Leaders

von Kurt Sattlegger

Mit Sicherheit zu mehr Erfolg

Risikomanagement hat in den letzten Jahren enorm an Bedeutung gewonnen und ist für Unter­nehmen unerlässlich. Trotzdem scheint es hierzulande noch immer Nachholbedarf zu geben.

Natürlich hat es Risikomanagement schon immer gegeben, denn als Unternehmer oder Manager ist man gefordert, mit Unsicherheiten und Chancen erfolgreich zu jonglieren. Der wissenschaftliche, strukturierte Ansatz jedoch, ein ganzheitliches Verständnis zu erlangen und entsprechende Prozesse zum richtigen Umgang mit unterschiedlichsten Gefahren aufzubauen, ist relativ neu. Nicht zuletzt angesichts der rasant fortschreitenden Digitalisierung innerbetrieblicher Abläufe ist es notwendig, umfassendes Risikomanagement in allen Unternehmensbereichen zu implementieren.

Die Frage nach der aktuellen Situation, danach, ob heimische Organisationen diesbezüglich gut aufgestellt sind, beantwortet Walter Schwaiger, Professor an der TU Wien, mit: „Nicht wirklich.“ Er untersucht in einer groß angelegten Studie den Reifegrad österreichischer Betriebe in dieser Hinsicht. 6.000 Unternehmen wurden kontaktiert und die bis dato vorlie­gen­den Antworten ergeben ein verbesserungswürdiges Bild: Nach einer ersten Analyse werden im Durchschnitt einfache Risikomanagement-Systeme implementiert, wobei diese aber nicht wirklich ins Unternehmen integriert und nur in ausgewählten Bereichen vollzogen werden. Dass Österreich hier eher rückständig ist, liege auch daran, dass die diesbezüglichen gesetzlichen Vorschriften sehr allgemein gehalten seien. Die Vorgabe lautet, „angemessene Systeme“ seien einzurichten. In Deutschland etwa wäre das wesentlich präziser formuliert, wodurch die Regelungen ernster genommen werden und auch einfacher umsetzbar sind.

Warum man sich intensiver auf Risikomanagement fokussieren sollte, erklärt Martin Langer, Professor am FH Campus Wien, folgendermaßen: „Die Vernetzung und die Komplexität der Wirtschaft steigen, die Märkte verändern sich mit zunehmender Geschwindigkeit. Vor diesem Hintergrund bedeutet Risikomanagement dann so etwas wie eine umfassendere Sicht: Je schneller ich fahre, desto länger muss die Strecke sein, die ich vor mir überblicken kann, um jederzeit angemessen reagieren zu können.“ Langer versteht Risikomanagement als „eine Integration der Zukunft in die Gegenwart“. Und der wissenschaftliche Ansatz beginnt mit dem Messen. Einfach wäre das bei technischen Aufgaben, diese könnten zwar kompliziert zu berechnen sein, seien aber doch genau quantifizierbar, beispielsweise, mit welcher Wahrscheinlichkeit ein Netzteil zu brennen beginnt. Vieles lässt sich aber nicht so problemlos in Zahlen fassen, in diesen Fällen greift die semiquantitative Messung: So werden auf organisatorischer Ebene Risikomatrizen erstellt, denen eine Wahrscheinlichkeit von 1,0 bis 5,0 zugewiesen wird. Und auf der strategischen Ebene schließlich würde man Risiken nur qualitativ beschreiben, also etwa, mit welchen Problemen branchenintern in fünf Jahren zu rechnen ist. Für zu befürchtende oder zu erhoffende Entwicklungen werden Szenarien erstellt und entsprechende Maßnahmen vorbereitet. Da sei es von großer Bedeutung, auch ein wenig Out-of-the-Box-Denken zu ent­wickeln, um etwaige Trendbrüche erkennen zu können und ein „Kodak-Schicksal“ zu vermeiden: „Die haben nicht erkannt, dass ihr Geschäftsmodell auslief, denn das Fatale war, dass die Gewinne ständig gestiegen sind, die Zahlen also eine andere Sprache gesprochen haben.“ Weiß man, was droht oder drohen könnte, kann man Gefahren reduzieren bzw. in einen akzeptablen Bereich bringen. Langer ist Studiengangsleiter des Masterstudiums Risikomanagement, das sich vor allem mit der Etablierung modernen Risikomanagements in Unternehmen befasst.

