Nachlese RiskNET Summit 2023

Vom Papiertiger zum "Big Picture" der Risiken


Nachlese RiskNET Summit 2023: Vom Papiertiger zum "Big Picture" der Risiken News

Was wäre, wenn? So steht es geschrieben über dem Eingang zum Ideenzug, einem Projekthaus der Deutschen Bahn in Frankfurt am Main. Was wäre, wenn? Eine Frage, die sich nicht nur die Bahn hinsichtlich neuer Mobilitätskonzepte stellt, sondern im Grunde jedes Unternehmen und dessen Risk Management und Chancenmanagement stellen müsste. Denn für Risikomanager ist der Blick in die Zukunft ein Muss – will man Chancen wahren und nicht in der Vergangenheit verharren. Leider sprechen wir an dieser Stelle vom Konjunktiv, mit Blick auf viele Unternehmen, wie der RiskNET Summit 2023 verdeutlichte. Einer Fachkonferenz, die am 10. und 11. Oktober im Ideenzug Station machte.

Zäsur und Zeitenwende. Zwei Vokabeln, in den letzten Monaten inflationär gebraucht von Politik und Wirtschaft. Für die erste Gruppe, nämlich viele Politiker, gehört es mittlerweile zum traurigen Alltag in leeren Worthülsen zu sprechen. Das zeigt sich mehr als deutlich bei innen- und außenpolitischen Themenfeldern. Recht häufig dominiert Reaktion und Krisenmanagement an Stelle von Prävention. Als Beispiele seien die Eskalation des Ukraine-Konflikts, das chaotische Krisenmanagement während der Corona-Pandemie oder auch aktuell die geopolitische Positionierung gegenüber anderen Ländern genannt. In der Außenpolitik macht Deutschland keinen schlanken Fuß. Im Gegenteil wird die Diplomatie recht undiplomatisch von Maßregelungen und einer gewissen Borniertheit des politischen Personals gegenüber anderen Ländern und Kulturen ungeniert zur Schau getragen. Das heißt, das Risikomanagement im politischen Zirkus wird hierzulande de facto zusehends ausgehöhlt. Bei Letzteren, sprich dem Topmanagement und Risikomanagement von Unternehmen, sollten indes die geopolitischen und damit wirtschaftlichen Verwerfungen längst in ihre Organisationsstrategie eingepreist sein, inklusive des Verständnisses inmitten einer neuen Zeit. Tun sie aber nicht unbedingt, wie der zweitägige RiskNET Summit zeigte. Und so könnte ein Motto der Veranstaltung lauten: vom Papiertiger zum Big Picture.

Menschen ins Gespräch bringen statt komplexer Bürokratie

Apropos Papiertiger. Die Deutsche Bahn (DB) hat sich zum Ziel gesetzt, eben jenen Papiertiger einzufangen. Nora Guthoff, ihres Zeichens Head of Information Security, Governance, Risk & Compliance bei der Deutsche Bahn, formuliert es als "eine (R)Evolution im IS-Risikomanagement". Damit umschreibt die Risikomanagerin den Wegweiser, auf dem geschrieben steht: "Mit 19 Geschäftsfeldern gestalten wir die Cybersecurity für einen resilienten DB-Konzern." Stephan Wettlaufer unterstützt Nora Guthoff bei der Weiterentwicklung des Reifegrads des Risikomanagements von Informationssicherheitsrisiken bei der DB. Er ergänzt in diesem Kontext: "Wichtig ist es, die Transparenz über die IT-Risiken des DB-Konzerns zu steigern und zu einem konzernweiten Cyberbericht zu aggregieren."

Nora Guthoff: "Wir gestalten die Cybersecurity für einen resilienten DB-Konzern!"Nora Guthoff: "Wir gestalten die Cybersecurity für einen resilienten DB-Konzern!"

