Risikomanagement und Coronavirus – worauf es jetzt ankommt

Das Corona-Virus fordert vor allem Risikomanagern, Controllern und Compliance-Beauftragten mehr ab denn je. Gina Heller-Herold aktualisiert ihre konkreten Empfehlungen zu Analyse, Bewertung, Kommunikation und Steuerung der Risiken. Sie fordert, neue Wege zu beschreiten und die eigene Komfortzone zu verlassen, um einen entscheidenden Beitrag zur Resilienz und zur Stabilität des Unternehmens beizutragen.

Coronavirus erfordert neue Wege im Risikomanagement

Dies ist nicht die Zeit aufzugeben. Dies ist keine Zeit für Ausreden. Dies ist eine Zeit, um alle Register zu ziehen.

WHO-Chef Tedros Adhanom Ghebreyesus im WHO Media Briefing v. 5.3.2020

Nach diesen Worten von WHO-Chef Tedros haben zwar die meisten Risikomanager sehr viel gelernt und Risikomanagement ist in den Mittelpunkt der Betrachtung in Unternehmen gerückt. Jedoch „müssen wir weiterhin wachsam sein“ (Dr. Markus Söder) – und das gilt insbesondere im Risikomanagement der Unternehmen.

Risikomanager, Controller und Compliance-Beauftragte leisteten und leisten in der Corona-Krise einen wesentlichen Beitrag und können durch eine erfolgreiche Risikosteuerung ihre Rolle als Business Partner der Geschäftsführung weiterhin langfristig stärken.

Für die meisten Risikomanager und Compliance-Beauftragten hat sich die Bewältigung der Risiken in Zusammenhang mit dem Coronavirus gewaltig verändert. Einige Themen, Prozesse und Praktiken haben sie völlig neu gedacht, konzipiert und umgesetzt. Andere Themen konnten so bleiben wie bisher. Bei vielen neuen Themen konnten sie aber nicht auf die gewohnte Risikosteuerung zurückgreifen. Es ist und bleibt daher wichtig in Alternativlösungen zu denken, neue Wege im Risikomanagement zu gehen und aus der eigenen Komfortzone herauszutreten – und die Risiken, aber auch Chancen aktiv zu steuern. Es kann auch zu einem Unternehmensrisiko erwachsen, Chancen nicht zu ergreifen.

Die wesentlichen und zugleich sensiblen Rahmenbedingungen, die Risikomanager hier beachten sollten, sind:

  • In der Bevölkerung herrscht auf der einen Seite eine sehr große Angst vor dem Virus andererseits gibt es auch eine kleine Gruppe von Gegnern der Covid-19-Maßnahmen.
  • 80 % des Denkens und Wollens eines Menschen bzw. Mitarbeiters liegen – vergleichbar einem Eisberg – unter der Wasseroberfläche (Ängste, Wünsche, Bedürfnisse).
  • Mit den Mitarbeitern, Kunden, Stakeholdern sollte von Seiten des Unternehmens daher sehr achtsam und wertschätzend zum Schutz aller umgegangen werden.

Weiterhin sind Risikomanager gut beraten, eine positive Fehler-, Lern- und Innovationskultur im Unternehmen voranzutreiben, denn nur dadurch gelingt der offene, transparente Umgang mit Risiken und Schäden. Risiken sollten dabei auch als eine Chance zur Optimierung – dem Management der Risiken – verstanden werden.

Die Standardaufgaben im Risikomanagement

Die typischen Aufgaben des Risikomanagements:

  • Identifizierung,
  • Bewertung,
  • Kommunikation und
  • Steuerung

von Risiken sind an die neuen Rahmenbedingungen anzupassen.

Risikomanager haben im Rahmen dieses Steuerungskreislaufs zahlreiche Aufgaben zu erfüllen, wie z.B.:

  • Geschäfts- und Risikostrategieentwicklung und -umsetzung,
  • Business Continuity Planning (BCP) und -Management (BCM),
  • Ad hoc-Meldungen,
  • Outsourcing-Management,
  • Nachhaltigkeitsrisikomanagement,
  • Entwicklung einer Risikokultur,
  • aber auch Verantwortung sowohl für die Transparenz der Risiken als Entscheidungsgrundlage für das Management aber auch für die Mitarbeiter.

