Enterprise Risk Management – Risiken im Business, leicht verständlich gemacht

Risiken gibt es überall. Doch was muss man im Kontext von Unternehmen und der Wirtschaft wissen? Was ist an Enterprise Risk Management besonders?

By Philipp Schneidenbach

Business ohne Risiken – alles im Griff – und rechtzeitig wissen, wenn etwas in Schieflage gerät. Am besten dann gleich die richtigen Entscheidungen parat haben und gegensteuern. Nur ein Traum? Geht es überhaupt ohne Risiken? Oder haben Risiken vielleicht sogar eine positive Seite, die wir viel zu wenig betrachten? Lassen Sie uns gemeinsam einen leicht verständlichen Blick auf das Thema Enterprise Risk Management werfen.

Nichts ist ohne Risiko. So lernen wir es von Kindheit an, bevor wir später mit weiteren Plattitüden wie „No Risk, No Fun“ selber entscheiden müssen. Sobald wir im Berufsleben angekommen sind, geht es unweigerlich um Geld, Verpflichtungen und Konsequenzen – plötzlich ist das Thema Risiken präsenter und in einer Zeit wirtschaftlicher Umbrüche manchmal auch persönlich. In der Wirtschaft gilt es, risikoaffin zu sein und dennoch mitigierend – also, Wagnisse eingehen und Leichtsinn vermeiden. Wie passt das zusammen und welche Möglichkeiten und Methoden des Enterprise Risk Management sollte man kennen?

Risiken: Überall präsent und doch schwer greifbar

Tatsächlich ist nichts ohne Risiko, weder menschliche noch maschinelle Arbeit. Wo handwerklich gearbeitet wird, ganz gleich ob Schreinerei oder Buchhaltung, können Fehler passieren. Ob ein Stück Holz kurz vor der Fertigstellung eines Möbelstücks bricht oder eine Rechnung falsch zugeordnet und verbucht wird, ist dabei egal: Am Ende kostet es Geld. In jedem Unternehmen passieren Fehler und beide Beispiele lassen sich heranziehen, um sogenannte „Risiko Mitigierende Maßnahmen“ zu beschreiben.

Ein Schreiner wird mit einem Werkstück zum Ende des Auftrags vorsichtiger umgehen, als mit dem rohen Holz. Geht am Ende etwas schief, stecken viele Arbeitsstunden und somit Lohnkosten dahinter. Entsprechend achtet er auf seine Art und Weise, wie er das nun fast fertige und verkaufbare Stück Ware handhabt und lagert. Das Risiko: Unzufriedener Kunde, kein Zahlungseingang oder Wiederholung der Anfertigung. Alles kostet bares Geld!

In jeder Buchhaltungsabteilung wird kontrolliert, ob Rechnungsdaten übereinstimmen: Absender, Positionen, Auftragsnummer und Beträge. Wo keine Rechnungsprüfung geschieht, entsteht ein Risiko: Vergessene Rabatte, falsche Mengen und Steuern führen am Ende zu finanziellem Schaden.

Risiken können jedoch nicht nur vermieden, sondern auch bewusst eingegangen werden. Dies lohnt sich zum Beispiel dann, wenn hohe Mengen an günstiger Ware verkauft werden oder am Fliessband produziert wird. Oft wird in solchen Fällen abgewogen, wieviel Risiko sich lohnt: Ist der Ausschuss von so geringer Menge und die Produktionsgeschwindigkeit so hoch, dass die Vorteile überwiegen, ist eine gewisse Menge fehlerhafter Teile kein Problem. Ebenso wird nach der Qualität entschieden, die der Kunde erwartet. Ist er zufrieden mit einem günstigen Produkt durchschnittlicher Qualität, gibt es mehr Toleranz für Risiken als wenn es sich um ein Produkt einer Manufaktur handelt. Gleichzeitig würde kein Automobilhersteller Teile, die unsichtbar verbaut werden, genauso auf optische Eigenschaften prüfen wie ein Armaturenbrett.

Sowohl im produzierenden Gewerbe wie auch in Managementetagen lautet das Stichwort „Risikoappetit“ – was zunächst wie eine eigene Wortschöpfung klingt, ist tatsächlich ein gängiger Begriff. Dabei überrascht mich immer wieder, wie viele Unternehmen und Manager den Risikoappetit des eigenen Umfeldes nicht kennen. Denn die Erhebung ist elementar wichtig: Weil nichts ohne Risiko ist und zu hohe Risiken kritisch sind, sollte man den Risikoappetit erheben, festhalten und immer wieder überprüfen.

Kontext EnterpriseRi – was im Management zählt

Im Business beginnt alles mit Interested Parties. Das kennen der Stakeholder, also aller Personen oder Gruppen, welche ein berechtigtes Interesse an Ergebnissen und Verläufen von Projekten und Prozessen besitzen, ist ein weit verbreitetes Thema. Diese Personen und Gruppen können sehr heterogen aufgestellt sein: Der Produktionsvorstand oder COO wird ganz andere Interessen für sich beanspruchen, als der Personalvorstand oder die HR-Abteilung. Über eine sogenannte Interested Parties Analyse, oft auch Stakeholder Analyse genannt, können grundlegende Ansprüche und Interessen, aber auch der individuelle Risikoappetit abgefragt werden. Hierbei handelt es sich jedoch oft um sehr persönliche, aus dem Fokus der eigenen Verantwortung stammende Informationen.

