Nachlese: Risk Management Congress (2.Tag)
(Bildquelle: RMA/Maxim Simonenko)
Vorausschauend gegen die Risikoblindheit
Der zweite Tag des Risk Management Congress der RMA Risk Management & Rating Association e.V. (RMA) zeigt: Krisen kommen – früher oder später. Wichtig ist, dass Organisationen gut auf den Fall der Fälle vorbereitet sind. Es könnte auch heißen: Vom Worst Case zum Best Case zu gelangen. Damit gewinnt ein vorausschauendes Krisen- und Risikomanagement eine immer größere Rolle, um Unternehmen durch die Unwägbarkeiten unserer Zeit zu manövrieren.
„Drei Wege durch die Pandemie“ titelt die Süddeutsche Zeitung (SZ) am 17. Mai 2022. Weiter heißt es in dem Beitrag: „Wissenschaftler haben Szenarien entwickelt, wo die Welt in fünf Jahren in Sachen Covid-19 stehen könnte.“ Nun, darauf hätten die Wissenschaftler auch früher kommen können. Doch hierzulande gibt es noch erheblichen Nachholbedarf in Sachen Corona-Pandemie sowie im Krisen- und Risikomanagement – was die letzten beiden Jahre teils schmerzlich verdeutlichten. Wie es besser gehen kann, im Umgang mit Risiken, das zeigten Experten im Rahmen des Risk Management Congress an jenem 17. Mai.
GRC² und GRC to the next level
Den zweiten Tag des Risk Management Congress (RMC) eröffnete Prof. Dr. Werner Gleißner (Vorstand der FutureValue Group) mit dem Thema: „GRC² – Risikomanagement im Spannungsfeld von Governance, Compliance und Controlling.“ Was es damit auf sich hat, umschreibt Gleißner damit, dass ein integratives Risikomanagement effizient durch die Verknüpfung mit anderen Managementsystemen sei, um beispielsweise die Welt der Nachhaltigkeit aufzunehmen. Zudem könne ein solches Managementsystem über die Erfüllung gesetzlicher Mindestanforderungen (z.B. aus §1 StaRUG) hinaus einen ökonomischen Mehrwert bieten. Doch es ist Vorsicht geboten. Denn viele Unternehmen sehen im GRC-Ansatz zwar ein geeignetes Modell für ein integratives Risikomanagement. Dies trifft jedoch nur mit Einschränkungen zu. Im schlimmsten Fall entstehen Mehrarbeiten oder Lücken im System durch Koordinationsmängel. Das Misstrauen erklärt sich deshalb, weil GRC-Modelle typischerweise nicht auf die Vorbereitung „unternehmerischer Entscheidungen“ (§93 AktG) ausgerichtet sind. Damit sind sie nicht geeignet, um eine der zentralen Anforderungen an das Risikomanagement zu erfüllen. Und die heißt: Bei der Vorbereitung unternehmerischer Entscheidungen sind die damit verbundenen Risiken aufzuzeigen.
Prof. Werner Gleißner und seine Sicht auf GRC². (Bildquelle: RMA)
Die notwendige Analyse und Aggregation von Risiken, die sich aus einer Managemententscheidung ergeben würden, erfordert eine enge Verknüpfung von Risikomanagement und Controlling. Andernfalls besteht die Gefahr der Risikoblindheit. Von daher macht nach Gleißners Meinung ein integratives und entscheidungsorientiertes Risikomanagement auf jeden Fall eine Verknüpfung mit dem Controlling notwendig. Ein Grund, warum er statt des GRC-Konzepts an ein GRC²-Modell denkt. Das heißt: Governance, Risk, Compliance und Controlling. Hintergrund dieser Überlegungen ist auch, dass traditionelle GRC-Konzepte oft eine Sackgasse auf dem Weg zum integrativen Risikomanagement sind. Denn die ausgeprägte „Compliance-Ausrichtung“ führt dazu, dass ein Risiko nicht als mögliche Planabweichung (Chance und Gefahr) verstanden oder eine Risikominimierung angestrebt wird.
