Ist der „Marktwert“ von Risikomanagern aufgrund der aktuellen Ereignisse wie Pandemie und Krieg in den letzten Monaten gestiegen?
Ralf Kimpel: Definitiv. Aufgrund der gestiegenen Anforderungen im globalen Maßstab durch die vielfältigen Krisen der vergangenen Jahre braucht es professionelle Risikomanager. Viele Unternehmen haben das mittlerweile erkannt und setzen auf dementsprechende Profis in den eigenen Reihen. Hintergrund ist, dass Risikomanager inmitten einer neuen Zeitrechnung mit unterschiedlichen Verwerfungen einen unerlässlichen Mehrwert bieten, um die jeweilige Organisation durch schwieriges Fahrwasser zu lenken. Zudem sind Risikomanager gleichzeitig Krisen- und Kommunikationsmanager. Das sind Fähigkeiten, die Unternehmen in solch angespannten Zeiten dringend benötigen. Übrigens ein Thema, das wir als Risikomanagement-Verein schon lange fordern. Das heißt, als Unternehmen in die eigenen Fähigkeiten beim Risikomanagement stärker zu investieren, Experten einzustellen und das Thema als Gesamtprozess zu etablieren und vor allem zu leben. Unternehmen, die diesen Weg in der Vergangenheit konsequent gegangen sind, tun sich in der Regel heute leichter, Krisen besser zu bewältigen und Risiken vorausschauend zu managen.
Hat denn der gut vernetzte Risikomanager Risiken wie Energie, Lieferketten oder Geopolitik auf dem Schirm gehabt? Sind diese Themen wirklich neu?
Ralf Kimpel: Der gut vernetzte und ich würde sagen, vorausschauende Risikomanager hat diese Risikofaktoren zum größten Teil bereits seit Jahren auf dem Risikoradar. Die meisten Risiken waren auch vor dem Ukraine-Krieg ein Thema. Seien es Energierisiken, man denke nur an die oft diskutierten Cyber-Gefahren und die damit einhergehenden Risiken von Hacker-Angriffen und Blackout-Szenarien, aber auch der schleppende Ausbau erneuerbarer Energien. Gleiches gilt für Lieferengpässe und -ausfälle durch Handelsbeschränkungen, Kriege und Naturkatastrophen. Im Grunde keine neuen Risiken. Das Thema Geopolitik hat sicher im letzten Jahr auf Unternehmensseite an Fahrt gewonnen, obwohl die internationalen Krisen bereits in den letzten Jahren ein deutlicher Fingerzeig waren, dass geopolitische Risiken zunehmen. Ein Blick auf die harte „Amerika-First“-Politik unter US-Präsident Trump genügt. Ein Faktor, den übrigens sein Amtsnachfolger ähnlich ausspielt, nur diplomatischer, aber ebenfalls hart in der Sache. Der Konflikt zwischen den USA und China ist ebenfalls ein Konflikt, der schon Jahre schwelt. Diese Risikofelder haben professionelle Risikomanager bereits seit Jahren im Fokus und in ihr Risikomanagement aufgenommen. Denn die genannten Konflikte, die nicht abschließend sind, haben direkte oder indirekte Auswirkungen auf das Unternehmensgeschäft. Und diese gilt es auf dem von Ihnen genannten Schirm zu haben. Also, der gute Risikomanager weiß darum. Ganz im Gegensatz zu vielen Unternehmensleitungen, die sich teils eine gewisse Risikoblindheit in der Vergangenheit vorwerfen lassen müssen.
Wie sieht es mit dem Risikofaktor Klimawandel aus? Wetterereignisse lassen sich ja nur schlecht prognostizieren.
Ralf Kimpel: Der Klimawandel ist das übergeordnete Thema unserer Zeit. Klimakatastrophen nehmen weltweit zu und davor können auch Unternehmenslenker nicht die Augen verschließen. Im Umkehrschluss müssen sich Unternehmen heute mehr denn je daran messen lassen, wie sie mit dem Risikofaktor des Klimawandels intern umgehen und ihre Dienstleistungen und Produktionen daran ausrichten. Wichtig ist hierbei, das Ganze im Kontext von ESG-Risiken einzuordnen, sprich Environmental, Social and Governance. Was die Prognosefähigkeiten betrifft, so haben sich diese in den letzten Jahren deutlich verbessert. Darauf aufbauend sollten Unternehmen Szenario-Rechnungen durchführen, um Wetterprognosen zu erstellen und den möglichen Handlungsbedarf daraus abzuleiten. Vor allem Unternehmen, die auf globale Lieferanten angewiesen oder selbst in der Fertigungsindustrie tätig sind, sollten globale Wetterphänomene auf dem Risikoradar haben. Zu oft haben Unwetterereignisse wie Starkregen, Überschwemmungen oder Erdbeben in den letzten Jahrzehnten die Verwundbarkeit der Industrie aufgezeigt. Darauf gilt es sich vorzubereiten, auch mithilfe eines tragfähigen Notfall-, Krisen- und Risikomanagements.
