Risiko- und Krisenmanagement. Aufgaben der Führung

Inhaltsverzeichnis

Danksagungen

Abstract

1 Einleitung
1.1 Problemstellung
1.2 Forschungsfrage
1.3 Ziel der Arbeit
1.4 Methodik

2 Definitionen
2.1 Risiko
2.2 Krise

3 Risikomanagement
3.1 Aufgaben des Risikomanagements
3.2 Operatives Risikomanagement
3.3 Strategisches Risikomanagement
3.3.1 Risikostrategie
3.3.2 Risikokultur
3.3.3 Risikoorganisation
3.4 Das Risikomanagementsystem
3.5 Der Risikomanagementprozess
3.5.1 Risikoidentifikation
3.5.2 Risikoanalyse und Risikobewertung
3.5.3 Risikobewältigung
3.5.4 Risikocontrolling
3.5.5 Risikodokumentation
3.6 Der Umgang mit Widerständen

4 Krisenmanagement
4.1 Krisenbewältigung
4.1.1 Krisenarten
4.1.2 Krisenursachen
4.2 Risiko- und Krisenkommunikation
4.3 Krisennachbereitung

5 Risiko- und Krisenmanagement in Forschungsorganisationen
5.1 Spezifische Risiken von Forschungsorganisationen
5.1.1 Markt- und Finanzwirtschaftliche Risiken
5.1.2 Auftreten von Mitbewerbern
5.1.3 Gefährdung der Umwelt
5.1.4 Naturrisiken
5.1.5 Feuerrisiken
5.1.6 Ausfall von Anlagen
5.1.7 Baumängel
5.1.8 Versagen von internen Prozessen
5.1.9 Ausfall der IT und Telekommunikationsinfrastruktur
5.1.10 Ausfall der Versorgungsinfrastruktur
5.1.11 Ausfall von Mitarbeitern
5.1.12 Anwendungsfehler durch menschliches Versagen
5.1.13 Gefährdung von Mitarbeitern und Besuchern
5.1.14 Kriminelle Risiken
5.1.15 Verantwortung und Haftung für Forschungsergebnisse
5.1.16 Wertekonflikte
5.1.17 Reputations- und Imagerisiken
5.1.18 Strategische Entscheidungen auf Geschäftsführungsebene
5.1.19 Rechtliche Auflagen und Rahmenbedingungen
5.1.20 Politische Risiken
5.1.21 Verlust bzw. unberechtigte Nutzung von Forschungsergebnissen
5.2 Aufgaben der Führung
5.2.1 Erstellung einer Risikostrategie
5.2.2 Erstellung einer Risikoorganisationsstruktur
5.2.3 Entwicklung einer Risikokultur

6 Forschung und Wissenschaft in Niederösterreich
6.1 Forschungs- und Wissenschaftsstruktur
6.2 Personalstruktur
6.2.1 Außeruniversitäre Forschungseinrichtungen
6.2.2 Tertiäre Forschungs- und Bildungseinrichtungen
6.2.3 Wiener Universitäten in NÖ
6.3 Wissenschaftliche Projekte und Publikationen
6.4 Befragung: Risikomanagement in NÖ Forschungsorganisationen
6.4.1 Ziel der Befragung
6.4.2 Auswahl der Forschungsorganisationen
6.4.3 Datenerhebungsmethode und Konzeption des Fragebogens
6.4.4 Darstellung der Ergebnisse
6.4.5 Interpretation und Diskussion der Ergebnisse

7 Empfehlungen und Conclusio

8 Zusammenfassung

Literaturverzeichnis

Abbildungsverzeichnis

Danksagungen

Ich möchte mich an dieser Stelle bei den Personen bedanken, die mir bei der Erarbeitung dieser Master Thesis geholfen haben.

An erster Stelle bedanke ich mich bei Frau Dr. Eva Krczal für die vertrauensvolle Betreuung der Arbeit, für ihre wertvollen Impulse und die Gewährung der nötigen Freiräume, sowie bei allen Vortragenden und dem Organisationsteam des Lehrganges für die sehr gute und umfassende Begleitung.

Meiner Familie danke ich für die Unterstützung und ihr Verständnis während meines Studiums und besonders während jener Zeit, in der diese Masterthesis entstanden ist.

Und - last but not least - möchte ich mich bei allen Forschungsorganisationen, die mich bei der Erstellung dieser Masterthesis inhaltlich unterstützt haben, sehr herzlich bedanken.

