MENU
FR   EN   DE  
FR   EN   DE   Kontakt

Unser Netzwerk, unsere Welt

Risikomanagement – lieber bewusst Risiken eingehen als von unbewussten Risiken überrascht zu werden

Bauch, Herz oder Kopf: Als Individuen gehen wir Menschen je nach Persönlichkeit, Stimmung und anderen Faktoren Risiken ein oder verzichten darauf. Bei jeder getroffenen Entscheidung wägen wir Chancen und Risiken ab und befinden uns in einem stetigen Risikomanagementprozess. In einem Unternehmen treffen wir in vielen Fällen Entscheidungen für Dritte. Ein systematischer Ansatz ermöglicht Unternehmern, bewusst kontrollierte Risiken einzugehen und damit das Unternehmen weiterzubringen. Wir haben uns mit Thomas Koller, Chief Innovation & Product Officer von der IBC Broking and Consulting Bern AG zusammengesetzt, um mehr über dieses Thema zu erfahren.

 

Consilia Group: Knackig zusammengefasst und verständlich für den Laien – wofür genau steht der Begriff Risikomanagement?

Thomas Koller: Wir leben in einer sich immer schneller entwickelnden Welt. Viele Unternehmer haben in den letzten Jahren die Tendenz, sich zu stark um das operative Geschäft zu kümmern und dadurch der Betriebsblindheit zu verfallen. Risikomanagement in einem Unternehmen zu betreiben heisst, sich periodisch, ungeachtet der gegenwärtigen operativen Herausforderungen, Zeit zu nehmen, einen Schritt zurück zu treten und sich Gedanken zu machen, welche Bedrohungen auf das Unternehmen einwirken können, daraus Massnahmen zu beschliessen und diese umzusetzen.

Vergleichbar ist der Mittelfeldregisseur im Fussball, der, bevor er den Ball weiterspielt, den Fuss auf den Ball hält, die Situation beurteilt und danach seinen Pass spielt und nicht einfach weiterrennt und dem nächstbesten Spieler einen Ball zuspielt oder diesen an den Gegner verliert.

 

C.G.: Aufgrund welcher Needs ist der Komplex Risikomanagement entstanden?

T.K.: Als Menschen möchten wir unser Leben sicherer gestalten und täglich dazulernen. Wenn mir etwas zustösst, werde ich alles daran setzen, dass dies nicht wieder passiert. Kenne ich weitere Personen, die der gleichen Bedrohung ausgesetzt sind, dann informiere ich diese, damit diese von meiner Erfahrung Gebrauch machen können. Gleichzeitig entwickelt sich die Welt rasant weiter und es entstehen täglich neue Gefahren, die wir gerne beherrschen möchten.

Mit der Industrialisierung per Ende des 19. Jahrhunderts entstanden plötzlich grössere Wertkonzentrationen und Fabrikmitarbeitern waren den damals noch gefährlichen Dampfmaschinen ausgesetzt. Nachdem in erster Linie für die Familien, zusätzlich zu den bestehenden Kommunen, ein finanzieller Schutz aufgebaut wurde, entstand schon bald das Risk-Engineering, was insbesondere die Erhöhung der Anlagensicherheit zum Ziel hatte. Mit der Internationalisierung der Geschäfte wirkten auch neue Bedrohungen, wie die Unsicherheit auf den Zugriff von Rohmaterialien, Devisen, usw. auf die Unternehmen ein, weshalb sich in den 1960er-Jahren der holistische Ansatz mit dem Enterprise Wide Riskmanagement (ERM) zu entwickeln begann. Durch die Automatisierung und Virtualisierung von immer mehr Geschäftsprozessen geben wir unsere direkte Einflusskraft aus der Hand, womit wir das Bedürfnis nach Risikomanagement erhöhen.

 

C.G.: Wie gehen Sie bei der Identifikation von Risiken vor und welche Rolle spielt dabei die Risikomatrix?

T.K.: Je nach Zielsetzung der durchzuführenden Risikoanalyse verwenden wir verschiedene Instrumente. Am Beispiel des ERM verwendet IBC eine auf jedes Unternehmen abgestimmte Bedrohungsliste, auf der um die 60 potenziellen Bedrohungen erwähnt sind. Zusammen mit dem Unternehmen erarbeiten wir daraus deren Risikoprofil, wobei am Ende die Risikomatrix dazu dient, die gefundenen Risiken aufgrund der Eintrittswahrscheinlichkeit und der Wirkung aufs Unternehmen grafisch und leicht verständlich darzustellen.

 

C.G.: Auf welche konkreten Bereiche eines Unternehmens lässt sich Risikomanagement anwenden? In den letzten Jahren spielen in diesem Zusammenhang gerade Cyber-Risiken doch eine immer grössere Rolle.

T.K.: Auf alle! Neben einem holistischen ERM-Ansatz nutzen wir die Methodik ebenfalls isoliert im Bereich HR, Finanzen, Produktion oder Strategie.

