Risikomanagement bedeutet: Chancen und Risiken abzuwägen und das Unternehmen sicher durch Krisen zu führen. Covid-19 hat das Risikomanagement und Controlling in unterschiedlichen Dimensionen herausgefordert. Neue Wege zu beschreiten und die eigene Komfortzone zu verlassen, war und wird wichtiger denn je. Risikomanager können damit einen entscheidenden Beitrag zur Resilienz und Stabilität oder Rettung des Unternehmens beizutragen.

Coronavirus erfordert neue Wege im Risikomanagement

Risikomanager, Controller und Compliance-Beauftragte leisteten und leisten in der Corona-Krise einen wesentlichen Beitrag und können durch eine erfolgreiche Risikosteuerung ihre Rolle als Business Partner der Geschäftsführung weiterhin langfristig stärken.

Die wesentlichen und zugleich sensiblen Rahmenbedingungen, die Risikomanager hier beachten sollten, sind:

  • In der Bevölkerung herrscht auf der einen Seite sehr große Angst vor dem Virus - andererseits sind Gegner der Covid-19-Maßnahmen zu beobachten.
  • 80 % des Denkens und Wollens eines Menschen bzw. Mitarbeiters liegen – vergleichbar einem Eisberg – unter der Wasseroberfläche (Ängste, Wünsche, Bedürfnisse).
  • Mit den Mitarbeitern, Kunden, Stakeholdern sollte von Seiten des Unternehmens sehr achtsam und wertschätzend zum Schutz aller umgegangen werden.

Weiterhin sind Risikomanager gut beraten, eine positive Fehler-, Lern- und Innovationskultur im Unternehmen voranzutreiben, denn nur dadurch gelingt der offene, transparente Umgang mit Risiken und Schäden. Risiken sollten dabei auch als eine Chance zur Optimierung – dem Management der Risiken – verstanden werden.

Die Standardaufgaben im Risikomanagement

Die typischen Aufgaben des Risikomanagements:

  • Identifizierung,
  • Bewertung,
  • Kommunikation und
  • Steuerung

Risikomanager haben im Rahmen dieses Steuerungskreislaufs zahlreiche Aufgaben zu erfüllen, wie z.B.:

  • Geschäfts- und Risikostrategieentwicklung und -umsetzung,
  • Business Continuity Planning (BCP) und -Management (BCM),
  • Ad hoc-Meldungen,
  • Outsourcing-Management,
  • Nachhaltigkeitsrisikomanagement,
  • Entwicklung einer Risikokultur,
  • aber auch Verantwortung sowohl für die Transparenz der Risiken als Entscheidungsgrundlage für das Management und für die Mitarbeiter.

Der Risikomanagementkreislauf
Abb. 1: Der Risikomanagementkreislauf und was es jetzt zu beachten gilt.

In den folgenden Punkten sind Beispiele aufgeführt, wie der – dem Risikomanagement bekannte – Risikomanagementkreislauf um die Risiken von Covid-19 angereichert werden kann.

Um diese Aufgaben im Covid-19-Zeitalter auch wirklich in der Tiefe zu erfüllen, müssen Risikomanager heute und in Zukunft andere und weitere Skills mitbringen. Risikomanager müssen nicht nur IT-Kompetenzen besitzen, sondern vielmehr auch agile Skills abdecken, um ein integratives, ganzheitliches, nachhaltiges auf die Zukunft gerichtetes Risikomanagement im Unternehmen darzustellen, die in Abbildung 2 (Bilderserie 1/4) dargestellt sind. 

Gerade die Businesspartner-Funktion des Controllers ist durch  Covid-19 immer mehr in den Mittelpunkt gerückt. Um jedoch ein ganzheitliches und vor allem integratives Risikomanagement im Unternehmen darzustellen, werden agile Skills immer wichtiger. Damit gelingt es, die Stakeholder - Mitarbeiter, Führungskräfte, Geschäftsführung, Kunden sowie weitere Partner des Risikomanagements in den Fokus der Betrachtung zu rücken, um Mehrwerte für alle Prozesse des Risikomanagements zu generieren.

Die Stakeholder-Analyse als Voraussetzung für ein integratives Risikomanagement

Um das Risikomanagement allumfassend und integrativ aufzubauen, ist ein Blick auf die Stakeholder wichtig. In diesem Punkt stehen die folgenden Fragen im Mittelpunkt:

  • Welche Stakeholder sind zu betrachten? (Welche Stakeholder hat das Unternehmen, das Controlling/Risikomanagement, die jeweiligen Fachabteilungen?)
  • Welche Ansprüche haben die Stakeholder an das Unternehmen?
  • Welche Ansprüche hat das Unternehmen an seine Stakeholder?
  • Wie werden diese unterschiedlichen Ansprüche priorisiert?