Abstract

Naturwissenschaftliche, medizinische und technische Forschungsorganisationen unterliegen vielfältigen Risiken, angefangen von betriebswirtschaftlichen Bedrohungen bis hin zum menschlichen und technischen Versagen mit Auswirkungen auf Mensch und Umwelt. In der Arbeit werden Instrumente, Methoden und Prozesse des Risikomanagements dargestellt, mit dem Ziel, die Aufgaben der Führung in diesem Bereich aufzuzeigen, um Risiken von der Organisation abzuwenden und mit auftretenden Krisen angemessen umzugehen. In einer Erhebung werden die Niederösterreichischen Forschungsorganisationen zum Thema Risikomanagement befragt. Festgestellt wird darin, wie ausgeprägt das Bewusstsein dieser Organisationen für ihre Risiken ist, wie sie diese managen und wer für das Risikomanagement verantwortlich zeichnet. Am Ende steht eine Empfehlung für die Führungskräfte der Forschungsorganisationen.

Stichworte: Risiko, Risikomanagement, Krise, Krisenmanagement, Führung, Forschung, Forschungsorganisation, Unternehmenssicherheit

1 Einleitung

Risikomanagement beschäftigt sich mit der Identifizierung, Analyse, Bewertung, Vermeidung bzw. Verminderung und der Behandlung und Überwachung von Risiken (Müller, 2010, S. 43). Risiko- und Krisenmanagement kann eine geeignete Methode für die Führungsebene von Forschungsorganisationen darstellen, um die Sicherheit von Mitarbeitern, Besuchern und Umwelt sowie die Reputation der Organisation zu gewährleisten und den wirtschaftlichen Erfolg zu sichern.

In Niederösterreich arbeiten über 4100 Menschen in inner- und außeruniversitären Forschungs- und Wissenschaftsorganisationen. Dazu kommen in den jeweils dazu gehörenden tertiären Bildungseinrichtungen die Studierenden, die im Studienjahr 2013/2014 19.021 betrugen. Die niederösterreichischen Bruttoinlandsausgaben des Jahres 2011 beliefen sich auf 737,37 Mio. Euro für den Bereich Forschung und Entwicklung. Laut der Strategie des Landes NÖ soll die Anzahl der Wissenschaftler und Studierenden noch weiter erhöht werden (Amt der NÖ Landesregierung, 2014, S. 10f).

Viele dieser NÖ Forschungsorganisationen haben ihren Forschungsschwerpunkt in den Bereichen Naturwissenschaften, Technik oder Medizin. Mit der Steigerung der Forschungsleistung steigen natürlich auch die damit verbundenen Risiken für Organisationen und Menschen.

1.1 Problemstellung

Naturwissenschaftliche Organisationen arbeiten in der Forschung meist mit hochtechnologischem Equipment. Unter anderem dadurch sind sie einer Vielzahl an Risiken ausgesetzt. Dazu zählen zum Beispiel das Austreten von Flüssigkeiten oder Strahlung sowie die Entstehung von Brandherden durch unsachgemäßer Lagerung oder Verwendung brandfördernder Gase oder Chemikalien. Durch diese Gefahren können sowohl eigene Arbeitnehmer als auch die angrenzende Bevölkerung gefährdet werden. Die rechtlichen Rahmenbedingungen wurden in den letzten Jahren verschärft und Stakeholder fordern, teilweise mit Unterstützung der Medien, immer vehementer Aufklärung jeglicher Vorfälle. Das Bewusstsein über die möglichen Risiken ist in den Organisationen teilweise nur in geringem Ausmaß vorhanden, innerorganisatorische Warnungen werden oft abgetan oder nicht ernst genommen, notwendige präventive Maßnahmen aus Kostengründen abgelehnt. Sind Risiken bekannt, neigen Organisationen zum Verschweigen, anstatt diese in der Logik und Sprache der Stakeholder zu kommunizieren und mit diesen ein gemeinsames Akzeptanzniveau zu finden (Schüz, 2002, S. 62). Risikomanagementmethoden sollen Organisationen unterstützen, Risiken zu erkennen und frühzeitig abzuwenden. Unter Risikomanagement wird eine aktive, zukunftsorientierte Steuerung der Organisationsrisiken verstanden (Grabl, 2012, S. 80). In vielen Organisationen wird dafür ein Qualitäts- oder Umweltmanager beschäftigt, um den Umgang mit einzelnen operativen Risiken abzudecken. Es wird jedoch oft übersehen, dass Risiko- und Krisenmanagement eine Führungsaufgabe ist, die das gesamte Unternehmen betrifft, die nur dann erfolgreich erfüllt werden kann, wenn sich die Führungskraft dieser Funktion bewusst ist und Risikomanagement aktiv zur strategischen Planung einsetzt. Brühwiler (2003, S.153) versteht Risikomanagement auch als Teil der Führungsaufgabe, die sich mit der Abwendung von Bedrohungen auf Ziele der Organisation befasst.

