Strategisches Chancen- und Risikomanagement

Warum Unternehmen von Odysseus lernen können


Strategisches Chancen- und Risikomanagement: Warum Unternehmen von Odysseus lernen können Kolumne

Manchmal lohnt ein Blick zurück in die Vergangenheit, um den Blick für das Zukünftige zu schärfen. Als Odysseus, König von Ithaka und Held der griechischen Mythologie, seine Fahrt vorbei an den liebreizenden aber zugleich gefährlichen Sirenen plante, befolgte er den Rat der Zauberin Kirke. Die schlug ihm und seinen Männern eine Art "Verhaltenskodex" vor, um mit seinem Schiff die gefürchteten Sirenen zu passieren. Die Chancen auf ein weiteres Leben wahrend und die Risiken des getötet werden minimierend, verstopften sich die Männer die Ohren mit Wachs. Somit konnten diese die betörenden Gesänge der Sirenen nicht hören. Odysseus selbst ließ sich an den Mast des Schiffes binden, damit er den Lockungen der Sirenen nicht erliegen konnte. Im Grunde handelt es sich bei dem von Homer beschriebenen Abenteuer des Odysseus um ein praxisnahes, präventives und effektives Risikomanagement.

Im Klartext heißt das: Was uns Odysseus Abenteuer im speziellen Fall lehrt, ist ein Chancen- und Risikomanagement par excellence. Die beste Route wählen. Chancen und Risiken in Abstimmung mit Kirke, als eine Art "Risiko-Analystin" fungierend, im Vorfeld abwägen, um die richtigen Schlüsse zu ziehen und vorausschauend zu agieren. Manch Unternehmen könnte aus dieser scheinbar simplen Geschichte rund um den Kapitän sowie Risikomanager Odysseus für das hier und jetzt lernen.

Organisationen lernen aus Fehlern …

… von wegen. Heute, über 3000 Jahre nach Odysseus Abenteuer, ein paar Fakten und Zahlen vorab. Bereits im Jahr 2011 präsentierte die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC eine Studie mit dem Namen: "Von der Krise zu einer neuen Risikokultur?" und kommt zu dem Schluss: "Zwar waren die befragten Top-Entscheider zufrieden mit den Risikomanagement-Systemen. Ihre weiteren Antworten lassen aber erkennen, dass sie deutliches Verbesserungspotenzial in verschiedenen Bereichen ihres Risikomanagements sehen." Als die wichtigsten Risiken kristallisierten sich "IT- und Datensicherheitsrisiken",  "Finanzrisiken", "Marktrisiken", "operationelle Risiken wie menschliches Versagen oder das Versagen von Systemen im Unternehmen" sowie "Reputations- und Imagerisiken" heraus. Und die Berater von KPMG stellten im Jahr 2013 im Rahmen einer Umfrage unter 1.800 Personen aus 21 Ländern fest: "Die Qualität der Informationen, die die Prüfungsausschüsse über wesentliche, das Unternehmen betreffende Risiken – speziell Cyber Security – erhalten, gibt vielen Befragten Anlass zur Sorge. Ebenso sind fast 50 Prozent der Meinung, dass die Befassung mit Compliance-Themen im Lichte der verschärften Anti-Korruptionsgesetze stärker in den Fokus gerückt ist."

Das klingt zunächst alles nach Einsicht, Verbesserung und Gesetzestreue, dem Leitbild des "ehrbaren Kaufmanns" folgend. Denn das war einst Sinnbild für die verantwortungsvolle Teilhabe am Wirtschaftsleben – nach innen und außen gerichtet. Doch davon sind wir weit entfernt. Korruption, Bestechung und Manipulation als Dreiklang in der Unternehmenswelt von heute sind keine Seltenheit. Hinzu kommen schlechte Informationssicherheitsprozesse, Cyberangriffe und Spionage, mangelnde Mitarbeiter-Awareness im Umgang mit Unternehmensinformationen, und der Rückspiegel der Unternehmensleitung bei der Risikobewertung samt reiner Risikobuchhaltung. Letzteres ist vor allem deshalb fatal, da es die Sicht nach vorne nimmt, ein strategisches und damit unternehmerisches Handeln erschwert oder gar verhindert und letztendlich die Chancenwahrnehmung blockiert.

Aus Verantwortungslosigkeit wird Schicksal

Die These des Vorsitzenden des Vorstands des Rückversicherers "Munich Re", Nikolaus von Bomhard, lautet: "Die vermeintliche Unvorhersehbarkeit von Ereignissen" muss "nur allzu oft als Ausrede für fehlendes Risikomanagement herhalten".  Und Bomhard ergänzt: "Auf diese Weise wird aus menschlichem Versagen höhere Gewalt, aus Leichtsinn wird Pech, aus Verantwortungslosigkeit wird Schicksal."

Die täglichen Medienberichte zeigen, woran viele Risikomanagement- und Compliance-Prozesse kranken: an den handelnden Personen. Und die wursteln in den Führungsetagen vor sich hin – quer durch alle Branchen und Unternehmensgrößen.

Der Münchner Sozialpsychologe Dieter Frey wies in einem Interview mit dem Manager Magazin darauf hin, dass die Risiken für ein Unternehmen steigen, wenn Machiavelli ins Spiel kommt, also Machthunger sich mit Narzissmus paart. Der vormalige Top-Manager Thomas Sattelberger ist gar davon überzeugt, dass alle Machtorganisationen dazu neigen, "sich eine Kultur der Günstlinge und Hofschranzen zu erschaffen. Unterliegen sie keinem Korrektiv, so unterdrücken sie ehrliche Geister und schaffen eine Atmosphäre der Angst, in der so lange nichts Kritisches nach oben gelangt, bis dort nur noch der berühmte Kaiser ohne Kleider anzutreffen ist." (siehe Interview in Die Zeit vom 2. Juni 2016). In Bezug auf den aktuellen Dieselgate-Skandal ergänzt Sattelberger: "Getrieben von wahnwitzigen Absatz- und Ergebniszielen, haben sich Manager wie Ingenieure korrumpieren lassen – und den Mund gehalten."

