«Risk-Management» – um was gehts überhaupt?

Anlässlich von Vorlesungen an verschiedenen Bildungsinstituten frage ich die Teilnehmenden jeweils, ob sie in ihrem Privatleben oder im beruflichen Alltag Risk-Management betreiben. In der Regel halten sich die Wortmeldungen in Grenzen. Sodann frage ich die Teilnehmenden etwas konkreter danach, wer sich z.B. beim Autofahren anschnallt oder beim Fahrradfahren einen Helm trägt. Hier kommt dann jeweils der Aha-Effekt: Wir alle betreiben in unserem Alltag intuitives Risikomanagement. Wir schnallen uns beim Autofahren an, damit wir bei einem Unfall schwere Verletzungen tunlichst vermeiden können (oder damit wir unseren Geldbeutel vor Bussgeldern schützen können). Wir tragen beim Fahrradfahren einen Helm, um bei einem Sturz schwere Kopfverletzungen zu verhindern. Wir schliessen unsere Haustür ab und wir erstellen Back-ups von unseren Datensätzen. Oder …?

Wir alle sind Risk-Manager

Sie stellen selber fest, dass auch Sie tagtäglich Risk-Management betreiben, und werden sich nun vorstellen, in welchen Alltagssituationen Sie dies sonst noch tun. Ich kanns Ihnen verraten: in fast allen. Jede unserer bewussten oder unbewussten Handlungen ist gesteuert von «sicherheitsrelevanten» Überlegungen. Diese haben wir in den meisten Fällen so tief verinnerlicht, dass es uns bei oberflächlicher Betrachtung gar nicht auffällt. Dennoch ist es so, dass jedes Individuum per se nach Sicherheit strebt. Sicherheit wiederum definiert sich durch das Fehlen von Risiken. Somit liegt es auf der Hand, dass in jedem von uns einer kleinerer oder grösserer Risk-Manager schlummert.

Oft sträflich vernachlässigt

Die Verantwortung für das betriebliche Risk-Management obliegt in aller Regel dem Verwaltungsrat und der Geschäftsleitung. Diese haben sich im Rahmen ihrer Funktionen mit den Risiken des Unternehmens auseinanderzusetzen. Leider wird diese – aus Sicht des Autors – essenzielle Aufgabe in vielen Betrieben sträflich vernachlässigt. So besteht beispielsweise nur bei wenigen KMU-Betrieben ein durchdachtes Risk-Management-Konzept mit Strategien zur Weiterführung des Betriebs, sollte eine Gefahr respektive ein Risiko tatsächlich eintreten. Oftmals sind die Verantwortlichen so sehr durch das Tagesgeschäft absorbiert, dass die eigentlichen Risiko-Aufgaben auf der «Bucket List» notiert und auf einen späteren Zeitpunkt verschoben werden. Also ganz anders als die Herren Jack Nicholson und Morgan Freeman, welche die «Bucket List» tatsächlich abarbeiten. Im Gegenteil: Die Liste wird von Tag zu Tag länger. Als Folge davon und leider auch durch falsch gesetzte Prioritäten resultiert die besagte Vernachlässigung so wichtiger innerbetrieblicher Herausforderungen. Also, meine Damen und Herren, starten wir unser betriebliches Risk-Management!

Oftmals sind die Verant­wortlichen so sehr durch das Tagesgeschäft absorbiert, dass die eigentlichen Risiko-Aufgaben auf der «Bucket List» notiert und auf einen späteren Zeitpunkt verschoben werden.
Hoffen wir, dass es dann nicht bereits zu spät ist …

1. Schritt: Risikoidenti­fikation

Die Risikoidentifikation beginnt in der Regel mit einer Stärken-Schwächen-Analyse, einer sogenannten SWOT-Analyse (Strengths = Stärken, Weaknesses = Schwächen, Opportunities = Chancen, Threats = Gefahren). Diese kann im Rahmen eines Workshops oder mittels Interviews mit den verschiedenen Verantwortlichen des Unternehmens durchgeführt werden. Die SWOT-Analyse ist ein einfaches Instrument, welches einerseits das Verständnis für das Risikomanagement im Unternehmen schafft und andererseits die Verknüpfung der relevanten Problemfelder zu den unternehmenseigenen Zielen aufzeigt. Das Ziel einer SWOT-Analyse ist, die wesentlichen internen und externen Faktoren zu identifizieren, die einen Einfluss auf die Unternehmensentwicklung und den Unternehmenswert haben.