1.2 Forschungsfrage

Welche Aufgaben haben Führungskräfte von Forschungsorganisationen, um mögliche Risiken zu identifizieren, bei den Mitarbeitern Bewusstsein für Risiken zu fördern, Risiken zu verhindern oder zu minimieren und potentielle Krisen angemessen zu bewältigen?

1.3 Ziel der Arbeit

Ziel dieser Arbeit ist es, die bedeutendsten Instrumente und Methoden des Risiko- und Krisenmanagements darzustellen, die Risiken von Forschungsorganisationen aufzuzeigen und die Aufgaben der Führung herauszuarbeiten. Die Situation der niederösterreichischen Forschungsorganisationen bei der Risikoidentifizierung und –vermeidung, deren Bewusstsein über ihre Risiken und der Ist-Stand des Einsatzes von Risikomanagementmethoden sollen erhoben werden. Auf dieser Basis soll eine Empfehlung für Führungskräfte von NÖ Forschungsorganisationen abgeleitet werden.

1.4 Methodik

Die Begrifflichkeiten werden abgegrenzt und definiert. Die Grundlagen und Instrumente des Risiko- und Krisenmanagements werden durch Literaturrecherche ermittelt und dargestellt und die spezifischen Aufgaben für Führungskräfte von Forschungsorganisationen davon abgeleitet. Durch eine empirische Erhebung mittels online Fragebogen wird ermittelt, ob und wie Risikomanagement in den NÖ Forschungsorganisationen gelebt wird, wer die Verantwortung für das Risikomanagement in der Organisation hat, welche Risiken gesehen werden und wie gut die Organisationen auf potentielle Krisen vorbereitet sind.

2 Definitionen

Um das Thema Risiko- und Krisenmanagement umfassend betrachten zu können, sollen vorab die Begriffe Risiko und Krise definiert werden. Tatsächlich werden die Begriffe Risiko- oder Krisenmanagement in der Literatur oft vermischt bzw. gleichlautend verwendet, somit ist eine Abgrenzung nur bedingt möglich.

2.1 Risiko

Eine Organisation steht verschiedensten Risiken gegenüber. Der Begriff „Risiko“ wird in der Literatur unterschiedlich definiert. Denk & Exner-Merkelt definieren Risiko als Gefahr einer negativen Abweichung von Unternehmensziele (Robert Denk & Exner-Merkelt, 2005, S. 28). Darauf bezieht sich auch Vanini (2012, S. 7f) und führt weiter aus, dass davon sowohl kurz- als auch langfristige Organisationsziele betroffen sein können. Brühwiler (2011, S. 23) definiert Risiko als die Möglichkeit einer überraschenden Änderung von bewusst gesetzten Zielen und Erwartungen von Menschen oder Organisationen und die Unsicherheit darüber, ob diese Ziele erreicht werden können. Er führt aus, dass der Risikobegriff grundsätzlich neutral ist, da sowohl negative als auch positive Änderungen eintreten können, in der Praxis jedoch überwiegend die negativen Bedrohungen darunter verstanden werden. Grundsätzlich beschreibt der Begriff Risiko das Spannungsfeld zwischen Chance und Bedrohung und die Kombination von Eintrittswahrscheinlichkeit und Auswirkung gibt die Intensität der Chance oder Bedrohung an. Wesentlich enger fassen Patzak & Rattay (1998, S. 36) den Risikobegriff. Sie definieren Risiko als „die Eigenschaft einer Situation, erfasst als die Wahrscheinlichkeit des Eintritts eines nicht gewünschten Ereignisses, welches mit dem in Eintrittsfall zu erwartenden Schaden bewertet ist“. Geiger & Kotte (2008, S. 125) definieren Risiko aus dem Gleichgewicht zwischen der Wahrscheinlichkeit eines zum Schaden führenden Ereignisses und dem im Ereignisfall zu erwartenden Schadensausmaß. Müller (2010, S. 41f) definiert einen Dreiklang aus Bedrohungspotential, Schadenspotential und Schwachstellenpotential und definiert den Begriff Risiko als „potentielle Möglichkeit, dass eine Bedrohung die Schwachstelle(n) eines oder mehrerer schutzbedürftiger Wertobjekte bzw. Schutzobjekte ausnutzt, sodass ein materieller oder immaterieller Schaden entsteht.“ In dieser Arbeit sollen vorwiegend die potentiellen Gefahren, die von einem Risiko ausgehen, betrachtet werden. Daher wird dafür folgende Definition gewählt: Risiko ist die Gefahr einer negativen Abweichung zu den bewusst gesetzten Zielen und Erwartungen der Organisation.