Der Risikomanagementkreislauf

Abb.: Der Risikomanagementkreislauf und was es jetzt zu beachten gilt.

In den folgenden Punkten sind Beispiele aufgeführt, wie – der dem Risikomanagement bekannte – Risikomanagementkreislauf um die Risiken des Coronavirus angereichert werden kann.

Identifizierung von Risiken und Generierung von Informationen

Zum Coronavirus werden zahlreiche Basisinformationen veröffentlicht. Einige Informationsquellen sind in der folgenden Tabelle exemplarisch zusammengefasst und sollten auf die unternehmensspezifischen Rahmenbedingungen angepasst und erweitert werden:

 InhaltCheck
1Medizinische und fachliche Informationen zur aktuellen Lage 
  Bundesministerium für Gesundheit, 
  Robert Koch Institut, 
  BZgA, 
 Gesundheitsämter, Ärzte, Ärzteverbände, Krankenkassen, regionale Krankenhäuser 
 Regionale Informationen der Länder, Städte, Gemeinden, öffentlichen Einrichtungen 
 Sonstige Informationen 
2Branchen- und länderspezifische Informationen 
 Informationen der branchentypischen Verbände 
 Verhalten branchenverwandter Unternehmen 
 Informationen aus Risikoländern (z.B. Ländern mit hohem Infektionsgeschehen innerhalb Europas) 
 Entwicklungen in Nachbarländern, Regionen meiner Partner 
3Unternehmenseigene Informationen 
 Informationen aus den eigenen Notfallkonzepten und dem Krisenmanagement 
 Reflektion der Ergebnisse aus den Business Continuity-Tests und Generierung von Lessons Learned 
 Reflektion der Ergebnisse aus den unternehmensinternen Corona-Regeln und laufende Anpassung 
 Umgang mit externen Mitarbeitern: Welche externen Mitarbeiter aus welchen Regionen sind in meinen Unternehmen aktiv? Externe Mitarbeiter könnten Multiplikatoren des Coronavirus sein – andererseits auch eine gute Absicherung, z.B. um schnell Prozesse zu übernehmen und den Betrieb weiter zu stützen 
 Ermittlung und Unterbrechung der typischen Übertragungswege im eigenen Unternehmen 
 Aktive Nutzung der Informationen der eigenen Mitarbeiter, Kunden, Stakeholder, Outsourcingpartner 
4Sonstige Informationsquellen 
 Sonstige Informationen 

Die Schritte nach der Informationssammlung:

  1. Ergebnisse aus den Veröffentlichungen konsolidieren und priorisieren
  2. In Workshops mit Mitarbeitern, Kunden und weiteren Stakeholdern die Informationen aus dem oben dargestellten Research ergänzen
  3. Die für das Unternehmen relevanten Informationen nach Wesentlichkeit für das eigene Unternehmen bewerten und übernehmen
  4. Chancen und Risiken für das eigene Unternehmen ableiten, wie beispielhaft in der folgenden Tabelle dargestellt:
ChancenRisiken
Innovationen werden schneller umgesetzt, Erschließung neuer Märkte und KundenMassiver Nachfragerückgang
Flexibleres Arbeiten der Mitarbeiter mit dem Ziel der KreativitätsförderungLieferengpässe durch fehlende Zulieferungen oder Insolvenz der (Outsourcing-)Partner
Technische Optimierung der Kommunikationswege mit den Kunden und Mitarbeiternhoher Krankenstand bzw. Schließung ganzer Betriebsteile wegen Quarantäne
Optimierung und Standardisierung der Prozesse und Abläufe infolge von Covid-19Liquiditätsengpässe und drohende Zahlungsunfähigkeit
Imagegewinn durch gute Kommunikation und MaßnahmenReputationsschaden infolge von geänderten Kundenansprüche

Bewertung von Risiken

Risiken haben immer eine Ursache und eine Wirkung. In Zusammenhang mit dem Coronavirus haben sie ihre Ursache im Bereich „Non Financial Risk“ und Auswirkungen auf anderen Risikoarten, die qualitativ oder quantitativ zu bewerten sind.

