42
lösung geschult werden, damit vorhandene
Systeme und Standardanalysen eigenständig
genutzt werden können.
In jedem Fall sollte das
zentrale Risikoma-
nagement
im Unternehmen als eine
Anlauf-
stelle für alle Funktionen
etabliert werden,
die durch Diskussionen und Bereitstellung von
Risikoanalysen Entscheidungen mit vorbereitet
und Projekte während ihrer Umsetzung beglei-
tet.
12
Dies kann sowohl in operativen Projekt-
teams, Lenkungsausschüssen oder auf Top-
Management Ebene aber stets in enger Abspra-
che mit der Unternehmensplanung erfolgen.
13
In
diesem Sinne könnte das Risikomanagement
als Sparringspartner verstanden werden, der
nicht nur von Fachbereichen aktiviert werden
kann, sondern bei unerwarteten Entwicklungen
Entscheidungsträger auch proaktiv mit Ad-hoc-
Berichten versorgt.
Gerade bei akuten Krisen, wie im Falle der Uk-
raine oder Russlands, sollten die Inhalte flexibel
an die vielfältigen Auswirkungen solcher Ereig-
nisse – z. B. auf verschiedene Unternehmens-
bereiche und Zielgrößen – angepasst werden.
Zweistufiges
Maßnahmenmanagement
In der Literatur lassen sich viele Hinweise dar-
auf finden, dass
Risikomanagement zu den
Kernaufgaben eines Managers
gehört
14
–
die betriebliche Realität zeigt jedoch häufig ein
anderes Bild. Wenn, wie oben beschrieben,
eine umfangreiche Risikoidentifikation in allen
Unternehmenseinheiten durchgesetzt wird,
sind die Risikoverantwortlichen regelmäßig ge-
zwungen, sich mit den Unsicherheiten inner-
halb ihres Verantwortungsbereichs auseinan-
derzusetzen und diese zu bewerten. Wenn dar-
über hinaus die Entwicklung und Dokumentati-
on von Maßnahmen zwingend vorgeschrieben
sind, kann ein System etabliert werden, das die
proaktive Steuerung selbst kleiner Risiken auf
lokaler Ebene fördert.
Je klarer die Risk Policy eines Unternehmens
die Erwartungen und den Rahmen für die Ent-
wicklung von risikosteuernden Maßnahmen
vorgibt, desto präziser können diese dezentral
implementiert werden. Es bietet sich dabei an,
grundsätzlich
zwei Arten von Maßnahmen
zu unterscheiden. Maßnahmen zur
Risikover-
minderung
zielen zunächst auf eine Reduzie-
rung der Eintrittswahrscheinlichkeit und/oder
Schadenshöhe ab.
15
Diese oftmals sehr spezi-
fischen und auf operativer Ebene fortlaufend
verankerten Maßnahmen weisen somit einen
präventiven Charakter
auf, die das Bruttori-
siko reduzieren. Durch diese ‚ex ante‘ Maß-
nahmen lässt sich das verbleibende Nettorisi-
ko jedoch nicht vollständig ausschließen. Da-
her ist es sinnvoll,
weitergehende reaktive
Maßnahmen
entwickeln zu lassen, die erst
nach einem Risikoeintritt aktiviert werden und
darauf abzielen, im Ernstfall
Schadensaus-
wirkungen zu begrenzen
oder Folgeschäden
zu reduzieren.
Diese ‚ex post‘ Maßnahmen bilden die Grundla-
ge für ein
erfolgreiches Business Continuity
Management
und beinhalten
Notfallpläne,
Ausweichszenarien und Krisenkommuni-
kationspläne.
Es geht dabei nicht darum, einen
vollumfänglichen ‚Plan B‘ für jede Eventualität
bereit zu halten, sondern für kritische Ereignis-
se eine Ausgangsgrundlage vorzubereiten, die
Panikreaktionen und unzulängliche Entschei-
dungen verhindert. In der Regel ermöglichen
diese Maßnahmen schnellere und zugleich res-
sourcenschonendere Reaktionen im Ernstfall.