Ein mögliches Template zur Beantwortung dieser Fragen ist die Stakeholder-Analyse, die in Abbildung 3 (Bilderserie 2/4) dargestellt ist. Mit diesem Tool werden:

  • die Stakeholder gesammelt, 
  • die erarbeiteten Stakeholder in Gruppen eingeteilt, 
  • Beziehungen zwischen den einzelnen Stakeholdern hergestellt sowie 
  • Erkenntnisse für das Risikomanagement abgeleitet. 

Diese Erkenntnisse fließen danach in die Risikomanagementprozesse zur Optimierung mit ein, wie z.B. in ein Risk Assessment, den New Product Process, die Bewertung der Outsourcingpartner oder die Reports des Risikomanagements. Auch können sie z.B. die typischen quantitativen Bewertungsmodelle optimieren. 

Identifizierung von Risiken und Generierung von Informationen

Covid-19 begleitet die Unternehmen bereits seit März 2020. Daher ist es wichtig, laufend zu reflektieren. "Lessons Learned" sind Grundvoraussetzung, um aus Fehlern zu lernen sowie Gutes zu bewahren. Zu empfehlen ist ein Modell, z.B. auf Basis des in Abbildung 4 (Bilderserie 3/4) dargestellten Templates "Retrospective Sailboat". Aus diesem Modell sollen die folgenden Arbeitsergebnisse abgeleitet werden:

  • Was ist gut gelaufen?
  • Was ist nicht optimal gelaufen?
  • Was sind die konkreten Probleme?
  • Welche Learnings können abgeleitet werden?

Genau diese Learnings sollen dazu beitragen:

  • Aktivitäten zu hinterfragen,
  • ständig agil zu optimieren und
  • das Unternehmen in der Krise besser aufzustellen.

Das Risk-Assessment zur Analyse von Risiken im Zusammenhang mit Covid-19

Im Risk Assessment werden die Risiken ermittelt und den Chancen gegenübergestellt. Zur Kalkulation und Analyse der Daten haben sich quantitative Methoden und Modelle etabliert. Diese gilt es regelmäßig auf den Prüfstand zu stellen und ggf. anzupassen (Turnus: einmal jährlich oder adhoc). Das Risk Assessment ist in Abbildung 5 (Bilderserie 4/4) dargestellt.

Im Ergebnis geht es darum die quantitativen mathematischen Modelle entsprechend auf den Prüfstand zu stellen, ggf. nachzujustieren und ein Gesamtrisikoprofil abzuleiten.

Bewertung von Risiken

Risiken können qualitativ oder quantitativ bewertet werden, wobei der Fokus in der quantitativen Bewertung und vor allem den aus den Risiken abgeleiteten Maßnahmen liegen sollte.

Quantitative Bewertungen sind über die folgenden Tools anzustreben:

