Risk Management Congress 2019 – Nachbericht (Tag zwei)

Der zweite Tag des Risk Management Congress: Werkzeuge, Wege und der Mensch

Die S-Bahn Berlin twitterte am 22. Oktober morgens: „Wegen hohem Verkehrsaufkommen fahren die Busse des Ersatzverkehrs zwischen Wartenberg und Ostkreuz unregelmäßig und verspätet.“ Nun sind solche Meldungen keine Seltenheit, gerade in einem dichten öffentlichen Nahverkehrsnetz, wie dem Berliner. Für die Mitarbeiter der S-Bahn bedeutet das, Risiko- und Chancenmanagement täglich zu leben. Mit Blick auf das große Ganze heißt das: Die Komplexität einer Infrastruktur mit über 327 Kilometern Streckennetz überwachen, managen und so die Mobilität optimal sicherstellen.

Und damit sind wir mittendrin im zweiten Tag des Risk Management Congress. Denn Risikomanagement ist komplex – gerade in unseren modernen Zeiten. Davon berichtete Dr. Rainer Pflaum, CEO Transnet BW, am Beispiel der Stromversorgung. Er verdeutlichte in seinem Vortrag: „Großprojekt Suedlink – Komplexität managen“ die Wichtigkeit des Stromnetzes als „Lebensader für Wirtschaft und Gesellschaft“. Schließlich versorgt der Übertragungsnetzbetreiber ein Gebiet von 34.600 km² mit einer Stromkreislänge von 3.200 Kilometern und 50 Umspannwerken. Um die Energiewende voranzutreiben, muss das Unternehmen mit seinen über 670 Mitarbeitern den Fortschritt angehen. Dabei dient das Übertragungsnetz als Bindeglied zwischen Erzeugung und Verbrauch.

 Rainer Pflaum von Transnet BW während seines Vortrags zum Großprojekt Suedlink.

Rainer Pflaum von Transnet BW während seines Vortrags zum Großprojekt Suedlink. (Bildquelle: RMA)

Das Unternehmen trägt die Verantwortung für einen transparenten und diskriminierungsfreien Netzzugang aller Marktteilnehmer sowie die sichere Stromversorgung. Die Aufgaben sind vielfältig und reichen von der Koordinierung des Netzzugangs über die Systemführung bis zum Fahrplan- und Engpassmanagement. Die Planung neuer Übertragungswege erfolgt auf Basis des Netzentwicklungsplans 2030. Hierzu zählt unter anderem das Projekt „Ultranet“ oder „Suedlink“. Letzteres ist eine Herausforderung – gerade im Governance-Umfeld. Einerseits braucht es eine enge Abstimmung zwischen den Projektpartnern. Andererseits kommen die Koordination und das Management einer Vielzahl an Dienstleistern und Lieferanten hinzu sowie der enge Terminplan bei gleichzeitig knappen Ressourcen. Für Pflaum bedeutet das in Summe eine Risikoerhöhung. Hierzu gehört auch die öffentliche Akzeptanz für die neuen Leitungen. „Öffentliche Akzeptanz ist ein echtes Issue, wenn 50.000 Leute gehört werden wollen“, so CEO Pflaum. Über ein Vorschlagswesen konnten sich die Menschen in die Kommunikation und letztendlich in den Gesamtprozess der Planung einbringen. Das Risikomanagement innerhalb des Unternehmens ist gebündelt im Bereich Governance.

Organisatorisch setzt die Risikostrategie auf ein Portfolio-Risikomanagement und einen Projektrisikoreport und ein Risikoinventar. Die Informationen fließen in das Gesamtrisikomanagement, in den Geschäftsbericht sowie den Projektrisikobericht ein. Aber schlussendlich funktioniere das Risikomanagement nach Pflaums Worten nur im Zusammenspiel von Risikokultur und den Projektzielen, bei gleichzeitig hoher Transparenz.

Von Analysen und der Nachhaltigkeit

Transparenz ist auch ein gutes Stichwort im Zuge neuer Analysewerkzeuge im Risikomanagement. Vor diesem Hintergrund skizzierte der Vortrag: „Predictive Analytics und Risikoanalyse: Neue Werkzeuge für den Risikomanager“ unter anderem die aktuelle Situation. Jürgen Günther, Geschäftsführer der antares Informations-Systeme, und Dr. Heiko Frings (Risk Math) stellten in ihren Ausführungen fest, dass die in der Predictive Analytics verwendeten Methoden häufig nicht „analytisch“ sind. Gerade weil sie keine analytische Lösung im Sinne der Mathematik liefern. Vor dem Hintergrund des Risikomanagements beschränkt sich die analytische Seite noch immer auf die Erstellung eines Risikoregisters und -matrix – meist mithilfe von Excel. Demgegenüber würde nach Ansicht von Frings das Instrumentarium leistungsfähiger Analysewerkzeuge zu wenig genutzt. Im Umkehrschluss heißt das: Unternehmen verpassen bessere Analyseverfahren. Das verwundert bei einem Blick auf die Möglichkeiten der neuen Werkzeuge.

