„Nichts ist mehr so, wie es einmal war.” Zu diesem Resümee kommen die Macher der Sicherheitskonferenz in München in ihrem „Munich Security Report 2019”. Nun klingt diese Aussage zunächst trivial. Doch zeigt sich mit Blick auf die geopolitische Lage, wie ernst die Situation für die Staaten und Bündnisse ist. Die Bandbreite potenzieller Risiken ist groß und reicht vom Protektionismus über Handelsbarrieren und Sanktionen bis zu Cyberrisiken sowie Krieg und Terror. Nicht umsonst scheint der Titel des Reports gewählt: „The Great Puzzle: Who Will Pick Up the Pieces?” Eine zentrale Frage in einer Zeitenwende – auch für das Risikomanagement und sein Personal.

Eine Welt voller Risiken

Die Beantwortung dieser Kernfrage hängt nicht nur von Staaten, Bündnissen und dem Militär ab. Nein, die Dimension des Umbruchs im weltpolitischen Maßstab fordert auch die Zivilgesellschaft und Unternehmen. Im Umkehrschluss müssen sich Entscheider auf Szenarien in einer Welt voller Risiken einstellen. Nimmt man weitere Risikofaktoren wie Naturkatastrophen, Währungsrisiken, die Digitalisierung oder Korruption hinzu, so entsteht ein großes Puzzle, das es zu ordnen gilt. Also jede Menge Handlungsfelder, denen sich Unternehmensverantwortliche stellen müssen. Gut beraten ist, wer den Blick nach vorne richtet und mit einem professionell aufgestellten Risikomanagement sowie gut ausgebildeten Risikomanagern die eigene Organisation durch die Unwägbarkeiten unserer turbulenten Zeit führt. Soweit zum Wunschdenken. Leider zeigen die vielen Vorfälle im nationalen und internationalen Umfeld, dass nicht jede Organisation auf mögliche Risikoszenarien vorbereitet ist. Die Folgen reichen von Produktionsausfällen über Reputationsverluste und Strafzahlungen bis hin zur Insolvenz von Firmen.

Vorsorge und Planung tut Not

Mitte Februar 2019 ließen gleich zwei Meldungen aufhorchen: Über die Medien wurde bekannt, dass das legendäre Segelschulschiff „Gorch Fock” wohl nicht so schnell wieder aus dem Trockendock herauskommt, in dem es seit rund drei Jahren zur Reparatur liegt. Denn neben der bekannten Kostenexplosion kam nun ans Tageslicht, dass Gelder nicht an Subunternehmen gezahlt wurden und die zuständige Werft Insolvenz anmelden muss. Ein doppeltes Desaster für das Verteidigungsministerium und ihre Chefin Ursula von der Leyen. Ausgang ungewiss. Und auch in Berlin saß man im wahrsten Sinne des Wortes im Dunkeln. Nicht im Verteidigungsministerium, sondern im Stadtteil Berlin-Köpenick. Dort sorgten Bauarbeiten für einen Stromausfall, der über 30 Stunden andauerte. Schadensbilanz bis dato unbekannt. Zwei Fälle in einer Welt voller Risiken, die unterschiedlicher nicht sein könnten. Und doch zeigt sich eine Gemeinsamkeit: Es mangelte hier wie dort an klaren Risikomanagementstrukturen, Kontroll- und Überwachungsinstanzen sowie Notfallplanungen.

Nun ist es eine Binsenweisheit, dass sich Risiken nicht komplett ausschließen lassen. Aber Vorsorge tut Not und eine gute Planung hilft zudem, die Resilienz in der eigenen Organisation zu stärken. Dass dies nicht umfassend geschieht, darauf verweist Jan Offerhaus, Vorstandsmitglied der Risk Management Association (RMA). „Leider stellen wir als Risikomanagementverband immer wieder fest, dass es an Strukturen aber auch an Know-how im Risikomanagement in Unternehmen fehlt.” Seiner Meinung nach sei es unerlässlich, dementsprechende Strukturen aufzubauen und die Mitarbeiter mit fundiertem Wissen in die Lage zu versetzen, Risikomanagement als Gesamtprozess zu leben. Jan Offerhaus: „Das erfordert ein klares Umdenken vonseiten der Führungsebene, die diesen Prozess initiieren und überwachen muss. Ganz abgesehen davon, dass die Gesetzeslage ein solches Vorgehen von Geschäftsführern und Aufsichtsräten fordert.”

