IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg


RisikomanagementMangelnde Weitsicht, Fehler in der Projektplanung oder nicht eingebundene sowie kaum sensibilisierte Mitarbeiter. Warum Risikomanagement in Organisationen scheitert, kann viele Ursachen haben.

Denn Gefahren sind nicht gleich Gefahren – wie die Risikolandkarte unserer eng verzahnten Welt zeigt. Automatisierte Abläufe und digitalisierte Prozesse zwingen Unternehmen jeder Größe zu einem vorausschauenden Blick auf ihre Risiken. Kriege, Rohstoffengpässe oder ein erbittert geführter Cyberwar machen ein Umdenken in puncto zukünftiger Handlungsspielräume für Organisationen unerlässlich. Ganz zu schweigen von organisationsinternen Gefahren, wie Compliance-Vergehen und damit einhergehender Reputationsschäden. Im Grunde jede Menge Arbeit für Top-Manager, die vielfach Unternehmensstrukturen radikal reformieren müssen, um zu neuen Denkmodellen und Verhaltensmustern zu gelangen. Denn nur so lassen sich Risiken minimieren und Chancen für die Zukunft erkennen. In diesem Kontext braucht es einen Steuermann und Navigator. Sein Name: Risikomanager.

Vom Generalist …
 

Das Magazin Harvard Business Manager schrieb im Rahmen eines Risikomanagementbeitrags: „Würde es Christoph Kolumbus heute noch wagen, einen Seeweg nach Indien zu suchen? Vielleicht würde er abwinken, nach Analyse sämtlicher Risiken. Vielleicht würde er auch eine Versicherung abschließen und lossegeln.“ Alternativ wäre der Einsatz eines Risikomanagers anzuraten, der mit ihm alle Unwägbarkeiten analysiert, eine Risikoplanung erstellt und ihm die Chancen seines Vorhabens aufzeigt. Das sind die groben Eckpunkte, was ein Risikomanager leisten muss. Im Kern steht dahinter die Idee von der Unsicherheit in einer Welt voller Gefahren zu mehr Sicherheit und Risikotragfähigkeit zu gelangen; gerade in turbulenten Zeiten. 

Konkret gesprochen gibt es kein homogenes Berufsbild des Risikomanagers. Denn so vielfältig die Aufgaben, so vielfältig sind die geforderten Kompetenzen. „Im Grunde muss ein Risikomanager als Generalist die unterschiedlichen Facetten des Chancen- und Risikomanagements innerhalb der Organisation beachten“, weiß Jan Offerhaus, Vorstandsmitglied der Risk Management Association e. V. (RMA). Wichtig ist die Konzentration auf ein frühzeitiges und umfassendes Risikomanagement, das in der gesamten Organisation fest verankert ist. Nur so kommt das Unternehmen zu einer vorwärtsgewandten Risiko- und Chancensicht. 

… und dem individuellen Lösungsentwickler
 

Darüber hinaus müssen nach den Worten von Offerhaus, der Mitinitiator des Weiterbildungsprogramms zum Enterprise Risk Manager (Univ.) ist (siehe Infokasten), Risikomanager die organisationsweite Komplexität reduzieren können. Denn zur Risikominimierung oder -vermeidung gehört vor allem die Fähigkeit, konkrete Lösungen zu entwickeln sowie Risikomanagementmethoden individuell anzupassen und am Ende zukunftstauglich einzusetzen. Im Klartext heißt das, Risikomanagementfähigkeiten gibt es nicht von der Stange. Für diese Aufgaben ist viel handwerkliches Wissen notwendig, das es zu erlernen gilt. Mehr noch: Risikomanagement braucht stabile Wissensbrücken, systematisch und nachhaltig geschult. 

Während Finanzdienstleister Ratingmodelle und stochastische Bewertungsmethoden benötigen, steht in Großkonzernen beispielsweise das strategische Frühaufklären (Erkennen und Analysieren schwacher Signale) im Mittelpunkt der methodischen Arbeit. Hinzu kommen Betriebs- oder Volkswirte, deren Know-how vor allem bei der qualitativen Umsetzung des Risikomanagements gefragt ist. Hilfreich ist nach Expertenmeinung das Sammeln von Erfahrungen in einer operativen Unternehmenseinheit. 

Das Wirtschaftsmagazin „Brand eins“ hat es einmal als „messen, wiegen, zählen“ umschrieben, was das Risikomanagement ausmacht. Das ist vielleicht der kleinste gemeinsame Nenner von Risikomanagern, die zuvorderst Risiken identifizieren und analysieren müssen. Ergo ist eine gesunde Portion mathematischer Kenntnisse im Beruf des Risikomanagers gefragt. 

Zuhören, verstehen, empfehlen
 

Neben Fachkompetenzen und analytischen Skills müssen Risikomanager gute Kommunikatoren sein, getreu des alten Sprichworts: Gute Kommunikation fängt zuhause an. Denn im Grunde sind sie Warner und Förderer zugleich. In diesem Sinne gilt es, kein Ja-Sager zu sein. Das heißt, Planungen und Entscheidungen immer wieder intern zu hinterfragen sowie Risiken und Chancen neutral anzusprechen. Mit diesem Vorgehen stehen Risikomanager gerne zwischen allen Stühlen. Will heißen, sie brauchen ein „dickes Fell“, um sich gegen Widerstände, Vorbehalte oder „Wagenburgmentalitäten“ einzelner Fachbereiche durchzusetzen. Im Umkehrschluss verlangt das ein übergeordnetes Denken im Sinne der Gesamtorganisation. Hierzu ist die Zusammenarbeit mit allen Führungs- und Mitarbeiterebenen unerlässlich – vom Top-Management bis zu den Mitarbeitern sämtlicher Fachbereiche.