 Dr. Heiko Frings (Risk Math) zu Predictive Analytics und Risikoanalyse: Neue Werkzeuge für den Risikomanager.

Dr. Heiko Frings (Risk Math) zu Predictive Analytics und Risikoanalyse: Neue Werkzeuge für den Risikomanager. (Bildquelle: RMA)

Denn die technologische Schwelle ist mittlerweile auch in Bezug auf fortgeschrittene Analysemethoden des Predictive Modelings leicht zu nehmen, so dass heute nahezu jedes Unternehmen die Werkzeuge einsetzen könnte. Zudem kann mithilfe neuer Analysewerkzeuge – in Kombination mit der Risikoaggregation durch Simulationsmodelle – die Aussagekraft der Risikomodelle entscheidend verbessert werden. Und doch sei nach Aussage der Referenten Predictive Analytics keine Wundermaschine. Das heißt, ein Risikomanagementroboter sei (noch) Illusion.

Die Bereiche Environmental, Social and Governance, kurz ESG(-Risiken), standen im Mittelpunkt eines Gemeinschaftsvortrags von Prof. Dr. Hans-Jürgen Wieben, Fachhochschule für die Wirtschaft (FHDW) Hannover, und Kai M. Beckmann, Mazars GmbH & Co. KG. Zu Beginn ging es um die zentrale Frage: Wenn wir über ESG-Risiken sprechen, worüber sprechen wir eigentlich? Ein Blick in den „Global Risks Report 2019“ zeigt, vor allem über Nachhaltigkeitsrisiken. Dahinter steht die Frage, ob Unternehmen die potenziellen Risiken für sich identifizieren können, sprich sich mit den möglichen Risiken auseinandersetzen.

 Prof. Dr. Hans-Jürgen Wieben, Fachhochschule für die Wirtschaft (FHDW) Hannover, zu ESG-Risiken.

Prof. Dr. Hans-Jürgen Wieben, Fachhochschule für die Wirtschaft (FHDW) Hannover, zu ESG-Risiken. (Bildquelle: RMA)

Im Rahmen einer Expertenstudie zum Umgang mit der Nachhaltigkeitsschnittstelle im Risikomanagement zeigte Wieben unter anderem die bestehenden Herausforderungen für Unternehmen. Diese liegen vor allem im Bewerten von ESG-Risiken. So betrachten 73 Prozent der Befragten nichtfinanzielle Risiken von vornherein wenig detailliert und können die Risiken nicht quantifizieren. Für 57 Prozent der Unternehmen ist der lange Betrachtungszeitraum eine Herausforderung. Um das Thema Nachhaltigkeit stärker in die Organisationen zu tragen, braucht es eine Schnittstellenoptimierung, den „Tone from the Top“, bis zur stärkeren Akzeptanz des Themas in der Gesamtorganisation. Nach Ansicht von Beckmann müsse die Risikokultur mit Blick auf die Nachhaltigkeitsthemen eine neue Bedeutung bekommen. Und das bedeutet auch eine stärkere Systematisierung und Verankerung von Nachhaltigkeitsthemen in den Unternehmen – mit neuen Wegen in der Überwachung, Steuerung und letztendlich im gesamten Denken.

Smartes BCM – den Menschen mitnehmen

Unter dem Titel: „SMART Business Continuity Management“ präsentierte Hermann Huber, Manager Informationssicherheit – CISO, Hubert Burda Media Holding KG, die Einführung eines unternehmensweiten BCM-Systems bei seinem früheren Arbeitgeber Schmalz. Die Aufgabenstellungen beschrieb Huber mit einer ganzen Bandbreite an Parametern – von der Einführung eines IT-Notfallmanagements in den Tagesablauf der IT-Abteilung über den Datenschutz auf Basis des hiesigen Niveaus bis zur Einbindung der ausländischen Tochtergesellschaften. Neben der Theorie- und Praxisphase standen die Umsetzungsphase sowie die Awareness-Phase bis zum Übergang in die Linie (ISMS-Notfall) in einer zeitlichen Abfolge. Grundsätzlich sieht der Informationssicherheitsexperte rückblickend, dass die Einführung des IT-Notfallmanagements zu 80 Prozent Organisation bedeutet und nur 20 Prozent technisch getrieben. Im Ergebnis konnte Huber unter anderem ein ISMS-Notfallsystem einführen, eine hohe Sensibilisierung in den Bereichen IT-Notfallmanagement, IT-Security und Datenschutz erreichen, bei gleichzeitig geringen Kosten und einer schnellen Umsetzung. Nach Hubers Worten sei die Awareness-Phase essentiell, inklusive einer „Kronjuwelen-Diskussion“. Will heißen, welche Informationen sind unternehmenskritisch. Ein Thema, das mit den Mitarbeitern diskutiert wurde. Oder anders formuliert: Der Mensch ist der Kern eines solchen Projekts – von der Einführung bis zum Regelbetrieb. Von daher empfiehlt Huber: „Nimm die Kollegen in ihrer Sprache mit.“  