Bei globalen Wertschöpfungsketten kann es
zum Beispiel hilfreich sein, für kritische Liefe-
ranten alternative Anbieter mit freien Kapazitä-
ten zu identifizieren und die Fragen zusammen-
zustellen, die beantwortet werden müssten,
wenn ein Lieferantenwechsel notwendig wird.
So wird frühzeitig klar, welche Informationen zu
Schnittstellen, rechtlichen Aspekten, Vorlauf-
zeiten und Kapazitäten im Ernstfall eingeholt
und verarbeitet werden müssen. Auf diese
Weise können Unternehmen ggf. auch solche
Wachstumschancen realisieren, die ohne ein
effektives Risikomanagementsystem zu gewagt
erscheinen.
16
Der
Erfolg
dieses Ansatzes hängt jedoch we-
sentlich davon ab, ob die
hinterlegten Maß-
nahmen
nicht nur als gegenstandslose ‚Platz-
halter‘ gepflegt, sondern
im operativen Tage-
geschäft auch umgesetzt
und nachgehalten
werden. Dies kann hauptsächlich über drei
Mechanismen erreicht werden: Erstens, durch
legitimierte Kontrollinstanzen und -intervalle
(z. B. durch das zentrale Risikomanagement
mithilfe eines IT-gestützten Risikomanage-
mentsystems oder die Interne Revision), zwei-
tens, durch spürbare Sanktionen im Fall von
Nichtbefolgung sowie drittens, durch eine un-
terstützende Risikokultur.
Entwicklung einer Risikokultur
Die eigentlich offensichtliche Erkenntnis, dass
Risiken nicht nur aus strategischen Entschei-
dungen, sondern ebenso durch operative Hand-
lungen entstehen, kann als ein integrativer Risi-
komanagementansatz interpretiert werden. Da-
raus folgt jedoch nicht nur, dass
alle Mitarbei-
ter
unmittelbar betroffen sind, sondern auch,
dass jedem eine
aktive Rolle im Risikoma-
nagement
zugeschrieben werden sollte. Ein
wirklich integrativer Ansatz kann also nur ent-
stehen, wenn jeder Mitarbeiter sich bei seinen
Tätigkeiten mit Risiken auseinandersetzt, diese
erkennt und meldet.
17
Da dies anhand von Richtlinien, Checklisten
und starren Workflows kaum zu erreichen ist,
erlangt die Verhaltenssteuerung der Mitarbei-
ter über eine Risikokultur einen großen Stellen-
wert für den langfristigen Erfolg des Risikoma-
nagementsystems. Die Weiterentwicklung be-
stehender Unternehmenswerte oder die Imple-
mentierung einer eigenständigen Risikokultur
als Ergänzung zu formalisierten Management-
ansätzen sind daher geeignete Mittel, um Risi-
kobewusstsein und Risikokommunikation zu
fördern.
18
Die angestrebte Risikokultur ist dabei
stets als ein Element der generellen Unterneh-
menskultur zu verstehen. Daher sollten alle In-
itiativen zur Veränderung oder
Etablierung
ei-
nes firmenspezifischen
Wertegerüsts
auch
unter Einbindung des zentralen
Risikoma-
nagements
entwickelt werden.
Risikoorientiertes Handeln im Sinne einer Risi-
kokultur wird jedoch nur entstehen, wenn dies
auf allen Hierarchieebenen sichtbar ist und ins-
besondere auch von der Unternehmensleitung
vorgelebt wird. Der
‚Tone-from-the-Top‘ ist
gerade in diesem Zusammenhang
ausschlag-
gebend
. Besonders unterstützend kann eine
Risikokultur auch bei der nachhaltigen Durch-
setzung der oben beschriebenen Maßnahmen
wirken.
Maßnahmenorientiertes Risikomanagement