  • Bewertung der wirtschaftliche Risiken, z.B. durch geringere Nachfrage, geringere Margen und geringeres Angebot, ausfallende Lieferanten oder Schlüsselmitarbeiter
  • Sensitivitätsanalyse: Aus den Rahmenbedingungen lassen sich Sensitivitäten ableiten, d.h. Kennzahlen, die sich auf die Nachfrage auswirken und somit einen wirtschaftlichen Impact auf die Nachfrage und die Umsatzerlöse haben. Es ist abzuleiten, in welcher Größenordnung die Sensitivitäten das Unternehmen belasten, z.B. ein um x % zurückgehender Verkauf hat die Folge von y % geringeren Umsatzerlösen.
  • Szenarioanalyse: Die Rahmenparameter, z.B. der zurückgehende Verkauf (vgl. Sensitivität), können sich unterschiedlich entwickeln. Aus der Kombination von verschiedenen Rahmenparametern lässt sich ein Szenario ableiten. Der Unterschied zwischen der Sensitivitäten- und der Szenario-Analyse liegt in einer dahinter liegenden Story (bei der Sensitivitäten-Analyse werden nur einzelne Parameter betrachtet und Auswirkungen auf das Unternehmen – es liegt keine Story zugrunde – bei der Szenario-Analyse bilden verschiedene Annahmen eine Story und daraus werden die Auswirkungen auf das Unternehmen analysiert). Auf Basis von konkreten Annahmen, die eine Story bilden, werden die finanziellen Auswirkungen für das Unternehmen quantifiziert, der Risikodeckungsmasse gegenüber gestellt und Maßnahmen daraus abgeleitet.
  • Worst-Case-Szenarien: Die Fragestellung ist: Was ist der am schlimmsten wirkende Fall? Dahinter liegt – wie bei der Szenarioanalyse – auch immer eine Story. Auf Basis der Szenario-Analyse werden die Parameter analysiert, welche Parameter in welcher Form verschlimmert werden. Die Ergebnisse werden quantifiziert der Risikodeckungsmasse gegenüber gestellt, woraus Maßnahmen abgeleitet werden.
  • Stress-Test: Bei einem Stress-Test werden die verschiedenen Parameter gestresst, d.h. auf eine möglichst hohe Ausprägung gestellt, z.B. Rückgang im Verkauf um 30 % bei gleichzeitiger Verteuerung der Kapitalkosten (z.B. Zinserhöhung um 2,5 %). Aus den Ergebnissen lässt sich eine Resilienz für das Unternehmen ableiten. Darin gilt die Frage zu beantworten: Wie widerstandsfähig ist das Unternehmen gegenüber gestressten Umfeldfaktoren?
  • Reverse-Stress-Tests: Der Unterschied zwischen dem Stress-Test und dem Reverse-Stress-Test liegt im Ausgangspunkt der Betrachtung: Beim Stresstest bilden die verschiedenen zu stressenden Parameter die Basis, z.B. Umsatzrückgang und Erhöhung der Kapitalkosten, und es wird das Ergebnis betrachtet. Beim Reverse-Stress-Test gilt die umgekehrte Fragestellung: Was für einen Ergebnisrückgang kann sich das Unternehmen maximal leisten, um nicht illiquide zu werden bzw. in Konkurs zu gehen? Aus diesem Ergebnisrückgang wird abgeleitet, um wieviel der Verkauf zurückgehen kann und/oder die Kapitalkosten sich verteuern können, ohne dass das Unternehmen illiquide wird.

Dabei sind in erster Linie qualitative Bewertungen und pragmatische Entscheidungen bei der Bewertung entscheidend. Die im Notfallmanagement beschriebenen (Krisen-)Teams sind einzuberufen.

Zur Bewertung von Risiken können hier z.B. einfache Skalenabfragen zum Tragen kommen:

  1. „Wie hoch ist das Risiko, dass ...?“ auf einer Skala von 1 - 5 (1 = unbedeutendes Risiko, 5 = kritisches, existenzgefährdendes Risiko).
  2. „Wann und wie oft tritt das Risiko ein?" (Auf einer Skala von 1 - 5 (1=unwahrscheinlich, 5=akut)).

Aus der Kombination der beiden Fragestellungen lässt sich eine Risikomatrix ableiten, die die Corona-spezifischen Risiken aggregiert und zugleich visuell darstellt:

Heller-Herold Risikomanagement und Coronavirus Abb. 2
Abb. 6: Risikolandkarte – Die Chancen-Risiken-Matrix.

Gerade im Corona-Zeitalter ist die Bewertung und Modellierung der Risiken existenziell wichtig, um den Fortbestand des Unternehmens sicherzustellen. Bei all der für das Risikomanagement wichtigen Betrachtung der Risiken sollten aber auch die Chancen – die gerade in Krisenzeiten eine Rolle spielen – mit betrachtet und den Risiken gegenübergestellt werden. Beide bilden die Grundlage für die Kommunikation und vor allem das Management der Risiken.

Abschließend ist zu betonen, dass die Quantifizierung der Risiken von existenzieller Bedeutung ist, um diese in die Risikotragfähigkeitsberechnung zu integrieren. Nur durch die quantitative Ermittlung - die heute in der Praxis über Modelle erfolgt - können die  Risiken der Risikodeckungsmasse im Unternehmen gegenübergestellt und die Gesamtrisikosituation des Unternehmens bewertet werden. Aus dieser werden dann geeignete Maßnahmen abgeleitet, um z.B. die Krise besser zu bewältigen und/oder die Stabilität des Unternehmens herzustellen/zu sichern.

Kommunikation von Risiken

In diesem Punkt sind die Kommunikationsstrukturen und -wege, Empfänger der Information sowie die Art und Weise der Kommunikation von Bedeutung, z.B.