Risiken im digitalen Gesundheitswesen, Chancen durch ERM bei Coca-Cola 

Die digitale Transformation im Gesundheitswesen aus Sicht des klinischen Risikomanagements stand bei Prof. Dr. Reinhard Strametz von der Hochschule RheinMain im Zentrum der Betrachtungen. Strametz stellte seinem Vortrag einige Zahlen zum deutschen Gesundheitssystem voraus. So liegt der Gesamtumsatz bei über 356 Milliarden Euro bei gleichzeitig 5,6 Millionen Beschäftigten und rund einer Milliarde Arztkontakte pro Jahr. Gewaltige Zahlen, die Strametz aufzeigte.

„Willkommen im Hochrisikobereich“ formulierte er eine Zwischenüberschrift und fügt die zunehmende Komplexität, die gestiegenen Erwartungen, den technischen Fortschritt und den intensiven, heißt ruinösen Wettbewerb an. Das alles wirkt auf die Gesundheitseinrichtungen ein. Nach Strametz geht es um drei zentrale Fragen: Wie verändert die Digitale Transformation das Gesundheitswesen auf operativer Ebene? Welchen Chancen stehen welche Risiken gegenüber? Welchen Beitrag leistet klinisches Risikomanagement zur Minimierung dieser Risiken, um die Chancen der Digitalisierung nutzen zu können?

Vor dem Hintergrund der wesentlichen Risiken geht es um den Schutz vor externen Angriffen und um einen unzureichenden Schutz vor unberechtigten Zugriffen (Stichworte: Datenschutz und Datensicherheit). Die Vertraulichkeit fängt bei den Menschen an. Für Strametz bietet die Digitalisierung Chancen für die Datensicherheit, aber auch viel mehr Möglichkeiten, Unfug zu treiben. „Meine Hauptsorge ist die Integrität der Daten“, so Strametz. Und er folgert, dass Reputationsverluste in Krankenhäusern erheblich sein können. Als Beispiel nennt er Hacker, die Röntgenbilder manipulieren. Strametz: „Wenn ich mich auf die Daten nicht mehr verlassen kann, dann ist die Integrität dahin.“ Darüber hinaus geht es auch um die Verfügbarkeit und die Kontrollierbarkeit der Daten. Wenn Apps im Gesundheitsbereich zum Einsatz kommen, so müssen diese nach Strametz auf „Herz und Nieren geprüft werden“. Sonst kann es beispielsweise zu Überdosierungen bei Insulin kommen, sollte man sich rein auf die jeweilige App verlassen. Als Lösungsansätze sieht der Gesundheitsexperte das Sensibilisieren, Informieren und Helfen, um Risiken zu minimieren.

Mit dem Thema: „ERM bei CCEP – Mehrwert durch flexibles und chancenorientiertes Risikomanagement“ folgte Joerg Osterloh, Director Enterprise Risk Management, Coca-Cola European Partners, abschließend dem Chancenpfad. Das Unternehmen, das in 13 Ländern vertreten ist und 23.000 Mitarbeiter beschäftigt, setzt im Risikomanagement auf ein ERM-Framework. Das heißt bei Coca-Cola ein integriertes ERM-Framework, das eine ganzheitliche Sicht auf die gesamte Risikolandschaft im CCEP (Certified Compliance & Ethics Professional) ermöglicht. Im Fokus des Unternehmens stehen neun Key-Risiken. Hierzu gehören unter anderem wechselnde Konsumenten, Verpackung und Plastik, Regulatorien, Cyberrisiken oder Marktrisiken. Regelmäßige Enterprise Risk Assessments, kontinuierliche Analysen und Szenario-Analysen, aber auch Kommunikation und Trainings, unterstützten den Gesamtprozess im Risikomanagement. Wichtig ist für Osterloh, dass Risiken und Chancen mit dem Businessplan zusammengeführt werden. Doch das alles kann nur funktionieren, wenn das unternehmensweite Risikomanagement Unterstützter aus der Führungsetage findet. Und das stets vor dem Hintergrund, Risiken innerhalb der Coca-Cola in Chancen zu verwandeln.

Abgerundet wurde der zweite Thementag zum Risk Management Congress durch die Vorstellung einzelner Arbeitskreise. Sei es zum neuen Arbeitskreis „Rating & Risikomanagement“ oder zum „Supply Chain Risk Management“. Damit endet der Risk Management Congress 2019 in Berlin. Eine Veranstaltung rund um das Chancen- und Risikomanagement von heute und morgen. Apropos morgen. Die kommende Jahreskonferenz der Risikomanager öffnet am 9. und 10. November 2020 in München ihre Tore. Dann wieder mit neuen Perspektiven rund um Werkzeuge, Wege und den Menschen im Risikomanagement.