Aon Risk Solutions Austria ist spezialisiert auf moderne Risikolösungen und unterstützt Unternehmen dabei, potenzielle Gefahren zu erkennen, zu bewerten und zu kategorisieren, „damit sich ein klares Bild ergibt“, erklärt Chief Broking Officer Franz Schleifer. Das genaue Erfassen der jeweiligen Lage in all ihrer Komplexität ist unumgänglich, denn je exakter und schlüssiger die Gefahrensituation definiert wird, desto einfacher ist es, sie durch ein geeignetes Versicherungsunternehmen lückenlos abdecken zu lassen. Schleifer ist der Ansicht, dass viele Unternehmen das Cyber-Risiko nach wie vor unterschätzen, obwohl es längst in aller Munde ist. „Ich höre oft, dass Kunden meinen, dass sie nach Investitionen in die IT-Abteilung, in Hard- und Software, auf der sicheren Seite wären!“ Dabei werde gänzlich übersehen, dass beim Thema Cyber-Kriminalität nicht nur Systeme von Bedeutung sind, sondern ebenso Prozesse, innerbetriebliche Abläufe – also insbesondere handelnde Personen. So könnten beispielsweise Mitarbeiter, die nicht korrekt mit Daten umgehen, jede noch so gute Firewall aushebeln. Und natürlich stellt sich dann die Frage: Was passiert, wenn etwas passiert? „Nach einem Cyber-Angriff können immense Kosten entstehen, etwa für IT-Spezialisten und Anwälte bis hin zu Medienexperten, die sich um öffentliche Schadensbegrenzung bemühen. Das könne rasch in die Hunderttausende gehen und natürlich ist auch das versicherbar“, so Franz Schleifer.

Einen weiteren Gefahrenbereich ortet Schleifer im Zuge der Akquisition von Unternehmen. Auch dieser kann von Versicherungen abgedeckt werden, was jedoch noch kaum in Anspruch genommen wird. „Die wenigsten wissen, dass es Versicherungen gibt, die Haftungsrisiken aus der Vergangenheit übernehmen“, also jene, die weder dem Käufer noch dem Verkäufer bewusst waren und die daher auch durch keinen noch so umfassenden Kaufvertrag ausgeschlossen werden können. An diesem Beispiel wird die Unverzichtbarkeit professioneller Begleitung einmal mehr deutlich.

Eine Welt voller Gefahren birgt jedoch auch das Risiko, sich zu verzetteln. Walter Schwaiger beschreibt zwei Arten von Risikomanagement: den Top-down-Ansatz und den Bottom-up-Ansatz. Mit Ersterem versucht man, sich auf die zehn größten Unternehmensrisiken zu konzentrieren. Mit dem zweiten Ansatz will man möglichst alle Gefahren komplett erfassen, was jedoch problematisch werden kann, wenn man sich dabei im Detail verliert. „Da kann es passieren, dass ein mittelständisches Unternehmen auf 800 Risiken kommt.“

Ein ähnliches Szenario beschreibt Isabella Mader, Vorstand und CIO beim Excellence Institute, und geht noch einen Schritt weiter. Sie ist überzeugt, dass zu viel des Guten kontraproduktiv werden kann: „Es gibt auch im Risikomanagement einen Normierungs- und Regulierungswahn, was in vielen Fällen dazu führt, dass der Aufwand, der betrieben wird, um Schäden zu vermeiden, höher ist als der mögliche Schaden selbst.“ Gerade in großen Unternehmen würde eine Regelungsdichte aufgebaut, die ständig wächst, aber niemals reduziert wird, wodurch auch Innovation zum Erliegen komme. Um das zu erkennen, reiche normalerweise die Kostenwahrheit. Was kann man also tun, um die Zwangsjacke der Richtlinien abzulegen? Mader empfiehlt, im Unter­nehmen ein zweites Regelwerk experimentell aufzubauen, etwa für ein bestimmtes Projekt – ein zweites Betriebssystem quasi, das parallel läuft und durch seine Leistungsfähigkeit überzeugen kann. Ein erfolgreiches Beispiel hätte es etwa bei der Gemeinde Wien gegeben: Es sollte schnell eine Bürgerbeteiligungs-App kreiert werden und die Lösung sah so aus, dass ein kleines Team die eigenen Regeln selbst entwickelte. „Dieses Team hat die App in einer Zeit geschafft, in der eine andere Stadtverwaltung erst das erste Formular ausgefüllt hat.“

Was es also wirklich braucht, ist intelligentes Risikomanagement: keine Überfülle an Regelungen, die Unternehmen lähmen, sondern eine Analyse der wesentlichen Risiken und deren professionelle Handhabung im täglichen Geschäft.