Bei dieser Suche nach dem Gesamtbild hilft das Bild der sechs blinden Gelehrten aus dem Hindustan, die immer schon wissen wollten, was eigentlich ein Elefant ist. Da sie den Elefanten nur ertasten können, beschreibt jeder nur seinen kleinen Bereich, den er gerade (zufälligerweise) berührt. So fühlt sich für den einen blinden Gelehrten der Bauch anders an wie für seinen Kollegen die Stoßzähne, der Rüssel anders als das Bein, der Schwanz anders als das Ohr. Alle Einschätzungen zusammen ergeben hier das Gesamtbild eines Elefanten. Doch jedes einzelne Bild des Elefanten für sich ist völlig nutzlos und führt in die Irre. Und führt vor allem zu ausgeprägter Risikoblindheit.

Exakt hier liegt das Problem vieler Risikomanagement-Systeme. Wir beschäftigen uns mit Details und erkennen den Elefanten nicht. Stephan Wettlaufer weist daher darauf hin, dass das Risikomanagement unter anderem mehr Standardisierung benötigt: "Wir müssen viele Puzzleteile zusammenfügen". Er ergänzt: "Die größte Herausforderung besteht darin, alle Informationen vergleichbar zu machen." Schlussendlich liege nach Wettlaufers Worten 60 Prozent der Arbeit in der täglichen Überzeugung für ein qualitatives Mehr an Risikomanagement. Auch mittels Best Practice, einer methodischen Herangehensweise und dem regelmäßigen Austausch mit den Fachbereichen. "Wir schicken die richtigen Menschen an die richtigen Stellen, damit diese ins Gespräch kommen", resümiert Stephan Wettlaufer auf dem RiskNET Summit 2023.

Stephan Wettlaufer: "Wir schicken die richtigen Menschen an die richtigen Stellen, damit diese ins Gespräch kommen!"Stephan Wettlaufer: "Wir schicken die richtigen Menschen an die richtigen Stellen, damit diese ins Gespräch kommen!"

Die Bürokratie ist der Terrorismus des 21. Jahrhunderts

Gut, wenn Menschen miteinander ins Gespräch kommen. Denn zu viel Bürokratie schadet der Kommunikation und letztendlich dem Risikomanagement. Prof. Gerhard Stahl, Chief Research & Development Officer bei HDI Group, hat dafür ein passendes Zitat zur Hand: "Die Bürokratie ist der Terrorismus des 21. Jahrhunderts". Ein Ausspruch, dem keinem anderen als Jochen Sanio, ehemaliger Präsident der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht, kurz BaFin, zugesprochen wird. Ob er den Satz sagte oder nicht, spielt im Grunde keine Rolle. Wichtig ist der tiefere Sinn des Ganzen – schließlich ist Deutschland bei der Bürokratisierung weit vorne im europäischen Ranking. Im übertragenen Sinn meint Stahl mit dem Zitat: "Regulierungen sind Systeme, die auf sich selbst wirken." Der HDI-Manager nennt in diesem Zusammenhang die Finanzmarktkrise als Beispiel eins komplexen Systems, weshalb der Finanzmarkt fast in die Knie ging. Das Resultat sei nach Stahl mehr Kontrolle. Im finanziellen Risikomanagement würde nach Stahl alles bewertet. Daraus folgert er: "Regulierung ist so komplex, dass Vielen das klare Denken und Handeln verstellt wird." Stahl nennt es die "gebundenen Geister". 

Gerhard Stahl: "Regulierung ist so komplex, dass vielen das klare Denken und Handeln verstellt wird!"Gerhard Stahl: "Regulierung ist so komplex, dass Vielen das klare Denken und Handeln verstellt wird!"

Der studierte Mathematiker verweist auf den Faktor Zeit, der einer der am meisten unterschätzten Faktoren sei. Ganz nach dem Motto: "Time is money". Darüber hinaus seien seiner Meinung nach Wahrscheinlichkeiten ätzend. "Sie sind keine beobachtbaren Größen und daher ein rein theoretisches Konstrukt", unterstreicht Stahl.