ERM-Weiterbildungsprogramm in Theorie und Praxis

Die RMA bietet seit mehreren Jahren das Weiterbildungsprogramm zum Enterprise Risk Manager (Univ.), kurz ERM-Programm, an. Inhaltlich geht es darum, die wichtigsten Methoden und Instrumente des Risikomanagements zu erlernen und diese in der täglichen Praxis anzuwenden. Das didaktische Konzept des Qualifizierungsprogramms umfasst neben klassischer Lehre eine Vielzahl von interaktiven Lernmethoden wie Fallstudien, Gruppenübungen, Praxisbeispielen sowie ein Planspiel. Ein Plus des Programms ist die abschließende Projektarbeit, bei der das erlernte Wissen direkt in die Praxis umgesetzt wird. In Kooperation mit dem Forschungszentrum Risikomanagement der Universität Würzburg richtet sich das 10-tägige Weiterbildungsprogramm an Fach- und Führungskräfte sowie Berater aus den Bereichen Strategie, Finanzen, Controlling, Revision, Risikomanagement, Compliance, Qualitätsmanagement und verwandten Teilgebieten. Die Nächste Staffel zum ERM-Weiterbildungsprogramm startet im Herbst 2019. Weitere Informationen unter: https://rma-ev.org/erm

Vor diesem Hintergrund muss mit Blick auf die oben genannten Fälle über das Risiko- und Compliance-Management, über Notfallpläne und die Überwachungspflicht vonseiten des Managements gesprochen werden. Letztere hat wohl bei den Zahlungen des Verteidigungsministeriums an die Werft versagt. Ganz abgesehen vom Verdacht der Korruption. Damit einher geht die konkrete Frage nach Kontrollmechanismen bei der Bundeswehr. Auch in Berlin-Köpenick muss sich der zuständige Stromversorger die Frage stellen, ob ausreichende Informationen und aktuelle Pläne zu den Stromleitungen vorlagen? Hinzu kommt die Tatsache, dass die Stromversorgung zum Kerngeschäft eines Energieversorgers zählt und ein kompletter Stromausfall als Worst Case sich zumindest in den Notfallplanungen wiederfinden müsste. Eine Randnotiz: Bei über 30 Stunden Stromausfall eine zumindest fragwürdige Planung.

Lesen Sie auch die Fortsetzung dieses Beitrags Wissen fällt nicht von den Bäumen.

Praxishandbuch Risikomanagement Jede unternehmerische Entscheidung ist von einer ungewissen Zukunft geprägt. So wird der professionelle Umgang mit dem Faktor Risiko zum wesentlichen Werttreiber eines Unternehmens und seiner Stakeholder: Wer drohende Gefahren unterschätzt, riskiert den Ruin. Wer Erfolgschancen nicht erkennt, wird sie verpassen und Wertsteigerungspotenziale nicht nutzen. Wie Sie ein modernes, integriertes und proaktives Risikomanagement systematisch ausrichten und in entscheidende Führungs- und Unternehmensbereiche einbinden, erfahren Sie von den Experten um Werner Gleißner und Frank Romeike. Potentiale des Risikomanagements: Ziele und Aufgaben, Risikobereiche und mögliche Maßnahmen Recht, Compliance und Haftung: u.a. mit einem Überblick über internationale Standards wie dem ISO 31000 Zentrale Methoden: z.B. zu Identifikation und Analyse, Bewertung und Aggregation von Risiken Praktische Umsetzung und Technologie: Leistungsfähigkeit von Frühwarnsystemen, IT-Systeme u.v.m. Organisation und Management: vom Unternehmensprozess zur ganzheitlichen, risikoorientierten Unternehmensführung

(ESV/ps)