50 Jahre interdisziplinäres Risk Management

Es scheint komplex, jegliche Risiken abzufedern – den richtigen Managementansatz zwischen gegebenen Strukturen und neuen Situationen zu finden. Vor vielschichtigen Katastrophen und Konflikten warnt zum Beispiel ein WEF Report («Global Risks 2015»). Es gibt Wahrscheinlichkeiten wie Jahrhunderfluten auf der einen Seite, zwischenstaatliche Konstrukte auf der anderen Seite. Die meisten Manager zeigen sich im Bezug auf innere, von Menschengemachte Katastrophen weniger alarmiert, solange sie ihre Unternehmen vor Schäden versichern können.

Allerdings gibt es auch Ereignisse, die hohe Einnahmeausfälle für die Unternehmensleitung evozieren. Als 2010 die Aschewolke des Vulkans Eyjafjallajökull den europäischen Flugbetrieb zeitweise blockierte, hatten die Fluggesellschaften das grosse Nachsehen, die Betriebsunterbrechung selber tragen zu müssen. Nebst solchen Schadenereignissen ziehen auch weitere Gefahren ihre kaum versicherbaren Kreise.

«Die Vertraulichkeit von Risikoinformationen ist in einigen Fällen zum Schutz der nationalen Sicherheit oder zur Vermeidung von öffentlicher Panik gerechtfertigt.»

Ob Eurokrise, Lücken in IT-Sicherheitsbereichen, Werkspionage oder unstetige Dienstleistungen: Ein Gros an Schweizer Unternehmen (mit mehr als 50 Mitarbeitenden) betreiben ein integrales Risikomanagement, um sich «Transparenz über die Risikolage zu verschaffen», heisst es in einer aktuellen Erhebung. Allerdings, so die Funk Insurance Brokers AG, bringe Risikomanagement für rund einen Drittel der befragten Schweizer Unternehmen keinen sichtbaren Mehrwert.

Einmal abgesehen von wirtschaftlichen Parametern existieren sicher auch regional unterschiedliche Auffassungen respektive Definitionen, wie Risikopotenziale für helvetische Unternehmen zusammenwirken.

Wandelnde Vertraulichkeit

Im öffentlich einsehbaren «Handbuch zum Risikomanagement Bund» (Version vom 29.04.2013) heisst es im Anhang 9 unter «Stolpersteine im Risikomanagement»: «Die Vertraulichkeit (und damit die fehlende Kommunikation) von Risikoinformationen ist in einigen Fällen zum Schutz der nationalen Sicherheit oder zur Vermeidung von öffentlicher Panik gerechtfertigt. Fehlende Transparenz bezüglich Risiken kann andererseits das Vertrauen in das Risikomanagement vermindern und aufgrund fehlender Informationen dazu führen, dass einige Risiken deswegen nicht die nötige Dringlichkeit zu ihrer Bewältigung erhalten. »

(Anm. d. Red.: Die hier kurz vorgestellte Eigenheit unter der Phrase «too big to fail» wird im Report der IRGC «Risk governance deficits » weiter ausgeführt).

Tatsache ist: Auch Schweizer Unternehmen kommen nicht umhin, sukzessiv technologisch werdende Kontroll- und Normierungssysteme zu implementieren. Dabei sind Managementvorteile wie die Sicherung, gar die Steigerung von Produktivitätskapazitäten evident; Gleichwohl führen Systemanpassungen meistens auch zu einem erhöhten äusseren Druck.

Unabhängige Organisationen wie der Internationale Risikorat IRGC unterstreichen schon seit Jahren, dass die unternehmerische Kommunikation durch Social-Media-Beiträge beeinflusst werden könnte.

Die wirtschaftliche Realität, siehe Preisanpassungen, und strengere, regulatorische Gesetze können einen dermassen hohen Druck ausüben, dass ihn die Unternehmensleitung, mindestens ihre angeschlossenen Controlling- und Legal-Abteilungen direkt zu spüren bekommen. Wird das «Tagesgeschäft» noch von nichteinkalkulierten Krisen überrumpelt, könnte es möglich sein, dass Verantwortliche erst über Social Media von schockierenden Pannen und weitgreifenden Einbussen hören.

Deshalb integriert Risikomanagement nebst dem Personal- Zertifikat ONR 49003 und der Anwendung ISO 31000 den angepassten konkreten Umgang im Notfall-, Krisen- und Kontinuitätsmanagement.

Stolpersteinereignisse

über weite Strecken ist ein von der SAQ (Swiss Association for Quality) diplomierter Risikomanager in der Lage, die schlimmsten Potenziale zu identifizieren, Vorgaben und Grundsätze für Prozesse zu definieren, Gesetze einzuhalten, Schadenereignissen einzukalkulieren und zu reportieren. Der Umgang mit unvorgesehen Stolperstein- oder so genannten «Black Swan»-Ereignissen ist und bleibt eine anspruchsvolle Gratwanderung zwischen den interdisziplinären Bereichen «Governance », «Control» und «Risiko», neuerdings auch noch «Resilience ». Jens Meissner, Dozent und Projektleiter für Organisation und Innovation und Co-Leiter des Masters of Advanced Studies in Risk Management an der Hochschule Luzern, erklärt: «Sie müssen sich vorstellen, dass ein Topmanager täglich Hunderte von Problemen zu lösen hätte. Welche Probleme tatsächlich zur Tagesordnung kommen, ist eine hochfokussierte Auswahl und hängt davon ab, wofür sich die Organisation mitursächlich zeichnet.»

Jens Meissner von der HSLU weiter: Im Bereich des Betriebsergebnisses sei das meist «kristallklar». Bei normativen und besonders bei ethischen Fragen komme man jedoch bei kleineren Unternehmen schnell an die Grenzen, siehe auch Stiftungsskandale. Werden Schäden einmal öffentlich kundig, siehe den Untergang der «Deepwater Horizon»-Bohrinsel von BP im Golf von Mexiko 2010, können Reputations-, Image- und Marktverluste nie wieder getilgt beziehungsweise weissgewaschen werden. Aus heutiger Sicht, bestätigen Schweizer Finanz- und Risikomanager, liegen die neuen Bedrohungen in immateriellen Werten wie Wissen (sowie Marken/ Warenzeichen), in Informatik- und Kommunikationsbereichen. Prof. Meissner von der HSLU: «Der Unternehmensfokus bei der Risikoidentifikation und -bewältigung muss heute vermehrt auf den Bereich der Geschäftsrisiken (= spekulative Risiken und strategische Markt- und Finanzrisiken) und nicht nur auf die traditionell meist versicherbaren operationellen Risiken gelegt werden. » Schliesslich geht es darum zu bestimmen, was noch zur Unternehmung gehöre und «was nicht». Heutzutage hat interdisziplinäres Risikomanagement weniger mit einzelnen Modellen und Prozessen zu tun als mit der richtigen unternehmerischen Grenzziehung und Moderierung zwischen innen und aussen.

Die SAQ war massgeblich an Risikomanagement- Ausbildungen beteiligt. Mit der Revision der Norm (ISO 9001:2015) im September dieses Jahres steigen z. B. die Anforderungen an das Risiko- und Chancenmanagement. Eine kurze Standortbestimmung über wichtige Meilensteine respektive Normen auf dem Weg zum integrierten Risikomanagement finden Sie auf S. 32.