Bei der Risikoidentifikation geht es primär darum, sich der Risiken bewusst zu werden, die das Unternehmen respektive das Erreichen der Unternehmensziele beeinflussen können. Es geht noch nicht darum, die Risiken in versicherbare oder nicht versicherbare zu unterteilen. Vielmehr geht es darum, ein Verständnis für die Mannigfaltigkeit der Risiken zu entwickeln.

Dieser Prozessschritt ist äusserst wichtig, da wir einen Grossteil der Risiken gar nicht versichern können. So sind wir teilweise Risiken ausgesetzt, die wir nur bedingt oder gar nicht steuern können. Die jüngste Vergangenheit (und offensichtlich auch die Gegenwart) zwingt uns, teilweise neue Wege zu gehen und fest verankerte Muster aufzugeben. Hinsichtlich der aktuell sehr hohen und tendenziell noch steigenden Inflationsraten wird ein bisher wenig gefordertes Kalkül notwendig sein, um diese Krisen zu meistern – und bestenfalls gestärkt mit neuen, innovativen Ideen herauszukommen.

Die Frage ist somit ganz simpel: «Was kann uns vom Weg des Erreichens unserer Unternehmensziele abbringen?» Dem Autor ist bewusst, dass ihre Beantwortung deutlich komplexer ist, als die simple Frage an sich vermuten lässt. 

2. Schritt: Risikobeurteilung und -einschätzung

In einem ersten Schritt haben wir nun die möglichen – unseren Betrieb bedrohenden – Risiken identifiziert. Nun geht es darum, etwas Ordnung in das Ganze zu bringen und sie hinsichtlich ihrer Gefährdung einzuordnen.

Die Risikobeurteilung erfolgt in aller Regel im Rahmen einer sogenannten Risikomatrix. In dieser werden die verschiedenen Risiken einerseits nach deren Eintrittswahrscheinlichkeit (gering bis sehr hoch) und andererseits nach deren Auswirkungen (marginal bis katastrophal) eingestuft. Durch diese pragmatische, aber bildhafte Darstellung der Risiken gelingt es uns sehr leicht, die Priorisierung der zu treffenden Massnahmen vorzunehmen. Risiken mit hoher Eintrittswahrscheinlichkeit und katastrophalen Auswirkungen sind offensichtlich als Erstes anzugehen. Risiken mit geringen Auswirkungen und einer geringen bis mittleren Eintrittswahrscheinlichkeit können in einem zweiten Schritt behandelt werden.

Im Rahmen der Risikobeurteilung ist es auch wichtig, die betriebseigene Risikoakzeptanz zu definieren. Hierbei handelt es sich um die Risiken, die wir bewusst selber tragen, basierend auf der ermittelten Eintrittswahrscheinlichkeit und den kalkulierten Auswirkungen. Für die Risiken innerhalb unserer Risikoakzeptanz treffen wir keine weiteren Risk-Management-Massnahmen. Ziel der Risikobeurteilung ist es letztendlich, eine Prioritätenliste der zu bewältigenden Risiken zu erstellen. Sie dient als Grundlage für den kommenden Schritt.

Die Frage ist somit ganz simpel: «Was kann uns vom Weg des Erreichens unserer Unternehmens­ziele abbringen?»

3. Schritt: Risikosteuerung

Für die erstens identifizierten und zweitens beurteilten Risiken gilt es nun, entsprechende Massnahmen zu treffen, um entweder deren Eintrittswahrscheinlichkeit oder aber deren Auswirkungen signifikant zu reduzieren.

