Braucht Risikomanagement eine Softwarelösung?
Unternehmen werden seit Jahrhunderten von ihren Organen geführt – mal mehr und mal weniger erfolgreich. In all dieser Zeit waren kein Unternehmen ohne Risiko und kein Unternehmer ohne sein „natürliches“ Risikomanagement, dem unternehmerischen Geschick. Unternehmerschaft an sich ist pures Risikomanagement.
Jetzt ergibt es sich aber, dass der Unternehmer nicht alleine auf der Welt ist und schon viele eigentlich Unbeteiligte wegen eines eher „misslungenen“ Risikomanagements (oder vielleicht auch einer gehörigen Portion „Hasardeurtums“) in Mitleidenschaft gezogen wurden. Da breitet sich die Insolvenz eines etwas zu risikobereiten Unternehmers schnell auf die Lieferanten, Abnehmer, Arbeitnehmer, die Sozialkassen und sonstigen mit dem Unternehmen in Beziehung stehenden Akteure aus. Oder, um das Szenario mal in einer Alltagssituation darzustellen: Da wird aus einem etwas zu unvorsichtigen Autofahrer, der grade bei 120 km/h die letzte Aktennotiz auf dem Rücksitz sucht, eben auch mal eine folgenschwere Massenkarambolage. Misslungenes Risikomanagement und eindeutig keine Compliance. Und leider viele Betroffene.
Hätte das Unternehmen also einen Verbrennungsmotor und vier Räder, wäre ein Führerschein notwendig. Damit hätte der Lenker dann seine „Compliance“ und seine Fähigkeit zum adäquaten Risikomanagement bewiesen. Hätte …
Nun ist ein Automobil heutzutage sicher schon ein ziemlich komplexes Konstrukt und wenn man genau hinschaut, dann gibt es ja auch hier und da schon gelegentlich ein „Risiko-Management-System“. Aber ein Unternehmen, das sich in einem multi-dimensionalen wirtschaftlichen und rechtlichen Kontext bewegen muss, ist um ein Vielfaches komplexer. Risiken wirken von außen wie von innen auf das Unternehmen ein , wie zum Beispiel durch Betrug, Virenangriff oder Industrie-Spionage (Event-Risiken). Sie können sich aber auch aus den vielen täglich zu treffenden Entscheidungen ergeben (Entscheidungs-Risiken – nahezu jede Entscheidung birgt Risiken). Evolutions-Risiken, wie zum Beispiel durch die Veränderung von Preisen oder Ressourcen-Verfügbarkeiten entstehen vor allem aus den Veränderungen im wirtschaftlichen Umfeld eines Unternehmens. Also ist es fast wie beim Autofahren, aber eben mit dem Faktor 10.000 (geschätzt)…
Risiken aus unterschiedlichen Quellen (Infrastruktur, IT, interne und externe Personen, Verträge, Gesetze, Naturereignisse etc.), mit unterschiedlichen Auswirkungen (finanzieller Schaden, Reputationsschaden, Schaden für Mensch und Natur, etc.) und unterschiedlicher Art (hochfrequent und im Durchschnitt eingepreist bis sehr selten, dann aber desaströs) sollen also an einer Stelle zusammengetragen, bewertet, bewusst in einen Entscheidungsprozess eingebunden und danach nicht aus dem Auge verloren werden?
Manche Gehirnforscher behaupten, das menschliche Gehirn könne bis zu 5 unterschiedliche Informationsquellen gleichzeitig beachten. 350 Risiken aus 800 Ereignissen in 500 Prozessen, 1.400 Verträgen, 800 Systemen mit 1.100 Maßnahmen und 2.400 Kontrollen in 25 Niederlassungen und das bei 35 Produkten sind da für die meisten eine Nummer zu viel. Sogar für eine klassische Tabellenkalkulation.