2.2 Krise

Selten kommt eine Krise ohne Ankündigung. Oftmals ist ihr ein bekanntes und unterschätztes Risiko vorausgegangen. Die Krise als solche gibt es nicht, da verschiedene Krisentypen auftreten, daher sind auch die Definitionen vielfältig. Möhrle & Hoffmann (2012, S. 22) verweisen auf die Ursachen und die Auswirkungen, die wirtschaftlicher oder technisch-ökologischer Natur sein können, Produktkrisen oder innerorganisatorische, politisch-ideologische oder personale-gesellschaftliche Krisen. Krisen sind lt. Patzak & Rattay (1998, S. 342) extreme Situationen, die eine gravierende Abweichung vom Plan bewirken und als existenzbedrohend für ein Projekt oder sogar für die Organisation sind. Krisen haben üblicherweise ihre Ursache in der Vergangenheit. Hutschenreiter & Griess-Nega (2006, S. 5) unterscheiden zwischen strategischen Krisen, Ergebniskrisen und Liquiditätskrisen und postulieren, dass Krisen stets zu Veränderungen in der Zukunft führen, wobei im Falle der Krisenbekämpfung eine Chance zur „Gesundung“ bestünde, ansonsten eher eine Verschlechterung der Situation einträte. Nicht darauf eingegangen wird in dieser Definition, dass eine Krise auch positive Auswirkungen für ein Unternehmen auslösen könnte. Für diese Arbeit wird der Begriff Krise als der Eintritt eines – bekannten oder unbekannten – Risikos, das eine Bewältigung erforderlich macht, definiert.

3 Risikomanagement

Denk & Exner-Merkelt (2005, S. 30) definieren Risikomanagement als eine systematische, aktive, zukunfts- und zielorientierte Steuerung der Risikogesamtposition des Unternehmens. In der Literatur trifft man neben dem Begriff Risikomanagement auch auf den Begriff Sicherheitsmanagement (oder engl. Security Management), oft in Kombination bzw. mit untergeordneten Bereichen wie z.B. Informationssicherheitsmanagement oder Kontinuitätsmanagement. Während im Risikomanagement überwiegend die potentiellen Bedrohungen betrachtet und behandelt werden, versucht man beim Sicherheitsmanagement ein selbst gesetztes Sicherheitsniveau zu erhalten (Müller, 2010, S. 55f). Im Grunde sprechen beide Begriffe vom Gleichen, nur die Art der Annäherung an das Thema ist unterschiedlich. In dieser Arbeit wird, der Übersichtlichkeit halber durchgehend der Begriff Risikomanagement verwendet. Organisationen sind laufend Risiken ausgesetzt, da Wettbewerbsvorteile oder neue Errungenschaften in Forschung und Entwicklung ohne das Eingehen von Risiken nicht möglich wären. Das heißt, ein potentielles Risiko kann auch eine potentielle Chance bergen. Die Kunst besteht darin, Risiken in kalkulierbare und nicht kalkulierbare Risiken zu unterteilen und die richtigen Methoden und Werkzeuge zu entwickeln, die Risiken zu erkennen, sie zu vermeiden oder in einem behandelbaren Ausmaß zu behalten. Die Ziele des Risikomanagements sind (Vanini, 2012, S. 19):

- die langfristige Existenzsicherung der Organisation indem nur Risiken, die bewältigbar sind, eingegangen werden
- Entwicklung von Handlungsspielräumen für die Organisation durch Durchspielen und Analysieren von Zukunftsszenarien und das Erkennen der Auswirkungen auf die Organisationsziele
- Sicherung der geplanten Organisationsziele durch Maßnahmenableitung für Risiken und der Chancen, die sich daraus ergeben
- Senkung der Kapitalkosten durch Darstellung der Risiken und der Eintrittswahrscheinlichkeiten, um am Kapitalmarkt geringere Risikoprämien und Kapitalkosten bezahlen zu müssen

Darüber hinaus sollen (Brühwiler, 2011, S. 37f):