Von einem Misstrauen in einem anderen Kontext der GRC-Überlegungen sprachen Daniel Cassel und Kai Rumphorst von Horváth. In ihrem Gemeinschaftsvortrag zu: „Trusted Governance Bringing GRC to the next level“ führen sie dieses Misstrauen auf den Edelmann Trust Barometer zurück. Laut diesem befinden wir uns 2022 in einem „Kreislauf des Misstrauens“. Demnach sorgen sich 63 Prozent der Befragten davor, dass sie von Unternehmensführungen bewusst getäuscht werden. Dabei gaben die Befragten an, folgende Entscheidungen vom Werteversprechen eines Unternehmens abhängig zu machen: 58 Prozent Kaufentscheidungen, 60 Prozent Arbeitgeber- und 64 Prozent Investmententscheidungen. Dass diese Zahlen viel mit dem Risikomanagement zu tun haben, das zeigt sich mit Blick auf das Vertrauen im Geschäftsumfeld. Denn damit sind unmittelbar die Faktoren Wahrheit (von Handlungen), Zuverlässigkeit, Redlichkeit und Integrität verbunden. Also Bereiche, die sich ebenfalls in der GRC-Definition der OCEG (ein Non-Profit Think-Tank) wiederfinden. Demnach ist GRC die Fähigkeit (…), die eine Organisation in die Lage versetzt, Ziele zuverlässig zu erreichen, mit Unsicherheiten umzugehen und mit Integrität zu handeln. Nun bestehe nach Einschätzung von Cassel die Herausforderung darin, den Schutz des Vertrauens in einer dynamischen und vernetzten Risikolandschaft aufzubauen oder zu erhalten.
Daniel Cassel und Kai Rumphorst referierten zum Trusted Governance. (Bildquelle: RMA)
Dies erscheint wichtig vor dem Hintergrund einer Studie von Accenture zum Global Risk Management von 2019. In der kommen 77 Prozent der befragten Risikomanager zu dem Schluss, dass die Risikolandschaft komplexer, vernetzter und dynamischer denn je ist. In diesem Sinne bietet sich ein integrierter Ansatz zur Steuerung von Risiken an (Trusted Governance). Dabei wird das Risikomanagement als „Connector“ und nicht nur „Collector“ von Informationen verstanden. Zudem steht unter anderem eine klare Ausrichtung der Risikomanagementaktivitäten an den Unternehmenszielen im Zentrum. Nur so lassen sich Risiken in Chancen wandeln. Anders formuliert könnte es heißen: vom Worst zum Best Case.
Krisenmanagement und die neue Norm
Tritt der Worst Case ein, kommt es vor allem auf ein professionelles Krisenmanagement an. Die Anforderungen an ein solches sind breit gefächert und werden durch die neue Norm ISO DIS 22316 versucht abzudecken. Was das konkret in Bezug auf die Anforderungen an ein modernes Krisenmanagement bedeutet, dazu referierte Dr. Klaus Bockslaff, Geschäftsführer, Verismo Consulting. Ein Dilemma bringt der Krisenmanagementexperte auf den folgenden Punkt: „Vielfach sehe ich in Unternehmen Handbücher, die bei der Aufbauorganisation stehenbleiben. Die Ablauforganisation wird häufig nicht beachtet.“ Das sei aber nach Bockslaffs Worten der Kern. Im Umkehrschluss ist die Kenntnis über eine Stabsarbeit, wie das Krisenmanagement voraussetzt, hierzulande nicht gut ausgeprägt. Bockslaff, Leiter des RMA-Arbeitskreises Krisenmanagement, verweist auf die Schweiz, wo das Thema der Stabsarbeit weit verbreitet und verankert ist. International besteht ein Bedarf nach einem Regelungsbedürfnis nach einem Krisenmanagement. Es geht um Grundlagen, die international anwendbar sind. Die Anwendung sieht indes in den einzelnen Ländern anders aus. Grundsätzlich verweist Bockslaff auf den Kern des Krisenmanagements, der in der strategischen Entscheidungsfindung liege. Damit einhergeht eine der größten Herausforderungen in der Stabsarbeit, nämlich der Entscheidungsfindungsprozess – gerade in hoch eskalierten Situationen, die eine gute Reaktion erfordert. Hinzu kommt, dass in Krisensituationen eine optimale Informationslage bestehen muss, um Ereignisse besser zu kontrollieren und letztendlich die Auswirkungen einer Krise zu minimieren.
Dr. Klaus Bockslaff und die Bedeutung der Führung in der Krise. (Bildquelle: RMA)
Vor allem das Topmanagement wird in einer Krise mit zentralen Anforderungen in die Führungseigenschaften konfrontiert. Diese reichen von der Entscheidungsfindung
und dem Delegieren von Aufgaben über Kommunikationsfähigkeiten und der Glaubwürdigkeit bis zum Management interessierter Gruppen, wie etwa der Presse oder der Politik. Mit Blick auf die neue Norm ISO DIS 22316 schlussfolgert der Verismo-Geschäftsführer unter anderem: „Die Bedeutung der Führung in der Krise und der persönlichen Anforderungen werden stark hervorgehoben.“ Und Bockslaff resümiert, dass der besondere Wert in der Betonung der Bedeutung der strategischen Entscheidungsfindung in der Krise liege.