Diese Risiko-Umwelt mit ihrer direkten und unmittelbaren Signifikanz für die nahe und ferne Zukunft des Unternehmens (und die der verbundenen Akteure) kann nur durch den Einsatz modernster Informations-Technologie ausreichend in die tägliche Arbeit des Unternehmers und seiner Mitarbeiter Eingang finden. Da dieses auch die eventuell betroffenen verbundenen Akteure immer häufiger erleben müssen, gibt es (noch ein neues Risiko!) auch immer mehr regulatorische Vorgaben, dass und wie ein solches Risiko-Management-System geführt werden muss. Es muss umfassend, integriert, disziplinenübergreifend, planvoll und nachvollziehbar sein. Und es muss ein Management-System sein. Ein Nachschlagewerk mit Informationen von vorgestern reicht nicht mehr.
Ein Risiko-Management-System ist automatisch sowohl Bestandteil aller betrieblicher Tätigkeit (in Form der Entscheidungs- und Geschäftsprozesse) wie es seinerseits einen Prozess (den des Risiko-Managements) operativ ausführt. Risikomanagement ist ein Prozess, wirkt auf und in Prozesse(n) und löst Prozesse aus. Aus diesem Grunde ist ein Risikomanagement-System ohne Prozess-Perspektive nicht zielführend.
Und vielleicht muss man den Umgang mit einem solchen System lernen und üben. So wie Auto fahren. Und letztlich muss man auch heute schon die Fahrprüfung für sein Risikomanagement-System machen. Der Fahrprüfer nennt sich dann aber Wirtschaftsprüfer. Jedoch reicht hier nicht mehr nur die theoretische Prüfung. Der praktische Teil, das Risiko-Management-System, der sichere Umgang mit einer fahrtauglichen Technik, gerät immer mehr in den Fokus der Prüfer. Und regelmäßig muss mein Auto zum TÜV…
Ohne eine Technologie, die die Komplexität der Unternehmenswelt und ihrer Risiken aufnimmt, wird also kaum jemand in Zukunft ein seriöses Risikomanagement darstellen können. Damit hier aber nicht wieder eine synthetische Parallelwelt aufgebaut wird, sollte diese Technologie doch auch gleich die Anforderungen an das Chancenmanagement des Unternehmens, an die Steuerung der betrieblichen Leistungserbringung, erfüllen. Geschäfts- und Betriebs-Prozesse, Performance-Messung und die Anforderungen des Qualitätsmanagements dürfen nicht ein vom Risikomanagement losgelöstes System sein. Gaspedal und Bremse werden beim Auto ja auch durch den gleichen Fahrer bedient, Geschwindigkeit und Benzinvorrat hat die gleiche Person im Blick. Und seitdem es moderne Assistenz-Systeme im Auto gibt, haben sich die Unfälle mit Schwerverletzten und Toten massiv reduziert.
DHC VISION ist vergleichbar mit einem solchen modernen Assistenzsystem. Es nimmt die ganze Komplexität der Unternehmenswelt auf, präsentiert sie jedem Nutzer aber mit genau dem Ausschnitt, den er oder sie im Moment sehen muss. Aber mit allen seinen Perspektiven, die der Nutzer braucht um eine optimale Entscheidung zu treffen. Es ist dabei beschreibendes, dokumentierendes System genauso wie operative Umgebung zur Entscheidungsfindung und -kommunikation. Es erzeugt Transparenz, Sicherheit und Regelkonformität.
Und das gute Gefühl, alles im Griff zu haben …
am 09.04.2015 von
Frank Milius
Mark E.S. Bernard ISMS ISO 27001 Governance, Risk, Compliance (GRC) http://t.co/HHyfa9bt2r shared 8864x
— Mark E.S. Bernard (@Security_KM) 8. April 2015
- Bilder Bigstock, ©Rawpixel
- Wikipedia http://de.wikipedia.org/wiki/Risikomanagement
- YouTube https://www.youtube.com/watch?v=_JG6O81Mgq0
Risikomanagement ist heute Chefsache. Deshalb sollten Sie darüber nachdenken ...