  • Daily und Weekly, z.B. per Videokonferenz, um permanent wichtige Informationen auszutauschen und schnell Entscheidungen auf kurzen Wegen zu treffen und Learnings im Unternehmen zu erzielen.
  • Kurze und zugleich schnelle und direkte Kommunikationswege zur Geschäftsführung, zu den Mitarbeitern, Kunden, Stakeholdern, anderen Unternehmen.
  • Task Force sicherstellen (bestehend aus unternehmensinternen Schlüsselpersonen, externen Partnern, evtl. branchenverwandten Unternehmen, Verbänden etc.), die ad hoc und regelmäßig entscheidungsrelevante Informationen erhält und Maßnahmen beschließt.

Entscheidend ist – gerade in der hybriden Arbeitswelt – dass Klarheit und Transparenz in der Kommunikationsstruktur besteht. Sinnvoll ist, diese gemeinsam mit den Mitarbeitern zu entwickeln und entsprechend den sich ändernden Rahmenbedingungen agil anzupassen. Ein mögliches Muster ist in der folgenden Abbildung 7 dargestellt:

Heller-Herold Risikomanagement Abb. 3
Abb. 7: Risikomanagement-Kommunikation.

Entscheidend ist bei der Entwicklung eines Risikomanagement-Kommunikationskonzepts, dass die unternehmensinternen Reportingstrukturen und -fristen Berücksichtigung finden.

Weiterhin sind die folgenden Aspekte zu berücksichtigen:

  • Direkte, vollständige und transparente Weitergabe der Informationen an die Mitarbeiter (Ziel: Sicherheit und Vertrauen bei den Mitarbeitern schaffen)
  • Schaffung der Möglichkeit, dass sich Mitarbeitern auf dem direkten Weg an einen vertrauenswürdigen Ansprechpartner (z.B. Betriebsarzt, Ersthelfer, Betriebsrat, Risk Management) wenden können
  • Einrichtung einer anonymen (Mail-)Box für alle Belange von Mitarbeitern
  • Einbeziehung des Betriebsrats

Steuerung/Management von Risiken

Der Steuerung kommt hier eine besondere und vor allem aktive Rolle zu. Das Ziel ist, das Unternehmen, die Mitarbeiter und Stakeholder zu schützen, Risiken zu managen und damit den langfristigen Betrieb sicherzustellen. Das Unternehmen soll gestärkt werden und resilient gegenüber geänderten Umfeldfaktoren und Rahmenbedingungen – auch in Krisen – sein. Da der Fall des Coronavirus eine Situation mit völlig neuem Charakter darstellt, kommen auch Maßnahmen in Frage, die in der Vergangenheit noch nicht zum Tragen gekommen sind.

Allgemein:

  • Vorsorge und Prävention: Jeder kann dazu beitragen, Covid-19 einzudämmen. Ein WIR erzeugen
  • Alle Empfehlungen der öffentlichen Stellen (RKI, Gesundheitsämter etc.) befolgen, aber auch darüber hinaus. Social Distancing aktiv vorleben, Hygienekonzepte erstellen und einhalten
  • Steuerbare Übertragungswege vermeiden
  • Aktiver Austausch mit anderen Unternehmen zu Maßnahmen, Kompetenzen bündeln
  • Eine gute Balance zwischen Homeoffice, Office und ‚digital‘ ermöglichen und in hybriden Welten zusammenarbeiten
  • Dienstreisen vermeiden / (neu) genehmigen lassen / komplett einstellen
  • Veranstaltungen hybrid ermöglichen
  • Panik und Stress vermeiden, Ruhe und einen kühlen Kopf bewahren
  • Eine offene Fehler-, Lern- und Innovationskultur schaffen
  • Büroräume reduzieren und in hybride Arbeitswelten überführen
  • Externe Berater außerhalb der Büros arbeiten lassen (sie könnten Multiplikatoren des Virus sein, andererseits auch eine Backup-Möglichkeit, um die Prozesse aufrecht zu erhalten).

Den eigenen Betrieb aufrechterhalten:

  • Maßnahmen aus den eigenen Business Continuity Management (BCM)-Notfallkonzepten laufend anpassen / prüfen / umsetzen (Beachtung von Standortlösungen, externen Mitarbeitern, Split-Lösungen für den Geschäftsbetrieb, Priorisierung von geschäftskritischen Prozessen, laufende selektive Corona-Tests).
  • Business Continuity Pläne (BCP) stellen sicher, dass zeitkritische Aktivitäten in kurzfristigen Notfällen, wie z.B. IT-Ausfällen, über redundante Systeme weiterhin durchgeführt werden können. 
  • Mitarbeiter zum eigenen Gesundheitsschutz motivieren: Das kann von vitaminreicher Ernährung bis hin zu mehr Sport reichen.
  • Das eigene Geschäftsmodell mit Hilfe des Business Model Canvas kritisch auf Risiken aber besonders auch auf Chancen analysieren, z.B. durch „What if…“ Analysen. Was passiert, wenn dieser Lieferant ausfällt? Was passiert, wenn diese Ressource oder Komponente nicht lieferbar ist?
  • Ergebnisorientierte Mitarbeiterführung durch die Führungskräfte.