Weniger ist mehr oder: Keep it simple, stupid

Diesem Dilemma versuchen nicht wenige Risikomanager mit einem Mehr an Daten zu begegnen. Doch bringt das eine merkliche Unterstützung für gute Entscheidungen, wenn die Zukunft nicht vorhersehbar ist? Niklas Keller vom Harding Zentrum für Risikokompetenz lieferte auf dem RiskNET Summit die Antwort: "Bei manchen Entscheidungen können mehr Daten und Komplexität helfen." Er fügt hinzu: "Aber das ist offensichtlich nicht immer der Fall. In vielen Fällen erleben wir eine Flucht nach vorne, um mittels mehr Daten Unsicherheit besser zu managen." Im Umkehrschluss heißt das, dass die Qualität der Entscheidungen nach Kellers Worten nicht zwingend steige. Keller: "Unsicherheiten mit Komplexität verhindern zu wollen, ist ein Trugschluss". Und er ergänzt hinzu: "Weniger kann mehr sein unter Unsicherheit." Oder dem alten Spruch folgend: Keep it simple, stupid. 

Niklas Keller: "Unsicherheiten mit Komplexität verhindern zu wollen, ist ein Trugschluss"Niklas Keller: "Unsicherheiten mit Komplexität verhindern zu wollen, ist ein Trugschluss"

Keller nennt in diesem Kontext das Beispiel des vorhersehbaren Erfolgs eines Kinofilms. Dieser lässt sich beispielsweise durch komplexe Berechnungen, mithilfe von Entscheidungsbäumen oder schlicht auf Basis der sogenannten "Rule of 17" vorhersagen. Das heißt: Multipliziere die Einnahmen am Eröffnungswochenende mit 17. Letztere, nämlich eine einfache Berechnung, funktioniert gerade unter Unsicherheiten, wie eben der Suche nach einer Antwort, die Frage des Erfolgs an den Kinokassen. Daraus folgert Keller, dass es im Grunde mit Blick auf Risiken und Unsicherheiten darum gehe, das passende Werkzeug zu wählen. Damit verbunden sollte auch eine Selbstreflexion in der eigenen Organisation sein. Wichtig, um beispielsweise intern die Frage zu beantworten, ob Unsicherheiten explizit gesucht und aufgedeckt und diese separat von quantifizierbaren Risiken behandelt werden. Oder sind Entscheidungsprozesse im jeweiligen Unternehmen an den Grad der Unsicherheit angepasst? Schlussendlich gehe es nach Keller um einfache Strategien bei hohen Unsicherheiten und wenigen Kriterien.

Methodisch sauber arbeiten – die richtige Einordnung von Risiken

In eine andere Richtung denkt und spricht Prof. Werner Gleißner, Vorstand der FutureValue Group und Lehrbeauftragter an der Technischen Universität Dresden. Für ihn bedeutet das Aggregieren von Risiken das A und O im gesamten Risikomanagement eines Unternehmens. "Fortlaufend", wie er mit Blick auf die Risikolandkarte betont. Dies sei nach Gleißners Dafürhalten schon hinsichtlich der Unternehmensplanung geboten – auch vor dem Hintergrund gesetzlicher Anforderungen im Risikomanagement sowie der möglichen Haftung von Geschäftsführern. Gleißner: "Die Latte liegt hoch, um eine Risikoanalyse und -aggregation durchzuführen." "Methodisch arbeiten" sei elementar, so Gleißner, der auf das Big Picture für Organisationen im Risikomanagementprozess verweist. "Es geht um die Zukunftssicherung des Unternehmens, was Resilienz und Robustheit voraussetzt", erklärt Gleißner. Damit spielt der Risikomanagementexperte auf die Tatsache an, dass Unternehmen sich vielfach auf mittlere Risiken konzentrieren und diese aufbauschen. Er führt fort: "Wir beschäftigen uns mit diesen Risiken, statt den wirklich großen Risiken." Als Beispiel zeigte er auf, dass einige Unternehmen in ihrer Existenz bedroht sein werden, da Wettbewerber in anderen Ländern nicht dekarbonisieren.

Werner Gleißner: "Die Latte liegt hoch, um eine Risikoanalyse und -aggregation durchzuführen."Werner Gleißner: "Die Latte liegt hoch, um eine Risikoanalyse und -aggregation durchzuführen."