Der Begriff „Risikomanagement“ legt ja nahe, dass man Risiken managen kann und diese kalkulierbar sind. Ist dem wirklich so?
Ralf Kimpel: Ja, unbedingt. So sollten Risiken methodisch sauber erfasst, priorisiert und beurteilt werden. Hierzu bieten sich unterschiedliche Ansätze und Methoden an, wobei ich an dieser Stelle das Denken in Bandbreiten hervorheben möchte. Welche Methode in einer Organisation letztendlich zum Einsatz kommt, das hängt im großen Maße vom Reifegrad des jeweiligen Risikomanagements im Unternehmen ab. In diesem Zusammenhang möchte ich davor warnen, sich rein auf eine Risikomanagementsoftware zu verlassen. Wer so vorgeht, wird mit hoher Wahrscheinlichkeit Schiffbruch erleiden. Das heißt, wer Risiken nur in einer Matrix abbildet ohne zu wissen, wie hoch die Eintrittswahrscheinlichkeit ist und vor allem welche Toprisiken und möglichen schwachen Signale auf verborgene Risiken hindeuten, betreibt ein reines Abhaken von Risiken. In diesem Zuge geht es auch darum, dass alle Mitarbeiter im Unternehmen an einem Strang ziehen, um eine dementsprechende Risikokultur in der Organisation aufzubauen und vor allem zu leben. Mit anderen Worten: Ein Risikomanagement kann nur so gut sein, wie die Mitarbeiter im Gesamtprozess mitwirken. Und dieses Mitwirken muss von der jeweiligen Geschäftsführung vorgelebt und mit den notwendigen Ressourcen unterstützt werden.
Ist es überhaupt nicht sinnvoller, Risiken weitestgehend zu vermeiden?
Ralf Kimpel: Nun, grundsätzlich wird jede Geschäftstätigkeit mit Risiken verbunden sein. Wer das nicht möchte, darf kein Business betreiben. Für Unternehmen bedeutet das im Umkehrschluss, Risiken zu minimieren. So ist auch die Lesart des Risikomanagements als grober Ansatz zu verstehen. Ob und wie Unternehmen jedoch ihre Risiken minimieren, ist immer auch eine Kosten- und Nutzenabwägung.
Sehen Sie beim Risikomanagement einen Unterschied zwischen Großunternehmen und KMU? Wer ist besser aufgestellt?
Ralf Kimpel: Das lässt sich so pauschal nicht beantworten. Konzerne haben in der Regel mehr Ressourcen, um ein professionelles Risikomanagement aufzusetzen. Und doch gibt es viele Fälle, in denen große Unternehmen mit ihrem Risikomanagement gescheitert sind. Die Gründe dafür sind vielfältig, zeigen aber, dass Geld und viele Mitarbeiter für ein gut funktionierendes Risikomanagement nicht ausreichen. Demgegenüber gibt es sehr gute Beispiele im KMU-Umfeld, in denen Unternehmen einen hohen Reifegrad im Risikomanagement erzielen. Wie bereits zuvor angesprochen: Ein Gesamtrisikomanagement lebt von den Menschen in der Organisation. Das fängt bei der Geschäftsführung an und hört bei den Mitarbeitern in den Abteilungen noch nicht auf. Denn auch Zulieferer und Kunden können ein Risiko für das Unternehmen darstellen. Ich denke hier nur an Reputationsrisiken. Ein Thema, das Konzerne und KMU gleichermaßen treffen kann.
Umfragen kamen noch vor Corona zu dem Schluss, dass erheblicher Nachholbedarf beim Risikomanagement besteht. Hat sich seither etwas verändert?