Outsourcing und Schlüssel-Partnerschaften:

  • Prüfung der Outsourcingpartner auf wirtschaftliche Stabilität, ggf. Maßnahmen ergreifen, die die Stabilität sichern, z.B. Abteilungen oder Serviceleistungen insourcen.
  • Engen Kontakt mit den Outsourcingpartnern, um die Stabilität der ausgelagerten Prozesse sicherzustellen bzw. abzufragen (inkl. der Weiterverlagerungen) und Maßnahmen ableiten.

Chancen erkennen und wahrnehmen:

  • Auch die Kunden haben neue Probleme und Herausforderungen durch die Coronakrise. Die Kundenbedürfnisse ändern sich. Wie kann das eigene Unternehmen die Kunden unterstützen?
  • Wie kann das Geschäftsmodell oder das Wertangebot verändert werden, um die Kunden besser zu unterstützen. Das angepasste oder neue Geschäftsmodell kann mit dem Lean Canvas gut erfasst und iterativ getestet werden.

Für ein effizientes Maßnahmenmanagement sollte stets die Resilienz, also die Widerstandsfähigkeit des Unternehmens, im Mittelpunkt stehen. Die Sensitivitäten-, (Worst-Case-)Szenario-, Stress-, Reverse Stress-Analysen sowie die Risikobewertungen sind eine unabdingbare Grundlage für Entscheidungen aus Risikosicht.

Die Cashflow-Planung und die Sicherstellung der eigenen Zahlungsfähigkeit ist Mittelpunkt des Maßnahmenmanagements in Krisenzeiten.

Die Maßnahmen sollten stets auf Menschen (Kunde und Mitarbeiter) fokussiert werden (Customer- & Employee Centricity). Damit soll sichergestellt werden, dass die Produkte und das Geschäftsmodell sehr stark auf den Kunden fokussiert sind (Customer Centricity). Jedes Unternehmen ist nur so gut wie seine Mitarbeiter, weshalb in diversen Team gemeinsame Lösungen auf Basis von Problemen/Krisen erarbeitet werden sollten (Employee Centricity). Bei existenziellen adhoc-Entscheidungen - wie sie in Krisensituationen zum Teil erforderlich sein können - sollte eine Task Force so aufgestellt sein, dass sie in der Lage ist, Entscheidungen schnell, direkt und auf das Problem fokussiert treffen kann. Das erfordert ein hohes Maß an Managementkompetenz sowie fachlichen, methodischen und kommunikativen Skills.

Mit der Methode „How might we...?“ können z.B. in einer Task Force pragmatisch und schnell Maßnahmen generiert werden. Die Umsetzung der einzelnen Maßnahmen sollte, je nach Dringlichkeit, auf einer Skala zeitlich verteilt werden, z.B. ad hoc-Maßnahmen und Maßnahmen bei Eintritt bestimmter Situationen. 

Fazit: Risikomanager können entscheidend zur Stabilität beitragen

Mit den richtigen Methoden und Maßnahmen kann jeder Risikomanager einen entscheidenden Beitrag für Widerstandsfähigkeit und Stabilität des Unternehmens, zum Schutz der Mitarbeiter, Kunden, Stakeholder leisten. Jedes Unternehmen, jeder Mensch (Mitarbeiter oder Kunde) und jeder Stakeholder ist sehr individuell – daher sind auch die Maßnahmen individuell zu definieren (Customer- & Employee Centricity). Regelmäßige Learnings aus den vergangenen Wochen und Monaten helfen, dass Risikomanager das Unternehmen weiter sicher durch die Corona-Krise führen und sich dabei zum geschätzten Business-Partner für das Management und das Unternehmen weiterentwickeln.

Zusätzlich kann das Risikomanagement auch eine Rolle als Chancenmanager wahrnehmen und dem Unternehmen helfen, Opportunitäten zu nutzen, die sich aus der Corona-Krise ergeben.


Das könnte Sie auch interessieren:

Controller contra Coronavirus: Instrumente und Empfehlungen für effektive Gegensteuerung

Schlagworte zum Thema:  Coronavirus, Risikomanagement, Compliance

Hier geht's zur Bilderserie "Risikomanagement und Coronavirus"