Qualitative Bewertung:

Dabei sind in erster Linie qualitative Bewertungen und pragmatische Entscheidungen bei der Bewertung entscheidend. Die im Notfallmanagement beschriebenen (Krisen-)Teams sind einzuberufen.

Zur Bewertung von Risiken können hier z.B. einfache Skalenabfragen zum Tragen kommen:

  1. „Wie hoch ist das Risiko, dass ...?“ auf einer Skala von 1–5 (1 = unbedeutendes Risiko, 5 = kritisches, existenzgefährdendes Risiko).
  2. Wann und wie oft tritt das Risiko ein? (Auf einer Skala von 1 – 5 (1=unwahrscheinlich, 5=akut)).

Aus der Kombination der beiden Fragestellungen lässt sich eine Risikomatrix ableiten, die die Corona-spezifischen Risiken aggregiert und zugleich visuell darstellt:

Heller-Herold Risikomanagement und Coronavirus Abb. 2

Abb.: Die Risikolandkarte

Quantitative Bewertungen

Darüber hinaus sind quantitative Bewertungen anzustreben, insbesondere für:

  • Wirtschaftliche Risiken, z.B. durch geringere Nachfrage, geringer Margen und geringeres Angebot, ausfallende Lieferanten oder SchlüsselMitarbeiter
  • Sensitivitätsanalyse: Aus den Rahmenbedingungen lassen sich Sensitivitäten abteilen, d.h. Kennzahlen, die sich auf die Nachfrage auswirken und somit einen wirtschaftlichen Impact auf die Nachfrage und die Umsatzerlöse haben. Es ist abzuleiten, in welcher Größenordnung die Sensitivitäten das Unternehmen belasten, z.B. ein um x % zurückgehender Verkauf hat die Folge von y % geringeren Umsatzerlösen
  • Szenarioanalyse: Die Rahmenparameter, z.B. der zurückgehende Verkauf (vgl. Sensitivität), können sich unterschiedlich entwickeln. Aus der Kombination von verschiedenen Rahmenparametern lässt sich ein Szenario ableiten. Der Unterschied zwischen der Sensitivitäten- und der Szenario-Analyse liegt in einer dahinter liegenden Story (bei der Sensitivitäten-Analyse werden nur einzelne Parameter betrachtet und Auswirkungen auf das Unternehmen – es liegt keine Story zugrunde – bei der Szenario-Analyse bilden verschiedene Annahmen eine Story und daraus werden die Auswirkungen auf das Unternehmen analysiert). Auf Basis von konkreten Annahmen, die eine Story bilden, werden die finanziellen Auswirkungen für das Unternehmen quantifiziert, der Risikodeckungsmasse gegenüber gestellt und Maßnahmen daraus abgeleitet.
  • Worst-Case-Szenarien: Die Fragestellung ist: Was ist der am schlimmsten wirkende Fall? Dahinter liegt – wie bei der Szenarioanalyse – auch immer eine Story. Auf Basis der Szenario-Analyse werden die Parameter analysiert, welche Parameter in welcher Form verschlimmert werden. Die Ergebnisse werden quantifiziert der Risikodeckungsmasse gegenüber gestellt, woraus Maßnahmen abgeleitet werden.
  • Stress-Test: Bei einem Stress-Test werden die verschiedenen Parameter gestresst, d.h. auf eine möglichst hohe Ausprägung gestellt, z.B. Rückgang im Verkauf um 30 % bei gleichzeitiger Verteuerung der Kapitalkosten (z.B. Zinserhöhung um 2,5 %). Aus den Ergebnissen lässt sich eine Stress-Resilienz für das Unternehmen ableiten. Darin gilt die Frage zu beantworten: Wie widerstandsfähig ist das Unternehmen gegenübergestressten Umfeldfaktoren?
  • Reverse-Stress-Tests: Der Unterschied zwischen dem Stress-Test und dem Reverse-Stress-Test liegt im Ausgangspunkt der Betrachtung: Beim Stresstest bilden die verschiedenen zu stressenden Parameter die Basis, z.B. Rückgang im Verkauf und Erhöhung der Kapitalkosten, und es wird das Ergebnis betrachtet. Beim Revers-Stress-Test gilt die umgekehrte Fragestellung: Was für einen Ergebnisrückgang kann sich das Unternehmen maximal leisten, um nicht illiquide zu werden bzw. in Konkurs zu gehen? Aus diesem Ergebnisrückgang wird abgeleitet, um wieviel der Verkauf zurückgehen kann und/oder die Kapitalkosten sich verteuern können, ohne dass das Unternehmen illiquide wird.