Die Welt im Wandel und der Dauerkrisenmodus
Dass ein strategisches Vorgehen die Widerstandsfähigkeit von Organisationen in Krisensituationen ausbauen hilft, steht somit außer Frage. Wichtig ist indes eine vorausschauende Sicht auf Risiken. In diesem Zuge kommt einem integrierten Risikomanagement eine entscheidende Rolle zu. Dies betonte Steffen Schürg, Director Integrated Risk Management des Softwareunternehmens Corporater, in seinem Vortrag zum integriertem Risikomanagement. Hintergrund ist, dass sich die Welt im Wandel befindet. Sei es aufgrund von Kriegen, steigenden Rohstoffpreisen oder unterbrochenen Lieferketten. Hinzu kommt der technologische Wandel sowie das Thema Nachhaltigkeit. Schürg: „Die Welt verändert sich und zwingt uns zur Veränderung.“ Daraus lassen sich vielfältige Fragen ableiten, die sich auf die Strategie, Ziele und Prozesse niederschlagen. Ein Beispiel benennt Risikomanager Schürg mit der Frage: „Kennen wir die Veränderungen?“ Mit Blick auf den Ukraine-Krieg und dem Rückzug vieler Unternehmen aus dem russischen Markt haben viele Risikomanager diesen raschen Veränderungsprozess wohl nicht auf dem Radar gehabt. Umso wichtiger ist es, Risikomanagement als Teil des täglichen Handelns zu verstehen und auch zu leben. Und das als einen integrierten Ansatz verstanden, in dem sich die unterschiedlichen Managementsysteme wiederfinden – vom Umwelt- und Comliance Management über die Informationssicherheit und dem Qualitätsmanagement. Schürgs Forderung: „Unterstütze dein Geschäftsmodell.“ Das heißt: „Managementsysteme müssen der Organisation helfen, Risiken aktiv zu steuern, gemeinsam, integriert und organisationsübergreifend“, so Schürg.
Was mit der Welt im Wandel einhergeht, das brachte Matthias Max, Teamleiter Sicherheitsforschung und Innovationstransfer beim Deutschen Roten Kreuz (DRK) Generalsekretariat, auf den Punkt: „Wir befinden uns in einem Dauerkrisenmodus.“ Als eine Art „Krisenbeweis“ zog er eine historische Linie vom Hochwasser 2013 über die Flüchtlingskrise 2015 bis zur Corona-Pandemie der letzten beiden Jahre sowie dem Thema Starkregen 2021. Mit Blick darauf und auf eine ganzheitliche Krisenprävention zieht er für die Arbeit des DRK folgenden Schluss: „Die Herausforderungen sind so komplex geworden, dass wir das nicht mehr alles abfangen können.“ Damit spielt Max unter anderem auf gesellschaftliche Veränderungen, die beim demografischen Wandel sowie der Urbanisierung anfangen und bei der Individualisierung sowie den Auswirkungen durch den Klimawandel noch nicht aufhören. Eine Schlussfolgerung sei, dass das DRK dauerhaft nicht mehr in der Lage sei, sogenannte „Ersatzvorhaltungen“ zu ermöglichen. Seiner Meinung nach führe der Weg über ein ganzheitliches Denken und die Vernetzung mit anderen Akteuren. „Wir müssen die kritischen Infrastrukturen im Krisenfall so lange wie möglich aufrechterhalten“, so der DRK-Manager. Als Beispiel nennt er die „Ernährungsnotfallvorsorge“ und meint ein ganzheitliches Krisenmanagement.
Seine Forderung: „Um mit den stetig wachsenden Herausforderungen der kritischen Infrastrukturen adäquat umgehen zu können, bedarf es einer engen Zusammenarbeit von Alltagssystemen und Strukturen des Bevölkerungsschutzes.“ Denn grundsätzlich geht es darum, dass Strukturen des Risikomanagements stärker mit Strukturen des Bevölkerungsschutzes abgestimmt und miteinander verwoben werden. Und das mit dem Ziel, ein gemeinsames Verständnis von Krisenprävention und Bewältigung herzustellen.
Apropos gemeinsames Verständnis. In Summe zeigt sich, dass eine vorausschauende Sicht gegen die Risikoblindheit hilft – sei es in puncto GRC, beim Krisenmanagement oder mit Blick auf ein integriertes Risikomanagement. Themen, denen sich die RMA Risk Management & Rating Association in ihrer Verbandsarbeit aktiv annimmt. Dies stellt sie unter anderem in eigenen Arbeitskreisen (AK) unter Beweis (wie die AK-Berichte zum Rating und Risikomanagement sowie ESG & Nachhaltigkeitsrisikomanagement im Rahmen des RMC verdeutlichten). Hinzu kommen auch Workshops sowie Veranstaltungen, wie der Risk Management Congress (RMC) als die Jahreskonferenz der RMA. Und damit schließen wir die Nachlese 2022 mit einem letzten Hinweis: Nach dem RMC ist vor dem RMC. Also auf ein Neues am 8. und 9. Mai 2023 in Köln.