "Es zeigt sich leider immer wieder, dass Unternehmen in die Awareness-Falle tappen. Sprich, vielen Unternehmensvertretern ist nicht klar, welche Chancen die Sensibilisierung der eigenen Mitarbeiter im Umgang mit Risiken für die eigene Organisation bietet."
Lawinenereignisse und der Mensch inmitten des Systems
Lawinenwarndienste verfolgen das Ziel, innerhalb kurzer Zeit einen transparenten Überblick über die wichtigsten Gefahrenmomente zu geben. Analog zu Krisensituationen in Unternehmen sind Lawinenereignisse nicht Zufälliges. Sie lassen sich nach Ursachen in Schemata einteilen. Das Ergebnis ist ein Frühwarnsystem. Was können Unternehmen hieraus ableiten? "Es geht um komplexe, mitunter schwer durchschaubare Abläufe, die zu Gefahrensituationen führen können", bestätigt Dr. Rudi Maier, seit 2009 Leiter des Lawinenwarndienstes Tirol sowie seit 2000 gerichtlich zertifizierter Sachverständiger für Meteorologie, Lawinenkunde und Lawinenunfälle. Und der Mensch befindet sich inmitten des Systems und "kann durch sein Verhalten steuernd eingreifen und das System sowohl positiv als auch negativ beeinflussen", ergänzt Rudi Maier, der auf dem RiskNET Summit 2015 über das Vorgehen bei komplexen Entscheidungssituationen berichtete. Die Kunst besteht – sowohl bei Lawinen als auch im Unternehmensalltag darin, aus den komplexen Wechselbeziehungen die relevanten Frühwarninformationen herauszulesen. Ähnlich einem Geschäftsrisiko sind Lawinen nicht völlig zu vermeiden, aber das Restrisiko kann minimiert werden. Für Maier können einfache Faustregeln zu besseren Ergebnissen führen. Im Umkehrschluss heißt das: Weniger ist mehr und komplexe Probleme brauchen nicht immer komplexe Lösungen.
Apropos: Oft sind es die einfachen Lösungen, um komplexe Risikomanagementthemen zu erklären und zu einer zielführenden und in die Zukunft gewandten Chancensicht zu gelangen. Und das erkannten die Teilnehmer des RiskNET Summit 2015 als klaren Mehrwert. So sieht es beispielsweise Risikomanagementexperte Dr. Manfred Stallinger, Geschäftsführer der calpana business consulting gmbh: "Ich denke, dass mit dem RiskNET Summit bei sehr vielen Risikomanagern auch der in den Vorträgen angesprochene Mut gestärkt wird, weg von der Risikobuchhaltung zu einen quantitativen, entscheidungsunterstützenden Risikomanagementprozess zu gehen." In eine ähnliche Richtung geht Prof. Dr. Michael Huth, Hochschule Fulda, Schwerpunkt Supply Chain Management und Logistik-Risikomanagement: "Der RiskNET Summit 2015 bot eine breite und hochaktuelle Palette an Themen, die gleichzeitig sehr tiefgehend behandelt wurden. Eine exzellente Plattform zum Erfahrungsaustausch und Networken." Für Robert Ebel, Leiter Corporate Risk & Insurance Management bei der HOERBIGER Holding AG aus Zug (Schweiz) war insbesondere die "Mischung zwischen übergreifenden und auf globaler Ebene bestehenden Risiken und Praxisvorträgen" sowie die "Verbindung dieser Themen in die tägliche Arbeit eines Risk Managers" das Besondere am RiskNET Summt. "Der RiskNET Summit bot die Möglichkeit zum Erfahrungsaustausch aber auch neues Wissen zu erlangen", ergänzt Robert Ebel.
Was die nahe Zukunft bringt, werden wir am 8. und 9. November 2016 im Schloss Hohenkammer sehen, wenn der kommende RiskNET Summit 2016 startet und der Mensch wieder im Mittelpunkt steht!