Wer in IT-Sicherheit investiert und feste Compliance-Regeln einführt, wer mit seinen Mitarbeitern kommuniziert und Risiken mit zuverlässigen Methoden erkennt, kann sein Unternehmen zu nachhaltigem Wachstum führen. Die fünf goldenen Regeln des unternehmerischen Risikomanagements.
1. Cybersicherheit
Der jüngste Cyberangriff auf die Telekom ist nur eines von vielen Beispielen für Attacken aus dem Netz. Denn bereits 51 Prozent aller Unternehmen in Deutschland sind Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Das hat eine 2015 veröffentlichte Studie des Digitalverbands Bitkom ergeben. Der entstandene Schaden beläuft sich nach dessen Angaben auf rund 51 Milliarden Euro pro Jahr. Die zunehmende Digitalisierung bietet Cyber-Kriminellen dabei immer neue Angriffsflächen. Doch Hacker sind nicht das einzige Problem. Auch technisches Versagen oder Bedienungsfehler können in der vernetzten Welt zu weitreichenden Systemausfällen führen. Was tun? Prävention ist ein entscheidender Aspekt der IT-Sicherheit. Allerdings reicht eine Basisabsicherung mit Virenscanner, Firewall und Passwort-Schutz nicht mehr aus. Die Bitkom-Experten raten zu speziellen Systemen für die Erkennung und Abwehr von Angriffen, empfehlen die Verschlüsselung sensibler Daten und erweiterte Verfahren der Benutzeridentifikation. Wichtig seien aber nicht nur technische, sondern auch organisatorische Sicherheitsmaßnahmen. Dazu gehören klare Regelungen, wer Zugang zu sensiblen Bereichen eines Unternehmens bekommt. Im Krisenfall ist schnelles Handeln gefragt. Deshalb sollte es einen Notfallplan geben: Wer muss in welcher Reihenfolge informiert werden? Was ist zu tun, damit möglichst wenig sensible Daten verloren gehen? Ein Sicherheitsbeauftragter sollte diese Maßnahmen anstoßen und regelmäßig überprüfen.
2. Compliance
Korruption, Betrug, Bilanzskandale, Manipulationen: Krumme Geschäfte einzelner Mitarbeiter können ein ganzes Unternehmen in den Ruin treiben. Der Stellenwert von Compliance, also verbindlich formulierter Richtlinien für integres Verhalten, ist in den vergangenen Jahren deshalb deutlich gestiegen. Compliance-Vereinbarungen konkretisieren nicht nur die gesetzlichen Anforderungen, indem sie zum Beispiel genaue Wertgrenzen für Einladungen und Geschenke festlegen, die die Mitarbeiter annehmen dürfen. Sie formulieren meist auch freiwillige Selbstverpflichtungen und Werte, die für das Unternehmen besonders wichtig sind, etwa ein fairer Umgang mit Kollegen, Kunden und Partnern. Compliance funktioniert allerdings nicht nach Schema F. „Wer sich Richtlinien im Elfenbeinturm ausdenkt, hat schon verloren“, sagt die Compliance-Managerin eines Technikkonzerns, die nicht namentlich zitiert werden möchte. „Wichtig ist, die Prozesse in der Firma zu kennen, das Geschäftsmodell zu verstehen und Compliance im Tagesgeschäft zu verankern.“ Kommunikationsstärke gehöre zum Berufsprofil, so die Expertin. „Ist der Compliance Officer ein gern gesehener Gesprächspartner für Chefs und Mitarbeiter auf allen Hierarchie-Ebenen – oder nervt er nur? Das ist eine ganz entscheidende Frage.“ Schließlich geht es darum, eine wesentliche Erkenntnis zu vermitteln: Compliance schützt den guten Ruf der Marke und das Vertrauen ins Unternehmen – und ist damit die Grundlage für langfristige, stabile Geschäftsbeziehungen.
