Riskieren Sie es, Risikomanagement zu ignorieren?
Risikomanagement – klingt nach Aufwand und Konzern. Es betrifft jedoch jedes Unternehmen: Wer wirksam sein will, muss seine Risiken im Blick behalten, ansonsten droht der Kontrollverlust über das eigene Handeln.
Im Englischen gibt es die Metapher des »Boiling Frog«, die auf unsere Blindheit gegenüber schleichenden Risiken anspielt. Um einen lebenden Frosch zu kochen, sollte dieser nicht in kochendes Wasser geworfen werden, da er sonst aus dem Topf wieder rausspringt. Wird er hingegen in lauwarmes Wasser gesetzt, das langsam zum Kochen gebracht wird, würde der Frosch nicht bemerken, dass sein Schicksal gleich besiegelt wäre.
Nicht immer droht uns Gefahr durch ein plötzliches, großes Ereignis. Veränderungen im Markt, technologische Innovationen, neue Kundenbedürfnisse, wachsende technische Schulden etc. erscheinen nicht plötzlich, sondern entwickeln sich über die Zeit. Schenken wir ihnen keine Aufmerksamkeit, »überraschen« sie uns, wenn sie bereits gravierende Auswirkungen haben.
Das führt dann dazu, dass Unternehmen enorme Kraftanstrengungen unter hohem Zeitdruck bewältigen müssen, was sie vorübergehend in ihrer Handlungsfreiheit stark einschränkt. Im schlimmsten Fall verlieren Unternehmen dadurch große Marktanteile oder gehen insolvent.
Übrigens soll die Geschichte des »Boiling Frogs« falsch sein (siehe hier): Der Frosch springt durchaus aus dem Topf, sobald ihm die Temperatur zu unangenehm ist.
Mein Rat daher: Seien Sie mehr wie ein Frosch!
Worum geht es beim Risikomanagement?
Wenn wir über Risikomanagement sprechen, dann klingt das nach etwas für große Konzerne, die sich mit Zahlungsausfällen o.ä. beschäftigen. Unternehmerische Risiken sind allerdings vielfältiger.
Externe Risiken sind zum Beispiel makroökonomische Entwicklungen (Zinspolitik), regulatorische Neuerung (DSGVO), soziokulturelle Veränderungen (Work-Life-Balance, Nachhaltigkeit) oder technologische Neuerungen (Internet, KI). In der Regel können wir sie nicht direkt beeinflussen, sondern sie »nur« antizipieren, rechtzeitig wahrnehmen und uns frühzeitig darauf einstellen.
Interne Risiken können wir hingegen aktiv reduzieren bzw. vermeiden. Klassiker sind z.B. technische Schulden (»das SAP muss aktualisiert werden«), Abhängigkeiten von einzelnen Wissensträger:innen, Kapazitätsengpässe, destruktive Managementpraktiken, fehlende Klarheit in Prozessen und Zuständigkeiten oder die Unternehmenskultur.
Risikomanagement sieht vor, sich aktiv und systematisch mit den Risiken auseinanderzusetzen. Keineswegs muss jedes Risiko beseitigt oder reduziert werden – manchmal ist es wirtschaftlich sinnvoller, mit dem Risiko zu leben. Wichtig ist nur, dass es bewusste Entscheidungen sind, wie mit den Risiken umgegangen wird.
Unternehmen können Risiken auch aufgreifen, um daraus Wettbewerbsvorteile zu generieren oder neue Opportunitäten zu entdecken. Netflix startete z.B. als Versanddienst für physische DVDs, begann dann Mitte der 2000er Streaming-Angebote dank größerer Internet-Bandbreiten zu explorieren, um dann ein Jahrzehnt später zu einem der relevantesten Medienanbieter weltweit zu werden.
Im Folgenden stellen wir zwei Ansätze vor, die wir mit unseren Kund:innen ohne großen Aufwand erfolgreich genutzt haben und die unter anderem bereits komplette technische Transformationen ausgelöst haben.
Beide Techniken vereint, dass sie am besten gemeinsam in einer Gruppe bearbeitet werden. Dies fördert mehrere Punkte:
- Es entstehen mehr Ideen
- Unterschiedliche Meinungen werden sichtbar
- Wo möglich, entstehen gemeinsam getragene Sichtweisen
- Die beteiligten Menschen stehen mehr dahinter, weil sie es selbst erzeugt haben
Leichter Einstieg mit Kill Your Company
Bei der »Kill Your Company«-Methode werden im ersten Schritt Szenarien oder Ereignisse entwickelt, die das eigene Unternehmen in den Ruin treiben. Der Ursprung der Ereignisse kann beliebig sein: Politik, Wettbewerb, veränderte Kundenbedürfnisse, Mitarbeiter:innen, IT-Sicherheit, Datenschutz etc. Wichtig ist nur, möglichst konkret zu werden. »Gesetzesänderungen« wäre z.B. zu generisch, »strengere gesetzliche Auflagen für Homeoffice« bereits etwas klarer.