Denn die Mär vom Großunternehmen, das beim Thema Risikomanagement professioneller sei als kleine und mittlere Unternehmen ist meist ebenso haltlos, wie Meldungen zu "Mittelstand mit Nachholbedarf".

Kostproben, von der Commerzbank und der Deutschen Bank über die Fifa, MAN bis Siemens und VW, hinterlassen in diesem Punkt eine mehr als bittere Note. Im Umkehrschluss könnte es auch drastisch formuliert werden: Viele Konzerne und ihre Chefetagen können oder wollen aus Fehlern nicht lernen. Die Resultate sind in gewohnter Regelmäßigkeit hohe Strafzahlungen und Reputationsverluste.

Bezeichnend ist in diesem Kontext ein Kommentar in der Süddeutschen Zeitung zu "Globaler Filz" von Ende April 2016. Darin heißt es: "Nicht nur Manager werden lernen müssen, wie man Geschäfte mit Anstand macht" und meint den Abgasskandal in der Automobilbranche. Im Grunde stehen Unternehmen in unserer globalen Welt vor einer Vielzahl an Risiken. Diese gilt es zu bewerten, im eigenen Risikoatlas aufzunehmen und mit geeigneten Maßnahmen zu hinterlegen. Die Strategie dahinter heißt: Risikosteuerung. Nikolaus von Bomhard von der Munich Re sieht es wie folgt: "Ob Finanzkrise, Terrorismus oder drohender Zerfall der EU: Wir brauchen in den Staaten wie in den Unternehmen eine schonungslose und umfassende Sicht auf die Risiken in Politik, Wirtschaft und Natur. Die Behauptung, manche Krisen seien nicht vorhersehbar gewesen, ist nur zu oft ornithologische Rosstäuscherei." Odysseus lässt grüßen.

Von Kotrollsystemen, dem Mitarbeiter und neuen Verhaltensmustern

Klar ist, dass das Eingehen von Risiken zum Geschäftsalltag gehört. Das Wirtschaftsmagazin "brand eins" formulierte es vor einigen Jahren einmal so: "Unternehmen heißt riskieren.  Erfolgreich unternehmen heißt kalkuliert riskieren. Aber was und wie viel? (…) Stark regulierte, abgegrenzte Märkte reduzieren Chancen und Wachstumspotenziale, gleichzeitig schafft die Verflechtung und Deregulierung der Märkte neue, bislang unbekannte Risiken. Neue Technologien beschleunigen das Geschäft, zwingen zu raschen Entscheidungen und oft zum radikalen Umbau von Organisationsstrukturen und Verhaltensmustern." Das zu viel an Risiken in Form unkalkulierbarer Organisationsschritte bedeutet nichts anderes als mangelhafte  interne Kontrollsysteme. Sprich Verfahren und Prozesse, um Risiko- und Compliancemanagement sinnstiftend in der eigenen einzusetzen und als strategisches Planungs- und Überwachungsinstrument zu verstehen. Werden diese Instrumentarien nicht oder nur unzureichend eingesetzt und die Funktionsweise des Risikomanagement- Prozesses nicht regelmäßig überwacht, gerät das Unternehmen schnell in Schieflage. In diesem Kontext können integrierte Lösungen den kompletten Governance-, Risk- und Compliance(GRC)-Prozess maßgeblich unterstützten. Im Grunde geht es nach den Worten von PwC darum: " (…) ein mit den Steuerungsprozessen des Unternehmens verknüpftes Risikomanagement-System einzuführen, um regulatorische, latente, strategische und operative Geschäftsrisiken wirkungsvoll steuern zu können". Übertragen heißt das, regulatorische, latente sowie strategische und operative Risiken zwingend auf dem Radar zu haben.

Aber, und darauf verweisen Experten, die beste GRC-Lösung hilft nichts, wenn der Mensch in der Organisation nicht vor den Risiken sensibilisiert und eine dementsprechende Unternehmenskultur aufgebaut wird. Nach Expertenmeinung besteht ein "Lösungs-Mensch-Verhältnis" von 20:80. Das heißt, 20 Prozent unterstützt eine Software den Prozess. Aber mit 80 Prozent macht der eigene Mitarbeiter in der Organisation den Löwenanteil im Gesamtgefüge aus. Im Umkehrschluss sollten Unternehmen ein Hauptaugenmerk auf die Aus- und Weiterbildung der eigenen Mitarbeiter legen – flankiert von umfassenden Awareness-Kampagnen. Und das bedarf dem Zitat von "brand eins" folgend in vielen Fällen eben des Umbaus der Organisationsstruktur. Und wichtiger noch braucht es neue Verhaltensmuster bei allen Mitarbeitern. Also auch den Kapitänen dieser Unternehmenswelt. Sonst droht Schiffbruch und Verderben – auch ohne Sirenen.

Autor:

Frank Romeike, geschäftsführender Gesellschafter RiskNET GmbH, Gründer und Partner RiskNET Advisory & Partner sowie Chefredakteur der Zeitschrift RISIKO MANAGER.

[ Bildquelle Titelbild: © sirylok - Fotolia.com ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.