Die nächste Frage in Bezug auf Risiken stellt sich in Richtung Assets. Oft nur als Begriff der Finanzwelt verkannt, sind Assets, zu Deutsch „Güter und Ressourcen“, an viel mehr Stellen im Unternehmen präsent und relevant, als man denkt: Die IT betreibt ein Asset Management mit allen IT-Geräten, Software und Peripherie, der Vertrieb besitzt Kundendaten und die Produktion besteht aus Maschinen und Werkzeugen. Diese Assets zu kennen ist elementar wichtig: Fallen Assets aus oder müssen gewartet werden, entstehen Risiken. Diese sind natürlich mitigierbar – eine Produktion könnte einfach mehrere Maschinen zum Ersatz vorhalten – doch am Ende kostet das Geld. Nehmen Sie das Beispiel des Risikos, dass Ihr Asset „Mein Auto“ an einem Wintermorgen nicht mehr funktioniert. Dieses Risiko können Sie an sich ganz leicht mitigieren – kaufen Sie einfach noch eines und fahren Sie beide Autos abwechselnd. Sicher denken Sie als Leser jetzt: „Das kann ja nicht die Lösung sein, denn wer kauft sich schon einen Zweitwagen für so ein geringes Risiko?“ – doch das ist abhängig von Ihrem individuellen Risikoappetit. Fragen Sie dazu einfach zwei verschiedene Stakeholder – Sie werden überrascht sein, wie egal dem Homeoffice-Arbeiter das nicht anspringende Auto ist, und wie geschockt die Krankenschwester wäre, wenn sie eines Morgens nicht zum Dienst fahren kann. Zum Glück haben Autos seit vielen Jahren zahlreiche Technologien an Bord, welche solche Situationen verhindern. Ohne hier auszuschweifen, sind das automatisch abschaltende Licht, die Warnung über eine nicht mehr ladende Lichtmaschine und die Kaltstartautomatik für uns schon absoluter Standard – Autos springen heute viel selbstverständlicher im Winter an, als das früher der Fall war. Selbst die Länge des Motorstarts wird elektronisch geregelt, wenn man den Start-Knopf betätigt.

Hinter solchen Errungenschaften stehen Prozesse und deren stetige Optimierung. In der Luftfahrt wurden Unfälle untersucht und Enteisungsprozesse für Tragflächen eingeführt, Bodenannäherungs-Warnsysteme zur Kollisionsvermeidung entwickelt und strikt einzuhaltende Checklisten in die Flight-Computer eingebaut. Autos warnen uns laut und überdeutlich, wenn wir das Risiko einer Fahrt ohne Sicherheitsgurt eingehen. Das ESP – inzwischen Pflicht in Fahrzeugen aller Art – regelt auf rutschiger Straße die Motorleistung und betätigt die Bremse. In der Lebensmittelindustrie prüfen Metalldetektoren Ihr Lieblingsmüsli, nachdem es in der Fabrik verpackt wurde – damit etwaige Metallteile aus Produktionsmaschinen nicht auf dem Frühstückstisch landen können. Es gäbe noch tausende weitere Beispiele für Prozesse und wie sie Risiken erkennbar machen oder vermeiden können: Vom Virenscanner bis hin zum Dateisystem, der hoffentlich regelmäßigen Datensicherung bis hin zu Ihrem Emailanbieter, der Sie auf Spam und Viren in Nachrichten hinweist. Unser ganzes Leben, unsere Arbeit und unser Alltag sind heute deshalb immer weniger riskant, da wir gelernt haben, die Prozesse unseres Lebens zu hinterfragen und abzusichern. Das merkt man schon alleine daran, dass es vor 10 Jahren vollkommen normal war, sich im Internet nur mit einem Passwort und ohne zweiten Faktor anzumelden. Unser Risikoappetit auf den Verlust von Zugängen und Zahlungsdaten ist gesunken, die Prozesse wurden besser, und die Risiken sind heute stark minimiert. Deshalb warnt Sie auch Ihr Browser, wenn Sie auf eine nicht sichere Internetseite zugreifen. Und weil all diese Punkte im Unternehmen auch vor dem Einschleusen von Malware und Viren schützen, sind sie ein griffiges Beispiel für angewandtes Risikomanagement, das nicht zu abstrakt ist.