Gerade im Corona-Zeitalter ist die Bewertung und Modellierung der Risiken existenziell wichtig, um den Fortbestand des Unternehmens sicherzustellen. Bei all‘ der für das Risikomanagement wichtigen Betrachtung der Risiken sollten aber auch die Chancen – die auch gerade in Krisenzeiten eine Rolle spielen mit betrachtet werden. Beide bilden die Grundlage für die Kommunikation und vor allem das Management der Risiken.

Kommunikation von Risiken

In diesem Punkt sind die Kommunikationsstrukturen und -wege, Empfänger der Information sowie die Art und Weise der Kommunikation von Bedeutung, z.B.

  • Dailies und Weeklies, z.B. per Skype oder Videokonferenz, um permanent wichtige Informationen auszutauschen und schnell Entscheidungen auf kurzen Wegen zu treffen und Learnings im Unternehmen zu erzielen.
  • Kurze und zugleich schnelle und direkte Kommunikationswege zur Geschäftsführung, zu den Mitarbeitern, Kunden, Stakeholdern, anderen Unternehmen.
  • Task Force aufstellen (bestehend aus unternehmensintern Schlüsselpersonen, externen Partnern, evtl. branchenverwandten Unternehmen, Verbänden etc.), die ad hoc und regelmäßig entscheidungsrelevante Informationen erhält und Maßnahmen beschließt.

Entscheidend ist – gerade in der heutigen hybriden Arbeitswelt – dass Klarheit und Transparenz in der Kommunikationsstruktur besteht. Sinnvoll ist, diese gemeinsam mit den Mitarbeitern zu entwickeln und entsprechend den sich ändernden Rahmenbedingungen agil anzupassen. Ein mögliches Muster ist in der folgenden Abbildung dargestellt:

Heller-Herold Risikomanagement Abb. 3

Entscheidend ist bei der Entwicklung eines Risikomanagement-Kommunikationskonzepts, dass die unternehmensinternen Reporting-Wege, -strukturen und -fristen Berücksichtigung finden.

Weiterhin sind die folgenden Aspekte zu berücksichtigen:

  • Direkte, vollständige und transparente Weitergabe der Informationen an die Mitarbeiter (Ziel: Sicherheit und Vertrauen bei den Mitarbeitern schaffen)
  • Schaffung der Möglichkeit, dass sich Mitarbeitern auf dem direkten Weg an einen vertrauenswürdigen Ansprechpartner (z.B. Betriebsarzt, Ersthelfer, Betriebsrat, Risk Management) wenden können
  • Einrichtung einer anonymen (Mail-)Box für Fragen, Ängste, Sorgen für Mitarbeiter
  • Einbeziehung des Betriebsrats

Steuerung/Management von Risiken

Der Steuerung kommt hier eine besondere und vor allem aktive Rolle zu. Das Ziel ist, das Unternehmen, die Mitarbeiter und Stakeholder zu schützen, Risiken zu managen und damit den langfristigen Betrieb sicherzustellen. Das Unternehmen soll gestärkt werden und resilient gegenüber geänderten Umfeldfaktoren und Rahmenbedingungen – auch in Krisen – sein. Da der Fall des Coronavirus eine Situation mit völlig neuem Charakter darstellt, kommen auch Maßnahmen in Frage, die in der Vergangenheit noch nicht zum Tragen gekommen sind.