Von daher gelte es seiner Meinung nach aufpassen, ein bestimmtes Thema nicht als das eigene zu begreifen, wie etwa den Klimawandel, sondern die richtige Einordnung von Risiken vorzunehmen. Hinsichtlich des Einsatzes neuer Technologien und Methoden im Risikomanagementumfeld, wie etwa Artificial Intelligence (AI), ist Gleißner geteilter Meinung: "Maschinen können helfen, Daten aufzubereiten." Dagegen sei es für ihn in naher Zukunft nicht möglich, Methoden mit neuen Fragestellungen zu verknüpfen. "Das schafft die Maschine in absehbarer Zeit nicht", resümiert Gleißner.

Länderrisiken als wesentliches Element von Supply-Chain-Risiken

Wie wichtig eine methodisch saubere Arbeit und permanente Überwachung sowie Justierung des Risikomanagements in den eigenen Reihen ist, zeigt sich nicht zuletzt bei exportorientierten und Lieferketten-abhängigen Unternehmen. Gerade dort muss eine regelmäßige Bewertung möglicher Risiken erfolgen. Denn zu groß ist die Bandbreite möglicher Einflussfaktoren auf das Kerngeschäft. Nicht umsonst versteht Claudia Haas, Chief Market Officer bei der Coface-Kreditversicherung, Länderrisiken als zentrales Element in der Absicherung von Lieferketten. Diese gilt es laut Haas stetig im Blick zu haben und neu zu bewerten. Schließlich bietet die Kreditversicherung im Fall der Fälle einem Unternehmen Schutz vor der Nichtzahlung von Forderungen aus Lieferung und Leistung oder der Zahlungsunfähigkeit Ihrer Kunden. 

Das können im Ernstfall bis zu 90 Prozent der Forderungen sein. Vor diesem Hintergrund ist es für die Coface selbsterklärend, Unternehmen, Länder und das jeweilige Geschäft genau unter die Lupe möglicher Risiken zu nehmen. Bei der Methodik setzt der Kreditversicherer auf eine Länderrisikoeinschätzung. Basis dafür sind sechs Säulen – vom Unternehmensklima und den Zahlungserfahrungen über die Makroökonomie und Politik bis zu Banken- und Klimafaktoren. Haas spricht mit einem Fokus auf die politische Säule von geopolitischen Spannungen als Teil unseres "neuen normal". "Unternehmen spüren, dass es um das Funktionieren der Lieferketten geht und damit verbunden um Sicherheit in der jeweiligen Lieferkette". Vor diesem Hintergrund unterstreicht sie: "Länderrisiken spielen eine Rolle." Leider scheint das in vielen Unternehmen nicht mit der notwendigen Brisanz angekommen. Hierzu sagt Coface-Managerin Haas: "Länderrisiken sind häufig nicht sichtbar genug und die Geopolitik findet zu wenig Beachtung in den Unternehmen." Dabei gehörten ihrer Einschätzung nach das Überwachen von Länderrisiken zu einem wirksamen und ganzheitlichen Risikomanagement. Denn am Ende gehe es ihrer Ansicht nach darum, Länderrisiken als reale Gefahren einzuschätzen.

Claudia Haas: "Länderrisiken sind häufig nicht sichtbar genug und die Geopolitik findet zu wenig Beachtung in den Unternehmen."Claudia Haas: "Länderrisiken sind häufig nicht sichtbar genug und die Geopolitik findet zu wenig Beachtung in den Unternehmen."

Das Big Picture im Risikomanagement

Der RiskNET Summit 2023 hat einmal mehr gezeigt, dass eine methodisch saubere Arbeitsweise Konstanz und valide Aussagen in das Risikomanagement und damit in die Gesamtsteuerung der eigenen Organisation bringen kann. Das ist ein wichtiger Treiber, um vom reinen Papiertiger zum Big Picture im Risikomanagement zu gelangen. Ein wichtiges Element, gerade in unsicheren Zeiten. Apropos Big Picture. Das zeichnet RiskNET seit nunmehr 25 Jahren für Unternehmen jeder Größe aus, um von der Risiko- zur Chancensicht zu gelangen. Fortsetzung folgt – auch mit dem kommenden RiskNET Summit im Herbst 2024. 

 

[ Bildquelle Titelbild: RiskNET GmbH | Peter Hartmann ]

Bildstrecke RiskNET Summit 2023


 
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.