Standards, Frameworks und bekannte Referenzen

Über die zahlreichen genannten Beispiele hinaus sollte man wissen, dass Risikomanagement fester Bestandteil etablierter, internationaler Normen und Vorgehensmodelle ist. Die ISO 31000 als bekannteste Norm für Risikomanagement zählt ganz klar die Punkte Risikoidentifikation, Analyse, Bewertung und Bewältigung auf, flankiert von Überwachung und Überprüfung sowie stetiger Kommunikation für einen stets klaren Zusammenhang. Wie auch andere, vielleicht eher bekannte ISO Normen, z.B. 9001 für Qualitätsmanagement oder 27001 für Informationssicherheit stellt die ISO 31000 das Prinzip Plan, Do, Check, Act (PDCA) als stetigen Zyklus in den Vordergrund. Anhand der hier genannten Beispiele sehen Sie sicher schon: Qualität, Risiken, Informationssicherheit – so ganz voneinander entfernt ist das alles nicht und ja, selbstverständlich bedarf es auch für die hier beispielhaft genannten Normen eine Stakeholder Analyse, Assets und das Erkennen von Risiken. Alles geht Hand in Hand!

In der IT-Governance ist das COBIT-Framework als weltweit anerkanntes Rahmenwerk für Enterprise Governance etabliert. Während der letzten Revision ist dabei der Faktor „Enterprise Risk“ direkt integriert worden: Risk und Mitigation wurde als Business Design Factor in das Framework eingebaut, also nun fester Bestandteil und deutlich umfangreicher als zuvor. Konkret ist Risk nun sogar eine Focus-Area, der besondere Beachtung geschenkt werden soll. Experten auf dem Gebiet nutzen die Reifegradmodelle aus COBIT, um IT-Prozesse zu hinterfragen und sogenannte Risk Optimization zu betreiben:

  1. Betreiben wir überhaupt ein Risikomanagement, ist der Risikoappetit bekannt und seine Auswirkungen auf Unternehmenswerte ebenfalls?
  2. Steuern wir das Risikomanagement effektiv – Haben wir Ziele, kennen wir kritische Prozesse im Unternehmen und berichten wir transparent darüber?
  3. Beobachten wir, wie sich die Kennzahlen verändern, ob sich der Risikoappetit zu sehr erhöht und die Unternehmensziele nicht gefährdet werden?
  4. Wie gehen wir mit Ressourcen um? Haben wir im Blick, dass wir ohne Ressourcen nicht arbeiten können und kennen wir die zukünftigen Bedarfe?

Dies sollen nur einige wenige Beispiele sein, mit welchen Fragen sich die Profis auf diesem Gebiet auseinandersetzen. Dabei kommen plötzlich allgegenwärtige Fragen ins Spiel, die wir spätestens seit der Chipkrise aus der Tagespresse kennen:

  • Was ist mit der Verfügbarkeit von Rohstoffen, und wie verändern sich die Preise? Welche Risiken haben wir, jetzt das Lager zu füllen – oder zu warten?
  • Wie sind wir auf Ausfälle vorbereitet – was passiert, wenn der Strom weg ist oder Lieferanten nicht mehr liefern können? Haben wir Puffer?
  • Wo bekommen wir qualifiziertes Personal, wenn es immer weniger Bewerber gibt? Haben wir die Möglichkeit, Mitarbeiter von Zuhause arbeiten zu lassen?

Es würden sich schier unendliche Aspekte und Kombinationen bilden lassen, doch müssen wir uns hier auf eine überschaubare Menge konzentrieren. Abschliessend habe ich noch eine gern erzählte Anekdote aus den Corona-Jahren parat: Was war das größte Risiko zahlreicher Wirtschaftsunternehmen, welches im Jahr 2019 niemand hat kommen sehen? Der nicht zu erwartende Mangel an Token, kleinen Geräten mit welchen sich Millionen von Mitarbeitern auf einmal von Zuhause über das Internet im Unternehmen authentifizieren wollten – denn es gab im April 2020 einfach nicht genug Token am Markt. Plötzlich schossen die Preise ins unermessliche und die meisten Unternehmen stellten rasch auf Softwaretoken um, oder arbeiten mit der Authentifizierung per Handy. Denn das hatten viele bereits in der Tasche – wenn man vom sprunghaft gestiegenen Bedarf an Firmenhandies einmal absieht, der auch zu Engpässen führte.

Sie sehen also: Hinterher ist man immer schlauer, keiner weiss letztendlich welche Risiken uns noch begegnen. Nicht alles kann vermieden werden, aber vieles erkannt, als Risiko gemanaged und mit sinnvollen Maßnahmen belegt und so hoffentlich mitigiert werden.

Philipp Schneidenbach
Philipp Schneidenbach ist Experte auf den Gebieten Enterprise Architecture, Governance, Risk und Compliance. In seiner derzeitigen Position bei Materna vereint er die Erfahrung aus mehr als 25 Jahren Beratung und Linienverantwortung in verschiedenen Industriezweigen und Märkten. Als Autor, Researcher und Speaker engagiert er sich unter anderem in Organisationen und Berufsverbänden wie der IEEE, ISACA und MoreThanDigital.
Das könnte dir auch gefallen Mehr vom Autor

Die Kommentarfunktion ist geschlossen.

More Stories

KI-Risiken und KI-Governance meistern – Ein Leitfaden

Erfolgsfaktoren in agilen Teams – Erfolgreiches…

Was sind KPIs? – Definition, Arten, Vorteile von…

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More