Mögliche Maßnahmen können sein:

Allgemein:

  • Vorsorge und Prävention: Jeder kann dazu beitragen, Covid-19 einzudämmen. Ein WIR erzeugen
  • Alle Empfehlungen der öffentlichen Stellen (RKI, Gesundheitsämter etc.) befolgen, aber auch darüber hinaus. Social Distancing aktiv vorleben, Hygienekonzepte
  • Steuerbare Übertragungswege vermeiden
  • Aktiver Austausch mit anderen Unternehmen zu Maßnahmen, Kompetenzen bündeln
  • Eine gute Balance zwischen Homeoffice, Office und ‚digital‘ ermöglichen und in hybriden Welten zusammenarbeiten
  • Dienstreisen vermeiden / (neu) genehmigen lassen / komplett einstellen.
  • Veranstaltungen hybrid ermöglichen, z.B. mit regionalen Satelliten
  • Panik und Stress vermeiden, Ruhe und einen kühlen Kopf bewahren
  • Eine offene Fehler-, Lern- und Innovationskultur schaffen
  • Externe Berater außerhalb der Büros arbeiten lassen (sie könnten Multiplikatoren des Virus sein, andererseits auch eine Backup-Möglichkeit, um die Prozesse aufrecht zu erhalten).

Den eigenen Betrieb aufrechterhalten:

  • Maßnahmen aus den eigenen Business Continuity Management (BCM)-Notfallkonzepten laufend anpassen / prüfen / umsetzen (Beachtung von Standortlösungen, externen Mitarbeitern, Split-Lösungen für den Geschäftsbetrieb, Priorisierung von geschäftskritischen Prozessen, laufende selektive Corona-Tests)
  • Business Continuity Pläne (BCP) stellen sicher, dass zeitkritische Aktivitäten in kurzfristigen Notfällen, wie z.B. IT-Ausfällen, über redundante Systeme weiterhin durchgeführt werden können. Zur Redundanz gehören im Regelfall Ersatzarbeitsplätze. Diese räumlich getrennte Infrastruktur wird aktuell von vielen Banken genutzt, um trotz eventueller Corona-Fälle im Hauptgebäude arbeitsfähig zu bleiben. Die von den Geldinstituten zu erstellenden Sanierungspläne identifizieren die Funktionen des jeweiligen Instituts, welche volkswirtschaftlich besonders wichtig sind. Die Sanierungspläne können bei einer weiteren Eskalation der Pandemie und deren längerem Anhalten sicherstellen, dass sich die Institute auf die Aufrechterhaltung dieser eingeschränkten Kernaktivitäten fokussieren.
  • Mitarbeiter zum eigenen Gesundheitsschutz motivieren: Das kann von vitaminreicher Ernährung bis hin zu persönlichen Fieberprotokollen reichen.
  • Das eigene Geschäftsmodell mit Hilfe des Business Model Canvas kritisch auf Risiken aber besonders auch auf Chancen analysieren, z.B. durch „What if…“ Analysen. Was passiert, wenn dieser Lieferant ausfällt? Was passiert, wenn diese Ressource oder Komponente nicht lieferbar ist?
  • Ergebnisorientierte Mitarbeiterführung durch die Führungskräfte

Outsourcing und Schlüssel-Partnerschaften:

  • Prüfung der Outsourcingpartner auf wirtschaftliche Stabilität, ggf. Maßnahmen ergreifen, die die Stabilität sichern, z.B. Abteilungen oder Serviceleistungen insourcen.
  • Engen Kontakt mit den Outsourcingpartnern, um die Stabilität der ausgelagerten Prozesse sicherzustellen bzw. abzufragen (inkl. der Weiterverlagerungen) und Maßnahmen ableiten.