Die Krux: In vielen Fällen führt vor allem das Kommunikationsversagen zum Risiko-GAU. „Gerade Fehlentwicklungen, die vom Risikomanagement erkannt werden, erreichen nicht in der erforderlichen Aufbereitung und Nachvollziehbarkeit die Führungsetage des Unternehmens“, erklärt Jan Offerhaus einen häufig anzutreffenden Missstand in Organisationen. Und er ergänzt: „Es hapert an adäquaten Gegenmaßnahmen und vor allem daran, diese konkret durchzusetzen. Aber gerade ein schnelles und überlegtes Handeln ist wichtig.“ Aktuelle Beispiele eines Risikomanagementversagens liefern die Medien fast täglich. Seien es Datenskandale und Hackerangriffe im Zuge des Cyberwar, Compliance-Vergehen von Top-Managern oder eine nicht-existente Krisenkommunikation bei Katastrophen. Die Folgen für die Unternehmen sind immens, angefangen bei empfindlichen finanziellen Einbußen bis zu irreparablen Imageschäden.

Defizite im Bereich der Soft-Skills sind ein Ankerpunkt, sich für eine qualitativ bessere Ausbildung von Risikomanagern einzusetzen. Das heißt für potenzielle Risikomanager, dass sie neben ausgeprägten fachlichen Kompetenzen (beispielsweise bei der stochastischen Modellierung oder der Analyse von makroökonomischen Trends) soziale und kommunikative Fähigkeiten mitbringen müssen. Sind doch gerade diese Eigenschaften wichtig, um sämtliche Mitarbeiter eines Unternehmens für ein besseres Risikomanagement zu gewinnen (Stichwort: Awareness). 

Ein Blick auf die Weiterbildungslandkarte
 

Bei allen Aus- und Weiterbildungsmöglichkeiten ist es fundamental, dass angehende Risikomanager ein klares Verständnis für ein umfassendes und Mehrwert-stiftendes Risikomanagement entwickeln. Das bedeutet, die teils spröde Theorie in die Praxiswelt zu übertragen. Dies gelingt am besten mit Praxis- und Fallbeispielen. Für Risikomanager Offerhaus ein entscheidender Faktor, denn das reine Sammeln von Detailwissen oder Insellösungen führe nicht zum Ziel eines soliden Risikomanagements. Dementsprechend gehe es um das Große und Ganze: „Das Anwenden quantitativer Methoden zu vermitteln, ohne diese in den Gesamtkontext der jeweiligen Situation und Organisation einzuordnen, ist nicht zielführend“, ist sich Offerhaus sicher. Die aktuelle Aus- und Weiterbildungslandkarte ist sehr uneinheitlich – und das in Bezug auf die inhaltliche Ausrichtung sowie die Qualität und die Programmdauer.

In Deutschland gewinnt das Thema in den letzten Jahren zunehmend an „Ausbildungsfahrt“. Zu erwähnen sind an dieser Stelle vor allem das Weiterbildungsprogramm zum Enterprise Risk Manager (Univ.) der Universität Würzburg in Kooperation mit der RMA (siehe Infokasten) sowie verschiedene Programme auf Master-Niveau. Hinzu kommen traditionell gewachsen Programme im Bankenumfeld, wie etwa bei der Frankfurt School of Finance and Management in Kooperation mit dem Institut für Risikomanagement und Regulierung (FIRM).

Infokasten: ERM-Weiterbildungsprogramm der RMA
 

Am 15. April 2015 startet die RMA in Kooperation mit dem Forschungszentrum Risikomanagement der Universität Würzburg eine neue Staffel zum Enterprise Risk Manager (ERM) auf Universitätsniveau. Die Qualifizierung (Ausbildungsort in Würzburg) ist branchenunabhängig ausgerichtet. Mit 10 Tagen verteilt auf drei Module bietet die Weiterbildung eine gute Chance für Quereinsteiger in die Risikomanagementwelt. Inhaltlich stehen aufbauend auf den Risikomanagementgrundlagen Methoden sowie Spezialgebiete auf dem Lehrplan. Die Bandbreite der Themen reicht von Gesetzesfragen über das Projektrisikomanagement bis zur Risikokultur sowie zu quantitativen und qualitativen Methoden im Risikomanagement. Ergänzt durch praxisorientierte Fallstudien und Planspiele erhalten die Teilnehmer einen soliden Überblick zum Thema Risikomanagement. Einer der zentralen Punkte innerhalb der ERM-Weiterbildung ist eine abschließende Projektarbeit mit einem starken Praxisbezug.

Weitere Informationen zum Ablauf, zu den Inhalten und der Anmeldung erhalten Interessenten unter: www.rma-ev.org/erm oder www.fzrm.uni-wuerzburg.de/erm.

Jan Offerhaus, RMAJan Offerhaus, Mitglied des Vorstands der Risk Management Association e. V. (RMA)

www.rma-ev.org

 
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet