Risiken analysieren und bewerten

Zuerst ist es einmal wichtig, den Kontext festzulegen, in dem Risiken analysiert und bewertet werden sollen. Risiken gibt es na-türlich überall, sei es in einem Projekt, in ei-nem Prozess oder in einem ganzen Unter-nehmen.

Betrachten wir in diesem Artikel die Ri-siken in verschiedenen Unternehmen, so kann festgestellt werden, dass die Risikoex-position oft sehr stark differiert. Das heisst, ein «Schema F» bei der Risikoanalyse gibt es sicherlich nicht.

Voraussetzungen für eine Risikoanalyse
Finanzinstitute haben andere Risiken als eine Baufirma und selbst die Firmen einer Bran-che kann man nicht unbedingt vergleichen. Natürlich gibt es sogenannte Branchenrisi-ken. Doch die einen sind international tätig und sind daher schon ganz anderen Risiken ausgesetzt als die lokalen Firmen. Ob es nun die unterschiedliche Eigentümerstruktur ist, die speziellen Anforderungen durch den Fir-menstandort, die finanzielle Ausstattung der Firma, Strategieausrichtung, Alter, Grösse, politische Verankerung: Dies alles und mehr hat Einfluss auf die Risikoexposition.

Gewisse Risiken entstehen auch erst durch spezielle Kombinationen. Beispiele sind die Innovationskraft einer Firma, die mit der strategischen Ausrichtung nicht Schritt hält, oder Liquiditätsrisiken, die durch Reputations-schäden entstehen, oder Rechtsunsicherheiten die durch Länderrisiken ausgelöst werden. Für eine Analyse ist es daher wichtig, ganz-heitlich und systematisch vorzugehen.

Identifizierung von Risiken
Bevor Risiken analysiert und bewertet werden können, müssen diese erst einmal gefunden werden. Wenn wir an Risiken denken, dann fallen uns spontan die spektakulären Ereignis-se ein: Terrorattentat, Cyberrisiken, Naturka-tastrophen wie zum Beispiel Erdbeben oder Überschwemmung, Vogelgrippe, Migrations-welle bis hin zum Meteroiteneinschlag …

Aber sind das wirklich die relevanten Risiken? Natürlich können diese Risiken grossen­ Schaden anrichten. Aber sind diese auch in jedem Unternehmen relevant?

Oftmals sind die existenzbedrohenden Risiken einer Firma nicht unbedingt diese spektakulären, externen Katastrophen, son-dern vor allem die internen Risiken.

Sie liegen im strategischen Bereich, in den Prozessen, dem Umgang der Firma mit rechtlichen und ethischen Fragen, im Inno-vationsverhalten usw. begründet. Das macht die Recherche, die Analyse und die Doku-mentation nicht unbedingt einfach, weil hier viele interne Unzulänglichkeiten zur Spra-che kommen. Diese Transparenz ist auf der einen Seite nicht immer gewünscht und kann auch diverse Wunden aufreissen und bei der Dokumentation eine heikle Sache werden.

Für ein ganzheitliches Risikomanage-mentsystem dürfen aber der Analyse, Bewer-tung und Dokumentation von Risiken keine Schranken auferlegt werden, sonst gestaltet sich die Arbeit zu einer Alibifunktion.

Auf der anderen Seite können interne Risiken meist sehr gut bewirtschaftet wer-den, da man internen Problemen auch mit internen Massnahmen begegnen kann. Hier ergibt sich ein grosses Potenzial im Risikoma-nagement, das, erfolgreich angewendet, zu einem Erfolgsfaktor für das Unternehmen werden kann.

Egal welche Analysemethode angewen-det wird, ob bottom-up oder top-down, ob quantitativ oder qualitativ, induktiv oder de-duktiv, ist es notwendig, die Risiken entspre-chend zu bewerten und zu dokumentieren, um sinnvolle Handlungen setzen zu können.

Analogie zu Wissensmanagement
Je mehr die digitalen Herausforderungen Un-ternehmen zum Überdenken ihrer Struktu-ren und Prozesse zwingen, desto klarer wird, dass vor allem die internen Risiken besser gemanagt werden müssen. Daher werden in Zukunft nicht nur Organisationen agiler werden, sondern auch das Risikomanage-ment.

Der Risikoprozess lebt von dem Regel-kreis Risiken identifizieren, Risiken analysie-ren, Risiken bewerten und Risiken bearbeiten.

Daten entstehen durch das Sammeln und Messen von Beobachtungen. Mit quanti-tativen Methoden können Unmengen von Daten erzeugt werden. Erst durch sinnvolles Verknüpfen mit einem zusätzlichen Kontext gelangt man zu relevanten Informationen, aus denen man anwendbares Wissen gene-rieren kann. Schlussendlich gelangt man dann zur Erkenntnis, wie man dieses Wissen am besten einsetzt.