Ralf Kimpel: Die Corona-Krise hat bei vielen Unternehmen und ihrem Topmanagement sicher ein stärkeres Umdenken in puncto Risikomanagement ausgelöst. Plötzlich standen viele Unternehmen inmitten einer Krisenbewältigung. Das heißt, es musste schnell gehandelt werden, sei es um die Liquidität der Firma zu sichern oder die zuvor vielfach versäumte Digitalisierung im Zuge des Homeoffice voranzutreiben. Da hat sich schon ein gewisser Lerneffekt eingestellt, der Unternehmen dazu veranlasste, stärker auf das Krisen- und Risikomanagement zu achten. Wir als RMA beobachten ein stärkeres Risikobewusstsein in vielen Unternehmen, inklusive dem Denken in Risiken. Das Ganze mündet mittlerweile in der Suche nach Antworten auf die große Frage: Wie kann ich die eigene Unternehmung resilienter machen? Ich glaube, dass viele Entscheider das verstanden haben. Sprich, wer seine Hausaufgaben im Risikomanagement ordentlich erledigt, wird auch zu einer breiteren Chancensicht für das Unternehmen gelangen.
Ein komplexes Risiko- und Krisenmanagement endet auch nicht an der „Unternehmensgrenze“. Wie sieht idealerweise die Zusammenarbeit mit Behörden aus?
Ralf Kimpel: Wenn ich ehrlich bin, ist diese Zusammenarbeit bis dato eher dürftig. Wir haben in den letzten Jahren zu viele Krisen erlebt, mit teils erheblichen Schäden. Doch von einem Lerneffekt vieler Behörden kann keine Rede sein. Mit anderen Worten: Es werden immer wieder die gleichen Fehler begangen. Es fehlen die richtigen Ansprechpartner, von durchgängigen Prozessen oder Notfallplänen ganz zu schweigen. Einzig im Bereich der kritischen Infrastrukturen, KRITIS, ist eine bessere Zusammenarbeit von Behörden, Unternehmen, der Wissenschaft und Politik erkennbar. Das liegt vermutlich am gesetzlichen Druck. Ich bin mir nicht sicher, ob wir die gleichen Ergebnisse im KRITIS-Bereich hätten, würde es die Gesetzesvorgaben für kritische Infrastrukturen nicht geben. Grundsätzlich ist gerade im Krisenmanagement ein schnelles und vor allem koordiniertes Vorgehen unerlässlich. Das braucht eine gute Vorbereitung. Leider haben uns die letzten Jahre eines Besseren belehrt, was den Umgang mit Krisen und nicht vorhandenen Notfallstrukturen betrifft.
Werfen wir einen Blick in die Zukunft: Künstliche Intelligenz hält in allen Bereichen Einzug. Wird es demnächst einen „Risk Bot“ geben, der den menschlichen Kollegen, Stichwort Personalmangel und Budget, ersetzt?
Ralf Kimpel: Ich denke, dass es um die gesunde Mischung von Mensch und Maschine geht. Einerseits kann die künstliche Intelligenz, kurz KI, wertvolle Dienste bei der Datenerhebung und -bewertung leisten. Zu groß sind die Datenmengen, ist das Aufkommen an unterschiedlichen Einflussfaktoren auf das Unternehmensgeschäft. Das lässt sich bis zu einem gewissen Grad automatisieren und damit Mitarbeiter und Kosten sparen. Anderseits braucht es den Menschen, um die Plausibilität der eingefangenen Strömungen, Tendenzen und Informationen abzugleichen. Bestes Beispiel dafür ist die aktuelle Diskussion um ChatGPT. Da entstehen auf den ersten Blick unter anderem neue Möglichkeiten im Journalismus, dem Kundendialog oder im Trainingsumfeld. Bei einem genaueren Blick gibt es auch hier Risikofallstricke, wie etwa die Qualitätskontrolle des Textes, Stichwort Fake News. Was zunächst plausibel klingt, kann sich bei genauerem Hinsehen als Falschmeldung entpuppen. Um das zu filtern, braucht es den Menschen, noch.
Ralf Kimpel ist Vorstandsvorsitzender der RMA Risk Management & Rating Association e.V., der unabhängigen Interessenvertretung für die Themen Risikomanagement und Rating im deutschsprachigen Raum. (Bildquelle: RMA)
Das Interview ist unter dem Titel: „Krisen besser bewältigen“ im Fachmagazin Protector in der Ausgabe 5/2023 erschienen. Nachzulesen in der Online-Veröffentlichung.