Hierfür stehen uns die unterschiedlichsten «Massnahmentöpfe» zur Verfügung:

• personelle Massnahmen
• organisatorische Massnahmen
• technische Massnahmen
• strategische Massnahmen

Bei den personellen und den organisatorischen Massnahmen geht es primär um die Definition von Verantwortlichkeiten und um die Erarbeitung von Prozessen mit entsprechenden Hilfsmitteln, wie z.B. Checklisten oder Prozessleitfäden. Ebenfalls soll sichergestellt werden, dass ein optimaler – kompetenzbasierter – Einsatz der jeweiligen Mitarbeitenden sichergestellt ist.

Die technischen Massnahmen können von der «banalen» Installation einer Brandmeldeanlage bis hin zur kostenintensiven Investition in die neuesten Technologien reichen. Hier gilt es aber im Rahmen der erarbeiteten Risikoakzeptanz auch stets die lebenserhaltende Liquidität sicherzustellen.

Die strategischen unterscheiden sich deutlich von den erstgenannten Massnahmen. So gilt es hier mit der nötigen – aber nicht allen gegebenen – Antizipation vorauszusehen (oder zumindest zu erahnen), welche Märkte oder Produkte in Zukunft boomen und welche tendenziell einbrechen werden. Auch muss das Management bereit sein, sich beispielsweise aus einem Markt zurückzuziehen, selbst wenn es sich eigens für den Aufbau dieses Marktes starkgemacht hat.

Wie sagte schon Heraklit von Ephesus (535–475 v. Chr.) «Nichts ist so beständig wie der Wandel.» Wie recht er hatte und noch immer hat! Ich vertrete klar die Haltung, dass in Zukunft diejenigen Unternehmen erfolgreich am Markt bestehen können, die über die notwendige Flexibilität verfügen, sich diesem Wandel anzupassen. So werden unsere Kinder oder spätestens Kindeskinder Berufe erlernen, von denen wir heute noch nicht wissen, dass es sie einmal geben wird. Deshalb nochmals: Flexibilität dürfte in Zukunft – natürlich nebst den Menschen – zu den wichtigsten Erfolgsfaktoren für Unternehmungen gehören. Lassen Sie somit auch bei der Wahl der Massnahmen eine gewisse Flexibilität und neue Lösungen und Wege zu.

4. Schritt: Risikoüberwachung

Nachdem wir uns nun die Köpfe «rauchig» gedacht, Risiken beurteilt und eingeteilt sowie entsprechende Massnahmen getroffen haben, könnte man denken, dass das alles doch einmal ein Ende finden muss … Dem ist leider nicht so. 

Risk-Management ist ein permanenter Prozess. Somit geht es im vierten und vermeintlich letzten Schritt einerseits darum, die Wirksamkeit der getroffenen Massnahmen zu beurteilen (hat sich die Eintrittswahrscheinlichkeit reduziert und liegen die kalkulierbaren Auswirkungen durch die getroffenen Massnahmen tiefer?). Auch sind die Massnahmen hinsichtlich deren Wirtschaftlichkeit und des Kosten/Nutzen-Verhältnisses zu untersuchen. Es bringt nichts, wenn wir mit grossen Investitionen nur kleine Wirkungen erzielen. Wurde diese Überwachung vorgenommen und die notwendigen Massnahmen daraus abgeleitet, ist es die Aufgabe des zuständigen Risk-Managers, den Prozess wieder neu zu lancieren – ganz nach dem Motto «Zurück auf Feld 1».

Selbstverständlich muss dies nicht zwingend immer gleich oder noch früher passieren. Meines Erachtens reicht die erhöhte Sensibilität der verantwortlichen Personen, immer wieder über mögliche, allenfalls neue und bis dato nicht bekannte Risiken zu diskutieren. So können derartige Risiken auch in einem schnelleren Prozess zur bestehenden Risikomatrix hinzugefügt und in das betriebsinterne Risiko-Management aufgenommen werden. Ich wünsche Ihnen eine möglichst risikofreie Geschäftstätigkeit.