Das ist ein Prozess, der im Risikoma-nagement durch den Risikomanager, die Risi-koeigner, Experten, die Mitarbeiter und na-türlich vor allem von der obersten Führung, die die Ziele der Unternehmung und deren Umsetzung bestimmt, gelebt werden muss. Die Risikoanalyse und Risikobewertung ge-lingen, wenn aus den vorliegenden Daten und Informationen das Wissen um die ent-sprechenden Risiken und Massnahmen er-mittelt werden kann. Rein quantitatives An-häufen von Daten kann zu keinem zielfüh-renden Ergebnis führen.

Erfolgsfaktoren für eine Risikoanalyse und Risikobewertung
In diesem Zusammenhang wird deutlich, dass viele Faktoren für eine valable Risiko-analyse zusammenspielen müssen:

• Definition des Risikosystems: Eine klare Festle-gung, worauf sich die Risikoanalyse bezieht. Welche zeitliche, örtliche, organisationale Abgrenzung soll betrachtet werden? Wo sol-len die Systemgrenzen gezogen werden?
• Methodenfehler vermeiden: Bei der Datener-hebung dürfen keine fehlerhaften Algo-rithmen angewendet werden und es darf keine unzureichende Datenbasis als Aus-gangslage dienen. Kontinuierliches kriti-sches Hinterfragen und Querprüfungen sind wichtig, um systematische Fehler zu vermeiden.
• Organisationsform: Es ist ein Paradoxon, dass es besonders in risikoaversen Strukturen schwierig ist, Risiken zu finden. Das mag ei-nerseits daran liegen, dass in strikten Struk-turen die Fehlerkultur wenig ausgeprägt ist und Angst vor Sanktionen vorherrscht. An-dererseits besteht auch oft die Tendenz, Ri-siken zu ignorieren nach dem Motto «dass nicht sein darf, was nicht sein soll».
• Firmenkultur: Wichtig ist in diesem Zu-sammenhang der sogenannte «tone at the top», sonst kann Risikomanagement leicht zu einer lästigen Alibiübung mu-tieren. Hinzu kommt, dass Unternehmen mit einer Misstrauenskultur und domi-nant hierarchischen Strukturen sich nicht besonders zum Auffinden von Risi-ken eignen. Es besteht auch die Möglich-keit, dass Risikoeigner aus Angst oder fal-schem Ehrgeiz Risiken verschweigen.
• Person des Risikomanagers: Die Risikomana-ger tragen durch Methodenkompetenz und grosses integratives Verständnis viel zum Erfolg eines Risikomanagements bei.
• Verankerung des Risikomanagements in der Organisation: Im Sinne einer neutralen, un-beeinflussten Sichtweise wäre das Risiko-management am besten unter der obersten Führung zu verankern. Trotzdem muss die Möglichkeit bestehen, nicht zu abgehoben von den operativen Prozessen zu sein.
• Geeignete Strukturen und Prozesse: Die Analy-se und Bewertung sind wie die Aktivitäten in der Buchhaltung eine Daueraufgabe. Der Risikobericht ist wie die Bilanz eine Mo-mentaufnahme. Dementsprechend muss sichergestellt sein, dass die Risiken auch stets bewirtschaftet werden. Zu starre Syste-matisierung kann dem Finden der Risiken auch hinderlich sein.
• Betriebsblindheit vermeiden: Routine kann mit den Jahren bei den Mitarbeitern zu ei-ner gewissen Betriebsblindheit führen. Auch hier ist ständiges Hinterfragen, über den Tellerrand schauen und der Austausch mit anderen, auch branchenfremden Ex-perten notwendig.
• Risikodokumentation:  Die  Ergebnisse  von Analysen und Bewertungen müssen in ge-eigneter Weise dokumentiert werden, so-dass geeignete Handlungen gesetzt werden können.

Schlussendlich gelingt eine Risikoanaly-se am besten, je motivierter sich alle Beteilig-ten um ein gutes, transparentes Ergebnis be-mühen. Es braucht Mut, die Dinge anzuspre-chen, eine gewisse Übersicht, um die relevan-ten Aspekte im Auge zu behalten, ein gewisses Mass an Querdenkertum, um Neues und Un-erwartetes aufzugreifen. Trotzdem muss dies begleitet werden durch Genauigkeit, Akribie und mit ständigem Hinterfragen.

Die Dokumentation sollte kurz und prägnant, aber trotzdem umfassend sein. Das erfordert viel analytische Arbeit im Vorfeld, denn eine unübersichtliche Papierflut führt sicher nicht zum Ziel. Auch das Verbleiben in einer keimfreien theoretischen Metaebene wird nicht zum Erfolg führen. Letztlich geht es darum, relevante Chancen, Probleme, Ge-fahren und Schwachstellen zu analysieren und zu dokumentieren und der Führung be-wusst zu machen und die Organisation in die Lage zu versetzen, zu handeln.

Je agiler Organisationen werden, desto agiler muss auch das Risikomanagement agieren.