3. Controlling mit Bauchgefühl
Statistiken, Szenarien, Formeln, Modelle: Die Instrumente und Techniken des Risikocontrollings wurden in den vergangenen Jahren immer weiter perfektioniert. „Das sind alles super Tools. Aber man sollte ihnen misstrauen“, sagt Roland Franz Erben, Professor an der Hochschule für Technik Stuttgart und Senior Research Fellow am Forschungszentrum Risikomanagement der Universität Würzburg. Zahlen, die bis zur 18. Stelle hinter dem Komma angegeben sind, würden dazu verleiten, sich sicher zu fühlen. „Man denkt, die Gefahren im Griff zu haben. Doch selbst hoch komplexen Modellen liegen oft voodoo-hafte Annahmen zugrunde“, so der Risikoforscher. Jedes Modell vereinfacht die Realität. „Das spricht nicht gegen Modelle, sondern nur dafür, kritisch gegenüber rein quantitativen Methoden zu sein.“ Für die angemessene Einschätzung von Risiken brauche man selbstverständlich statistisches Denken, komplexe Modelle und methodischen Fortschritt. Aber genauso Intuition und Bauchgefühl. Roland Franz Erben: „Nehmen Sie die Warnlampe in der Magengegend ernst. Das gilt für geschäftliche Entscheidungen ebenso wie beim Hauskauf oder vor der Heirat.“
4. Kommunikation: Der Faktor Mensch
Menschen gewinnen, Risiken minimieren: Kommunikation ist ein oft vernachlässigter Erfolgsfaktor im Risikomanagement. Wichtig ist, den Mitarbeiterinnen und Mitarbeitern die Bedeutung eines systematischen Risikomanagements zu vermitteln. Dazu gehören praxisnahe Schulungen, Trainings und Workshops, die das Bewusstsein für Auffälligkeiten, Bedrohungen oder Gefahren wie Cyberattacken schärfen. Entscheidend ist, die Rollen und Verantwortlichkeiten der einzelnen Kollegen klar zu benennen, und zwar auf allen Hierarchie-
ebenen. Denn im Prinzip ist jeder Mitarbeiter in seinem Aufgabenbereich Risikomanager des Unternehmens.
Potenzielle Gefährdungen erkennen, bewerten und steuern ist eine klassische Querschnittaufgabe. Sie ist umso erfolgreicher zu bewältigen, je besser die einzelnen Abteilungen – IT, Finanzen, Compliance, Interne Revision – zusammenarbeiten. Dass dabei verschiedene Sichtweisen aufeinandertreffen und Probleme so aus unterschiedlichen Perspektiven beleuchtet werden, ist ein Gewinn. Zumindest dann, wenn der Austausch konstruktiv und kollegial verläuft. Doch Menschen machen Fehler, fühlen sich verletzt, haben Eitelkeiten und Eigeninteressen. Manchmal hakt es, auch das gehört zur Kommunikation. Gefragt ist dann eine Geschäftsführung, die nicht nur in punkto Integrität ein Vorbild ist, sondern auch Kommunikationskonflikte löst. Denn wer das schafft, schaltet Risiken aus.
5. Lob dem Risikomanagement
Globalisierung und Digitalisierung haben die Wirtschaft verändert. „Wer früher auf der Schwäbischen Alb Schrauben herstellte und sie im nächsten Dorf verkaufte, konnte nicht viel falsch machen“, sagt Roland Franz Erben. Heute dagegen gibt es unzählige Unwägbarkeiten. Es geht darum, Kredit- und Währungsrisiken zu identifizieren, Markttrends zu erkennen, Produkthaftungsrisiken zu bewerten und regulatorische Anforderungen zu meistern. Und je größer der Absatzmarkt, desto größer sind die Herausforderungen. Doch wer kein Risiko eingeht, macht auch kein Geschäft. Die Kunst des Unternehmers besteht darin, Chancen und Unsicherheiten so präzise wie möglich zu analysieren und dann eine gute Entscheidung zu treffen. Roland Franz Erben: „Die ausschlaggebenden Fragen sind: Rechtfertigt die Chance das Risiko? Und kann ich es aushalten, wenn’s schief geht?“ Seit der Finanzkrise sei die Bereitschaft für systematisches Risikomanagement zwar gestiegen, doch sein Image sei unverdient schlecht, stellt der Wissenschaftler fest. Die fünfte goldene Regel lautet daher: Sehen Sie Risikomanagement nicht als Belastung oder notwendiges Übel, sondern als hervorragendes Instrument der Unternehmenssteuerung. Es deckt Schwachstellen auf, stellt Transparenz her und ist ein Grundpfeiler für nachhaltiges Wachstum. Ganz im Sinne von Aristoteles, der sagte: „Wir können den Wind nicht ändern, aber wir können die Segel richtig setzen.“
