Das Ende der Wahrscheinlichkeitsverteilung Risikomanagementsysteme am Limit

Droht jetzt auch noch eine neue Bankenkrise? Nach Griechenland-Krise, Konjunktureinbruch in China, Embargo gegen Russland, Terror in Paris, Syrienkrieg, Flüchtlingschaos und EU-Streit kommt nun die nächste Hiobsbotschaft für Märkte und Unternehmen. Und wie immer in den vergangenen Monaten haben die allermeisten Beobachter die Wahrscheinlichkeit des krisenhaften Ausschlags des geopolitischen Risikos deutlich unterschätzt. Dabei hat der US-amerikanische Politikwissenschaftler Ian Bremmer bereits 2009 in seinem Buch "The Fat Tail: The Power of Political Knowledge in an Uncertain World" darauf hingewiesen, dass die Zahl der politischen und ökonomischen Risiken, die das Potenzial für eine krisenhafte Eskalation haben, erschreckend angestiegen ist. Die Wahrscheinlichkeitsverteilung, mit der sich die Risikoforschung befasst, sieht seit längerem das Ende der Gauß'schen Normalverteilung mit ihrer gemütlichen Glockenform zugunsten einer Zackenform eher bedrohlich, auf jeden Fall ungemütlich, mit dickem Ende eben.

Diese neue Wahrscheinlichkeitsverteilung muss auch im Risikomanagement insbesondere der international tätigen Unternehmen ihren Niederschlag finden. Hinzu kommen ja noch die hausgemachten Risiken, die aus Sicht der Unternehmen Bedrohungspotenzial für ihre Geschäftsmodelle haben, also Regulatorik, rechtliche Auseinandersetzungen oder Compliancefälle. Und so fragt man sich, wie es denn um das Risikomangement in Deutschland eigentlich bestellt ist. Fast alle Unternehmen, in denen man als Berater dieser Tage diese Frage stellt, verweisen unisono auf das bestehende Risikomanagementsystem, das peinlich genau gepflegt werde. In der Tat: Seit 1998 verpflichtet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz KonTraG) zu einem ziemlich umfassenden, geradezu kleinteiligen Risikomanagement-System, einschließlich einer ebenfalls vorgeschriebenen Berichterstattung im Lagebericht des Jahresabschlusses. Obwohl ursprünglich nur für größere, börsennotierte Aktiengesellschaften gedacht, gilt das KonTraG inzwischen auch für weite Teile der mittelständischen Wirtschaft, nicht zuletzt für GmbHs. Ergänzt wird das KonTraG durch eine Reihe weiterer Spezialregelungen, die primär den Finanzsektor betreffen. Die bekanntesten sind vielleicht die Mindestanforderungen an das Risikomanagement (MaRisk) für Banken, Versicherungen und Investmentgesellschaften.

Alle diese rechtlichen Vorgaben haben eines gemeinsam: Sie sind zwischen 15 und 20 Jahre alt, so dass sich ihre Umsetzung in den Unternehmen im für einen solchen Zeitraum typischen Zustand der Standardisierung befindet. Mit anderen Worten: alle Vorgaben werden routinemäßig erfüllt, Risikoidentifikation und -einschätzung werden gerne mit einer umfangreichen Berichterstattung geradezu erschlagen. Hauptsache, die Prozesse stimmen und alle notwendigen Berichtspunkte sind abgearbeitet. Schließlich wird ja auch nur das geprüft. Oder war da noch was?

Ja, da waren eben die vielen neuen Risiken, die sich der gewohnten routinemäßigen Bearbeitung entziehen. Angesichts der Turbulenzen des immer volatileren Umfeldes steigen die strategischen Risiken und die operativen Risiken aus immer komplexeren Prozessen – Stichworte IT bzw. IT-Sicherheit – sowie Compliance-Verstößen aller Art werden unübersichtlicher. Da nimmt es sich geradezu rührend aus, wenn viele Unternehmen im Zuge ihrer Risikoidentifikation die gute alte SWOT-Analyse auspacken. Generell gilt in turbulenten Zeiten: weniger Kosten für ausgeklügelte Pro-Forma-Managementsysteme produzieren, stattdessen mehr in pragmatische, schnelle Analysetools investieren. Es war nämlich noch nie eine gute Idee, komplexen Situationen mit komplizierten Antworten zu begegnen. Natürlich, ich höre die Einwände, gibt es die rechtlichen Verpflichtungen, man kann es sich nicht aussuchen. Aber jenseits von DIN-Norm und Prüfstandards einmal nach pragmatischen, geschäftsnahen Lösungen für den Umgang mit Risiken zu suchen, erhöht die Wahrscheinlichkeit der Existenzsicherung.

Umfeldbeobachtung heißt deshalb das neue Zauberwort, und zwar mit allen Augen und Ohren die eine große Organisation so hat. Gefragt sind flexible Instrumente, die in kurzen Abständen eingesetzt werden. 360 Grad-Stakeholder-Befragungen, die Einschätzungen von innen und außen zu einem Gesamtbild zusammenfügen, sind nur ein Beispiel. Und da man sowieso nicht sämtliche Risiken beobachten und bewerten kann – von vermeiden wollen wir an dieser Stelle gar nicht reden – kommt es mehr denn je darauf an, die Risiken auszuwählen, die für das eigene Geschäftsmodell am bedrohlichsten sind. Auch dafür braucht man Entscheidungsprozesse, die wesentlich kürzer sind als die bisherigen Steuerungszyklen. Die Planungszyklen haben sich bereits verkürzt, die Zyklen für die Risikobetrachtung müssen noch kürzer werden.

In einer Welt, die von den US-Militärs und damit auch von der Managementlehre mit dem Akronym VUCA (Volatile, Uncertain, Chaotic, Ambiguous) bezeichnet wird, kommt es weniger auf ausgefeilte, aber starre Risikomanagementsysteme als vielmehr auf Wachsamkeit und Agilität an. Weniger die Idee der Risikovermeidung, als vielmehr die schnelle Reaktion auf eingetretene Krisen ist die Zielvorstellung, um die es geht. Auf absehbare Zeit heißt das also, beides machen: ordnungsgemäß die Gesetzesvorgaben erledigen, aber zugleich die Risikobetrachtung ins Tagesgeschäft zu holen – ganz unkompliziert und nah am Geschäft.

Quellen:

Bremmer, Ian/ Keat, Preston (2009): The Fat Tail: The Power of Political Knowledge in an
Uncertain World, New York: Oxford University Press

Zur Person:

Prof. Dr. Susanne Knorre, Knorre Consulting (Bild: Knorre Consulting)

www.knorre-consulting.com