Davor erwähnten wir das ERM, welches grundsätzlich vom Verwaltungsrat und/oder der operativen Direktion durchgeführt wird. Dabei geht es um die hauptsächlichen Risiken des Unternehmens. In der ständigen Weiterentwicklung der Bedrohungsliste nimmt IBC immer wieder neue Risiken auf. Das Thema Cyber haben wir vor ca. 5 Jahren aufgenommen. Kunden, welche im Bereich Cyber eine gegenwärtige oder zukünftige Bedrohung sahen, haben sich zum Teil dafür entschieden, eine vertiefte Analyse der Thematik zu tätigen oder einen Business Continuity Plan mit einem Cyberszenario auszuarbeiten. Plötzlich ändert sich der Fokus von der generellen Unternehmenssicht auf ein Thema, das IBC dann mit Partnern oder vom Unternehmen gewählten Firmen vertieft.

Die Sensibilität der Unternehmen im Bereich Cyber hat in den letzten zwei Jahren sehr stark zugenommen, ist aber auch zu einem Buzz-Word gereift. Zum Thema Cyber möchte ich anfügen, dass, entgegen der „Volksmeinung“, Cyber sei vor allem ein IT-Thema, nämlich insbesondere eine Herausforderung der Geschäftsleitung ist. Die IT ist darin höchstens ein Vehikel. Ein Cyberangriff wirkt in erster Linie vor allem aufs Image und die Produktivität eines Unternehmens. Weiter gelingen die meisten Angriffe, weil der Faktor Mensch (ausserhalb der IT) ein fehlerhaftes Verhalten an den Tag legt und nicht etwa, weil die IT-Infrastruktur grosse Mängel aufweist. Trotz der starken Bedrohung und der hohen Exponierung, welchen Unternehmen in Bezug auf Cyber ausgesetzt sind, ist genau in dieser Thematik eine gründliche Analyse der effektiven Situation anstelle von überhasteten Massnahmen gefordert.

 

C.G.: Wenn ein Unternehmen an Sie herantritt und gerne hinsichtlich relevanter Risken beraten werden möchte ­– wie sehen dann effektiv die ersten Schritte aus?

T.K.: Unsere Methodik besteht aus 4 Schritten und hat zum Ziel, pragmatisch und verständlich die wichtigen Risiken eines Unternehmens herauszuschälen und positiv zu beeinflussen.

Im ersten Kontakt erklären wir die Methodik, tauschen Informationen zum Unternehmen aus, legen die Risikopolitik fest und planen die weiteren Schritte.

Nach dieser ein- bis zweistündigen Sitzung erarbeiten wir die Bedrohungsliste und lassen diese dem Unternehmen zur Vorbereitung auf die kommenden Workshops. In 2 halbtätigen Workshops identifizieren, beurteilen und bearbeiten wir zusammen mit dem Unternehmen die wichtigen Risiken, bevor wir den Schlussrapport präsentieren. In weniger als 4 Halbtagen erhält der Kunde eine umfassende Analyse zu den wichtigsten Risiken des Unternehmens.

 

C.G.: Welches ist das Ihrer Ansicht nach besonders häufig unterschätzte Risiko in Unternehmen?

T.K.: Die Wahrnehmung von Risiken unterscheidet sich von Mensch zu Mensch, bzw. aller Unternehmen. Unsere Aufgabe ist es, die Wahrnehmungen der Teilnehmer herauszufordern und uns nicht mit der erstbesten Antwort zufrieden zu geben. Eine präzise Beantwortung der Frage ist somit nicht möglich.

Meine persönliche Wahrnehmung war bis vor kurzem, dass sich Unternehmen der Thematik Cyber zu wenig annahmen, bzw. lediglich die Lösung in der IT suchen. Allgemein empfinde ich, dass sich Unternehmen gewisser Abhängigkeiten nicht oder nur zu wenig bewusst sind oder sein wollen und keinen konkreten Plan haben, wie es weitergehen soll, wenn eine oder mehrere dieser Abhängigkeiten nicht mehr die erwartete Leistung erbringen. Das Erstellen eines Business Continuity Plans und das Training einer Krisensituation bringt jedes Unternehmen weiter, schweisst zusammen und bereitet den Ernstfall vor.

 

C.G.: Wenn Sie einen Blick in die Zukunft wagen, welche Risiken werden an Bedeutung noch zunehmen? Oder durch Entwicklungen wie Digitalisierung, Automatisierung u. A. gar neu entstehen?

T.K.: Natürlich führen Trends wie Digitalisierung und Automatisierung dazu, dass immaterielle Risiken und Abhängigkeiten weiter an Bedeutung gewinnen werden. Diese Risiken hingegen beunruhigen mich weniger, weil wir als Unternehmer dazu einen Grossteil der Elemente zur Minimierung oder gar Verhinderung der Verwirklichung dieser Risken selbst in der Hand haben.

Die im Global Risks Report 2019[1] des WEF erwähnten Top 5-Risiken in Bezug auf deren Wirkung haben deren Ursprung in der Geopolitik, Gesellschaft und Umwelt (Klima), welche wir nur bedingt beeinflussen können. In unserer heilen Welt in der Schweiz scheinen diese Risiken sehr weit weg. Bei der genaueren Betrachtung hingegen sind dies Megatrends, welche sich aus vielen kleinen, auch bei uns vorhandenen, Wirkungen entwickeln und unsere Wirtschaft, das Unternehmertum und das tägliche Leben beeinflussen werden.

 

C.G.: Vielen Dank für das Gespräch.

[1] The Global Risks Report 2019 – WEF – zugegriffen auf http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf – am 07.05.2019