Liebe Leserinnen und Leser,

keine Angst! Wir wollen Sie jetzt nicht mit der Definition des Risikobegriffs langweilen. Dennoch stellen sich mit Blick auf das Management und das Controlling von Risiken in unseren Augen sehr grundlegende Fragen: Ist Risiko etwas, was man primär durch Regeln in den Griff bekommt (Compliance), oder sollte ein gutes Risiko-Management in erster Linie durch Dialog und gemeinsames Lernen gekennzeichnet sein? Und für welche Art von Risiko bietet sich welche Herangehensweise an?

Wir halten in diesem Zusammenhang ein Framework von Annette Mikes und Robert Kaplan für sehr hilfreich. Die beiden unterscheiden vermeidbare, strategische und externe Risiken. Strategische Risiken sind unmittelbar mit dem Geschäftsmodell verbunden. Sie lassen sich daher auch nicht grundsätzlich vermeiden, es geht vielmehr darum, die Wahrscheinlichkeit ihres Auftretens und mögliche negative Auswirkungen zu reduzieren. Dazu müssen Unternehmen im ersten Schritt Transparenz schaffen: Die Risiken und die damit verbundenen Gefahren müssen bekannt sein und von allen geteilt werden. Risiko-Cockpits und -Matrizen, die die Eintrittswahrscheinlichkeit und das Schadenspotenzial einzelner Risiken systematisieren, können dabei hilfreiche Werkzeuge sein. Sie können aber auch schnell zum Papiertiger werden und müssen daher integraler Bestandteil eines interaktiven Lernprozesses im Unternehmen werden, der sich am jeweils vorliegenden Geschäftsmodell orientiert. Eine globale Handelsorganisation mit vielen dezentralen Risiken wird hier andere organisatorische Lösungen benötigen als ein Pharmakonzern oder eine in vergleichsweise stabilen Wassern fahrende Bundesagentur für Arbeit.

Vermeidbare Risiken — der zweite Typus — sind alle die Risiken, die unabhängig vom zugrunde liegenden Geschäftsmodell innerhalb des Unternehmens entstehen können, die also grundsätzlich vermeidbar sind. Lassen Sie uns als Beispiele operative Fehler oder auch Themen wie Bestechung und Betrug nennen. Hier geht es im Management der damit verbundenen Risiken natürlich nicht um einen interaktiven Lernprozess. Vielmehr gilt es, mit klaren Regeln, Sanktionen und Kontrollen gegenzusteuern. Daneben kommen Werte und ihre handlungsleitende Funktion ins Spiel. Beides — Regeln und Werte — gilt es, unternehmens- und situationsspezifisch auszutarieren, was nicht immer trivial ist. Wann sollen die gemeinsamen Werte, wann die Regeleinhaltung die Kommunikation dominieren?

Externe Risiken sind schließlich alle verbleibenden externen und sich letztlich einer internen Kontrolle entziehenden Risiken. Denken Sie etwa an externe Schocks wie 9/11 oder Naturkatastrophen. Die damit verbundenen Risiken sind nicht vermeidbar, aber durch Instrumente wie Szenario- Analysen, War-Gaming und Stresstests kann sich das Unternehmen zumindest auf den Eventualfall vorbereiten.

Risiko ist also nicht gleich Risiko. Gleichzeitig erscheint uns der Risikobegriff im Controlling häufig auf einen Teil der tatsächlichen Risikolandkarte im Unternehmen reduziert zu sein. Grund genug, einen frischen Blick auf das Themenfeld zu werfen.

Viel Vergnügen bei der Lektüre wünschen Ihnen

figure 1
figure 2