Anschließend werden die Szenarien gemäß ihrer Eintrittswahrscheinlichkeit und Auswirkung auf das Unternehmen in einer 2er-Matrix festgehalten. In der Gruppe beginnt nun eine Diskussion, wo welches Ereignis positioniert werden soll. Der Austausch ist bereits in sich wertvoll, um Wissen und Perspektiven auszutauschen.
Relevante Ereignisse (hohe Wahrscheinlichkeit und Auswirkung) werden im dritten Schritt aus der Kundensicht betrachtet: Wie verändern sich die Kundenbedürfnisse oder die Mittel und Wege, diese zu bedienen, in einer solchen neuen Welt?
Zuletzt werden Maßnahmen erfasst, die entweder die Auswirkungen verschiedener negativer Szenarien für das Unternehmen reduzieren oder die neu entdeckte Opportunitäten aufgreifen. Nicht alle Maßnahmen sind direkt umzusetzen – manche können erst sinnvoll sein, wenn ein bestimmtes Ereignis eingetreten ist.
Wichtig: Potenzielle Maßnahmen zu identifizieren, ist der einfachere Schritt. Schwieriger ist es, tatsächlich ins Handeln zu kommen und dran zu bleiben. „Man müsste mal …“ ist ein beliebtes Satzfragment in solchen Diskussionen, der oft zu keinerlei Handlungen führt.
Daher empfehlen wir, in einem initialen »Kill Your Company«-Workshop die identifizieren Risiken und Maßnahmen zu dokumentieren, konkrete nächste Schritte mit verantwortlichen Personen festzuhalten und den nächsten Folgetermin (z.B. in zwei Wochen oder einem Monat) zu vereinbaren.
Nicht sexy, aber wirkungsvoll: Das Risikoregister
Eine recht simple erscheinende, aber wirkungsvolle Methode ist es, Risiken zu sammeln und anschließend in einer (Excel-)Tabelle mit Eintrittswahrscheinlichkeit und potenziellem Schaden aufzunehmen. Diese Methode ist u.a. Bestandteil der Projektmanagerausbildung nach Maßgabe des globalen Project Management Institute (PMI).
Die Risikobewertung erfolgt nach einer einfachen Multiplikation:
Potenzieller Schaden * Eintrittswahrscheinlichkeit = Risikowert.
Im ersten Schritt ist es häufig besser, den potenziellen Schaden nur grob zu erfassen, anstatt zu viel Zeit mit einer exakten Rechnung zu verschwenden. Ebenso geht es bei der Wahrscheinlichkeit zunächst um ein Bauchgefühl der Beteiligten. Gibt es keine schnelle Einigung über Eintrittswahrscheinlichkeit und Schaden, bietet es sich an, jeweils einen Durchschnittswert zu bilden.
All dies ist nicht perfekt, ermöglicht aber einen schnellen Einstieg in eine wertstiftende Risikodiskussion. Es kommt zu einem Abgleich unterschiedlicher Perspektiven, wodurch neue Erkenntnisse (individuell wie in der Gruppe) entstehen und vor allem eine gemeinsame Sicht auf das Unternehmen gefördert wird.
Auch aus dieser Diskussion sollten konkrete Handlungen abgeleitet werden:
- Welche Risiken sollen (durch welche Maßnahmen) zeitnah adressiert werden?
- Welche Risiken sollten wir zukünftig beobachten?
- Wo ist eine genauere Analyse notwendig, weil wir das Risiko nicht genau kennen?
- Bei welchen entscheiden wir uns bewusst dafür, sie (vorerst) zu ignorieren?
- Wie verhindern wir, dass in einem spezifischen Feld keine neuen Risiken ungeplant entstehen (z.B. beim Datenschutz oder der IT-Sicherheit)?
Eine solche Risikotabelle kann (und sollte) mit weiteren Personen im Unternehmen (partiell) geteilt werden, um weitere Einschätzungen zu Risiken zu erhalten und die Bedeutung etwaiger Gegenmaßnahmen zu unterstreichen. Genau wie bei »Kill Your Company« ist eine regelmäßige Prüfung der Risiken (z.B. alle drei Monate) sinnvoll, um neue Erkenntnisse oder Entwicklungen einfließen zu lassen.
tl;dr
Wirksames Handeln setzt voraus, die verfügbaren Kapazitäten zielgerichtet einzusetzen. Wer sich nicht mit unternehmerischen Risiken regelmäßig auseinandersetzt, läuft Gefahr, von Ereignissen überrascht zu werden und die Handlungsfähigkeit zu verlieren. Risikomanagement ist entsprechend auch für kleinere bis mittlere Unternehmen sinnvoll und kann mittels unterschiedlicher, leichtgewichtiger Methoden systematisch angegangen werden.