Risikomanagement und Resilienz: drei Fragen, sechs Antworten

Welche Auswirkungen haben die Polykrisen, mit denen sich Firmen zunehmend auseinandersetzen müssen, auf die Rolle des Risikomanagements im Unternehmen?

Das sagt der Berater:

Diese Polykrisen zwingen Unternehmen zunehmend dazu, ihre Risikomanagement-Kultur und -Elemente neu zu denken. Für viele der sich daraus ergebenden Gefahren fehlt den Firmen bisher der nötige „Radar“, die Sensibilisierung. Klassische Risiko-Reportings konzentrieren sich oft auf traditionelle Bereiche und lassen dabei die komplexen Zusammenhänge sowie die potenziellen Bedrohungen, die noch nicht eindeutig erkennbar sind, außer Acht. So gibt es beispielsweise aus geopolitischer Sicht zahlreiche Szenarien, die Unternehmen nicht erkennen, wenn sie sich nicht strukturiert darauf vorbereiten. Die hieraus entstehenden Risiken können sich im Hintergrund aufbauen und durch einen Dominoeffekt plötzlich sichtbar werden.

Um dieser Herausforderung systematisch zu begegnen, rücken vor allem Resilienzbetrachtungen verstärkt in den Fokus. Szenarien können hier entscheidend dabei unterstützen, verschiedene Möglichkeiten durchzuspielen und die Widerstandsfähigkeit zu stärken. Im Risikomanagement braucht es also nicht zwingend strukturelle Änderungen, aber in jedem Fall zusätzliche Elemente, wie datengetriebene Ansätze, um bedrohliche Entwicklungen und Tendenzen frühzeitig zu erkennen und ihnen effektiv zu begegnen.

Das sagt der Forscher:

Die ständige Präsenz von Risiken und die Notwendigkeit, sich mit ihnen auseinanderzusetzen, haben dazu geführt, dass immer mehr Unternehmen die Bedeutung einer robusten Strategie und des Risikomanagements erkennen. Sie verstehen, dass es nicht nur ein wichtiges Thema ist, sondern eine essenzielle Voraussetzung für nachhaltigen Erfolg.

Firmen müssen in der Lage sein, auch komplexe, miteinander verwoben auftretende neue Risiken systematisch einzuordnen und bei allen wichtigen Entscheidungen, wie zum Beispiel der Finanzierungsstruktur, zu berücksichtigen. Dies führt zu einem steigenden Stellenwert des Risikomanagements, allerdings ausgehend von einem niedrigen Niveau, das bei vielen Unternehmen derzeit noch vorherrscht.

Warum vernachlässigen viele Unternehmen in Deutschland immer noch ihr Risikomanagement und ihre Resilienz?

Das sagt der Berater:

Gerade in privat geführten mittelständischen Unternehmen wird häufig argumentiert, dass Risiken schon immer zum Geschäft gehörten und man über bewährte Mechanismen verfüge, um diese zu bewältigen, ohne auf komplexe Systeme zurückgreifen zu müssen. So beschränken sich beispielsweise viele Firmen darauf, einmal im Monat Krisensitzungen abzuhalten, um vermeintlich alle relevanten (offensichtlichen) Themen zu besprechen.

Der Grund für den Zweckoptimismus: Mittelständler glauben oft, sie verfügten weder über die notwendigen Zeitressourcen noch über ausreichend Kapital, um eine breite Palette von Risikoszenarien zu entwickeln und sich darauf adäquat vorzubereiten. Anders als bei Konzernen und großen, börsennotierten Unternehmen, bei denen spätestens die Corona-Pandemie ein gesteigertes Risikobewusstsein gefördert und zu umfangreichen Maßnahmen zur Stärkung der Widerstandsfähigkeit geführt hat.

Das sagt der Forscher:

In der Vergangenheit war das Problem die Risikoblindheit. Menschen möchten sich nicht gerne mit Risiken beschäftigen. Sie verdrängen deren Existenz und wollen nur ein positives Zukunftsszenario sehen. Dadurch unterschätzen sie oft die Größe von Risiken und haben keine Fähigkeiten, diese bei Entscheidungen angemessen zu berücksichtigen. Die aktuellen Polykrisen zwingen Unternehmen nun, diese Risikoblindheit zu überwinden.

Wo sollten Unternehmen bei der Optimierung ihres Risikomanagements ansetzen, um schnell sichtbare Erfolge zu erzielen?

Das sagt der Berater:

Die Optimierung des Risikomanagements beginnt typischerweise mit der Benennung verantwortlicher Akteur*innen und der Institutionalisierung einer Risikoinventur. Hierbei werden in Gesprächen mit Mitarbeiter*innen Informationen von unten nach oben gesammelt und anschließend konsolidiert. Diese Risiken werden dann auf andere Standorte und Abteilungen übertragen.

Um die Verantwortung näher am Geschehen zu halten, den Austausch zu stärken und dadurch komplexere Bedrohungspotenziale besser zu behandeln, kann es hilfreich sein, regionale Risk-Komitees einzurichten. Gleichzeitig ist es wichtig, auch von „oben nach unten“ zu denken und relevante Themen von den Führungsetagen aus in die Organisation zu tragen. Dies schafft das unabdingbare unternehmensweite Bewusstsein für Risiken und fördert eine eigene Dynamik, die das Risikomanagement-System erfolgreich vorantreibt.

Das sagt der Forscher:

Zunächst ist es unerlässlich, ein solides Fundament zu legen, das eine realistische Bewertung der tatsächlichen Bedrohungslandschaft ermöglicht. Im Klartext bedeutet dies: Es gilt, relevante Risiken aufzudecken, sie angemessen zu quantifizieren und in Bezug auf die Unternehmensplanung zu bündeln. Letzteres ist nötig, um Kombinationseffekte von Einzelrisiken auszuwerten. Dies mag zunächst komplex erscheinen, ist aber in der Praxis durchaus machbar.

Unsere Forschungsergebnisse zeigen, dass ein solcher Prozess in Unternehmen mit zehn bis 1.000 Mitarbeiterinnen und Mitarbeitern innerhalb von ein bis zwei Tagen durchführbar ist. Dieser Prozess umfasst auch Elemente wie die Risikoaggregation, die ein Simulationsverfahren benötigt, um die bedeutenden Risiken systematisch zu identifizieren und den Gesamtrisikoumfang, also zum Beispiel den Eigenkapitalbedarf, zu bestimmen.

Auf dieser Grundlage kann mithilfe von Software, die mittlerweile sogar kostenfrei verfügbar ist, eine große Anzahl an Zukunftsszenarien durchgerechnet werden. Damit lässt sich abschätzen, wie hoch die Wahrscheinlichkeit ist, dass das Unternehmen in eine Krise gerät. Die so gewonnene realistische Einschätzung der Bedrohungslage ist der Schlüssel, um sich auf zukünftige Herausforderungen vorzubereiten und nachhaltiger Erfolge zu sichern. Seit 2021 ist eine solche Risiko- und Krisenfrüherkennung auch für alle Kapitalgesellschaften gesetzlich vorgeschrieben (Paragraf 1, Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen).

_{Fotograf: Thomas Ceska}