Welches sind die wichtigsten Pfeiler für ein umsetzbares, pragmatisches Risikomanagement?
Am allerwichtigsten ist, dass eine Firma ihr Risk Management an der Unternehmensstrategie und den damit verbundenen Unternehmenszielen aufhängt und Risk Management nicht mit Verhinderungsmanagement gleichsetzt. Denn Risk Management ist definitiv nicht die Lehre von der Fehlervermeidung.

Was meinen Sie damit?
Grundsätzlich birgt jede Geschäftstätigkeit Risiken. Daher geht es nicht darum, alles zu vermeiden, sondern sich bewusst zu überlegen, was man als Unternehmen mit einzelnen Handlungen erreichen möchte und welches dabei die grössten Risiken sind. Zentral ist, dass sich die Unternehmensleitung bewusst fürs Risikomanagement entscheidet und davon überzeugt ist, dass es für den langfristigen Erfolg nützt und etwas bewirkt.

Auch interessant

Wie gelingt es, dieses Bewusstsein im Unternehmen zu verankern?
Es ist Aufgabe der obersten Firmenleitung, Risk Management zu initiieren und dieses zu einem normalen Teil des unternehmerischen Denkens werden zu lassen. Zentral ist, dass sich die Geschäftsleitung überlegt, welche Risiken welches Handeln hat und was systematische Massnahmen für Prävention oder Absicherung kosten dürfen. Denn Risk Management sollte sich rechnen. Jeder Franken, den man in dieses investiert, lohnt sich, weil man danach weniger Geld ausgeben muss für verlorene Kunden, ausfallende Mitarbeitende oder verpasste Chancen.

«Das Wichtigste ist: sich in ruhigen Zeiten mittels Szenarien Handlungsspielräume zu eröffnen.»

Ist Risk Management also eine Kosten-Nutzen-Abwägung?
Ja, Risikomanagement ist ein Optimieren des ökonomischen Handelns und der Zielerreichung. Je besser es in die Geschäftsplanung integriert ist, desto mehr Handlungsspielraum entsteht. Natürlich sind die gesetzlichen und regulatorischen Vorgaben einzuhalten, genauso wie ethische und moralische Überlegungen integraler Teil des Wirtschaftens sein sollten.

Das heisst, ein Unternehmen muss Szenarien entwickeln, um Handlungsalternativen zu erhalten?
Ja, das Wichtigste ist: sich in ruhigen Zeiten mittels Szenarien Handlungsspielräume zu eröffnen. Ist ein Schaden oder eine Krise eingetroffen, kann ein Unternehmen nur noch reagieren. Für die Szenarioentwicklung braucht es übrigens nicht zwingend quantitative Modellierungen. Gerade bei kleineren Organisationen ist auch ein Workshop, in dem man sich drei konkrete Szenarien überlegt, sehr zielführend. 

An was für Szenarien denken Sie?
An ein bestes, ein realistisches und ein schlechtestmögliches Szenario. Wichtig ist, dass die Workshop-Teilnehmenden die übergeordneten Ziele konkretisieren und davon abgeleitet dann potenzielle Risiken, Gefährdungen und Auswirkungen identifizieren. Danach muss sich die Organisation überlegen, wie sie mit den erkannten Risiken umgehen möchte.

«Lediglich der Initialaufwand ist gross, danach ist der Aufwand überschaubar.»

Muss man die Szenarien laufend aktualisieren oder dürfen diese eine gewisse Zeit in der Schublade liegen bleiben?
Oft sehen die Mitarbeitenden als Erste, wenn etwas nicht mehr klappt, und melden das auch. Auch Fehler oder «Beinahefehler» liefern wichtige Erkenntnisse, wenn sie zur Verbesserung und nicht für Schuldzuweisungen genutzt werden. Eine solche Risikokultur ist natürlich der Idealfall, weil man damit das Risk Management laufend anpassen kann. Es ist aber in jedem Fall empfehlenswert, die Szenarien jährlich zu aktualisieren. 

Das tönt nach viel Aufwand …
Nein, lediglich der Initialaufwand ist gross, danach ist der Aufwand überschaubar. Grössere Anpassungen sind erst nötig, wenn sich die Ziele ändern oder ein grösseres Projekt hinzukommt. Es kann auch helfen, ab und an jemand Externen an eine Sitzung einzuladen oder sich mit Kollegen oder Peers abzusprechen und sich über Risikolisten oder -szenarien auszutauschen.

Beim Risikomanagement geht es aber nicht nur um Szenariodenken, sondern auch um die regelmässige Kontrolle von Risiken und Massnahmen. Generische Risikolisten oder der Kauf einer Software können die Einführung und den Unterhalt etwas erleichtern. Hilfreich sind auch Gespräche mit einem Broker oder Versicherungsberater – diese können ebenfalls unterstützen.

Gehört das Thema Kontinuitätsmanagement auch dazu?
Das «Was wäre, wenn ...» ist ein wichtiger Teil des Risikomanagements. Im Laufe der Pandemie hat sich fast schon lehrbuchhaft gezeigt, wie wichtig das Kontinuitätsmanagement ist. Unternehmen, die über ein solches verfügten, waren deutlich besser aufgestellt. Das hat man beispielsweise in der Versicherungsbranche gesehen, die innerhalb kürzester Zeit auf Homeoffice umstellen und die Kunden nahtlos weiterbedienen konnte. Zwar schienen Cyberangriffe oder eine Naturkatastrophe wahrscheinlicher als ein schweizweiter Lockdown, doch am Ende spielte das keine Rolle – durchgedacht und geübt war es.