Chancen erkennen und wahrnehmen:

  • Auch die Kunden haben neue Probleme und Herausforderungen durch die CoronaKrise. Die Kundenbedürfnisse ändern sich. Wie kann das eigene Unternehmen die Kunden unterstützen?
  • Wie kann das Geschäftsmodell oder das Wertangebot verändert werden, um die Kunden besser zu unterstützen. Das angepasste oder neue Geschäftsmodell kann mit dem Lean Canvas gut erfasst und iterativ getestet werden.

Für ein effizientes Maßnahmenmanagement sollte stets die Resilienz, also die Widerstandsfähigkeit des Unternehmens, im Mittelpunkt stehen. Die Sensitivitäten-, (Worst-Case-)Szenario-, Stress-, Reverse Stress-Analysen sowie die Risikobewertungen sind eine unabdingbare Grundlage für Entscheidungen aus Risikosicht.

Die Cashflow-Planung und die Sicherstellung der eigenen Zahlungsfähigkeit (z.B. durch offene Kontokorrent-Kreditlinien), ist Mittelpunkt des Maßnahmenmanagements in Krisenzeiten.

Die Maßnahmen sollten stets auf Menschen (Kunde und Mitarbeiter) fokussiert werden (Customer- & Employee Centricity). Damit soll sichergestellt werden, dass die Produkte und das Geschäftsmodell sehr stark auf den Kunden fokussiert sind (Customer Centricity). Jedes Unternehmen ist nur so gut wie seine Mitarbeiter, weshalb in diversen Team gemeinsame Lösungen auf Basis von Problemen/Krisen erarbeitet werden sollten (Employee Centricity). Bei existenziellen adhoc-Entscheidungen, wie sie in Krisensituationen zum Teil erforderlich sein können, sollte eine Task Force so aufgestellt sein, dass sie von den Management-, fachlichen Skills in der Lage ist, Entscheidungen schnell, direkt und auf das Problem fokussiert treffen kann.

Mit der Methode „How might we...?“ können z.B. in einer Task Force pragmatisch und schnell Maßnahmen generiert werden. Z.B. „Wie (mit welchen Maßnahmen) könnten wir mit nur 25% im Büro arbeitenden Mitarbeitern unser Call Center möglichst lange (z.B. 4 Wochen) aufrechterhalten?“.

Die Umsetzung der einzelnen Maßnahmen sollte je nach Dringlichkeit auf einer Skala zeitlich verteilt werden, z.B. ad hoc-Maßnahmen und Maßnahmen bei Eintritt bestimmter Situationen. Hier sind „Fahren auf Sicht“ aber auch „vorausschauendes Denken“ – gleichzeitig und ggf. im Wechsel zu berücksichtigen.

Fazit: Risikomanager können entscheidend zur Stabilität der Organisation beitragen

Mit den richtigen Methoden und Maßnahmen kann jeder Risikomanager einen entscheidenden Beitrag für Widerstandsfähigkeit und Stabilität des Unternehmens, zum Schutz der Mitarbeiter, Kunden, Stakeholder leisten. Jedes Unternehmen, jeder Mensch (Mitarbeiter oder Kunde) und jeder Stakeholder sind sehr individuell – daher sind auch die Maßnahmen individuell zu definieren (Customer- & Employee Centricity). Regelmäßige Learnings aus den vergangenen Wochen und Monaten helfen, dass Risikomanager das Unternehmen weiter sicher durch die Corona-Krise führen und sich dabei zum geschätzten Business-Partner für das Management und das Unternehmen weiterentwickeln.

Zusätzlich kann das Risikomanagement auch eine Rolle als Chancenmanager wahrnehmen und dem Unternehmen helfen, Opportunitäten zu nutzen, die sich aus der Corona-Krise ergeben.


Das könnte Sie auch interessieren:

Controller contra Coronavirus: Instrumente und Empfehlungen für effektive Gegensteuerung

Schlagworte zum Thema:  Coronavirus, Risikomanagement, Compliance