- die Wirksamkeit und die Effizienz der Führung verbessert werden. Da Fehlentwicklungen oder plötzliche Schadensereignisse einen enormen Ressourcenaufwand darstellen, ist es sinnvoll, die Eintrittswahrscheinlichkeit oder die Auswirkungen solcher Ereignisse zu reduzieren.
- die Planungssicherheit erhöht werden. Durch die laufende Sondierung von möglichen Risiken ist das Risikomanagement in der Lage, dem Management Antworten auf die laufenden Veränderungen des Umfeldes zu geben und unangenehme Überraschungen zu vermeiden oder zu reduzieren.
- die Bedürfnisse von Kunden und Partnern durch die Sicherstellung der physischen und finanziellen Sicherheit befriedigt werden.
- die Sicherheit der Mitarbeiter und der Umwelt gewährleistet werden. Hier stehen Sicherheit und Gesundheitsschutz im Zentrum des Risikomanagements, ebenso wie die Minimierung von Umweltbelastung.
- Schadensfälle effizient gemanagt und im Anlassfall richtig reagiert werden. D.h. das Risikomanagement umfasst neben der Prävention auch das Notfall- und Krisenmanagement, damit nach Bewältigung der Krise der ordnungsgemäße Betrieb so bald als möglich wieder aufgenommen werden kann.

Man unterscheidet zwischen operativem und strategischem Risikomanagement, wobei die Grenzen hier fließend sind. Grundsätzlich lässt sich feststellen, dass das operative Risikomanagement Teilbereiche der Organisation, wie technische Risiken, Arbeitnehmerschutz o.ä. betrachtet, das strategische Risikomanagement hingegen einen gesamtorganisatorischen Ansatz verfolgt.

3.1 Aufgaben des Risikomanagements

Vanini (2012, S. 19) beschreibt das Risikomanagement als Teil der Unternehmensführung, die vom Management wahr genommen werden muss und die Planung und Umsetzung der risikogefährdeten Situation, die Überwachung und Kontrolle, die Entscheidungen über den Umgang mit drohenden Risiken und die Schulung der Mitarbeiter umfasst. Risikomanagement muss bereits im in der Formulierung der Unternehmenspolitik, die durch Vision, Mission und Ziele und Strategie des Unternehmens festgelegt ist, verankert werden und muss Management und Mitarbeiter für das Thema sensibilisieren und einbinden (Müller, 2010, S. 62). Die Aufgaben des Risikomanagements (Vanini, 2012, S. 21) bestehen in einer organisationsweiten Implementierung einer Risikomanagementkultur, der Ableitung einer Risikostrategie, der Erstellung eines Risikomanagementprozesses, dem Aufbau einer Risikomanagementorganisation, Maßnahmen zur Risikosteuerung und –bewältigung sowie der Dokumentation von Risiken und Prozessen. In größeren Organisationen bedient man sich für die Umsetzung des Risikomanagements eines Risikomanagers. Die Aufgaben des verantwortlichen Risikomanagers betreffen den gesamten Risikomanagementprozess. Er ist Kenner der Organisation und oft der Einzige, der einen genauen Überblick über Aufgaben und Aktivitäten hat. Seine Hauptaufgabe ist die Umsetzung des Risikomanagementsystems. Die Verantwortung für die Risiken hingegen trägt das Management (Robert Denk & Exner-Merkelt, 2005, S. 222). Das heißt, es muss eine Verknüpfung von Unternehmensstrategie und Risikostrategie bestehen und daher eine enge Abstimmung zwischen Führungskraft und Risikomanager erfolgen.

3.2 Operatives Risikomanagement

Das operative Risikomanagement beschäftigt sich mit Risiken, die aus den Abläufen der Kern- und Unterstützungsprozesse in einem Unternehmen entstehen. Für die Risikominimierung werden Standards für die operativen Prozesse entwickelt. Zu diesen Standards gehört das Qualitätsmanagement, das prüft, ob das Ergebnis mit den Sollvorgaben übereinstimmt. Das Umweltmanagement prüft die Einhaltung der gesetzlichen Auflagen im Umweltrecht. Weitere Prozesse werden zum Beispiel in der Arbeitssicherheit oder im Brandschutz festgeschrieben (Leidinger, 2002, S. 241).

Exkurs Arbeitnehmerschutz

Ein ursprüngliches Anwendungsgebiet des operativen Risikomanagements ist der Arbeitnehmerschutz. Gefahren- und Risikoanalysen der Arbeitsplätze in der Organisation zeigen den jeweiligen Handlungsbedarf auf. Der Konzern Du Pont hat mit seiner Sicherheitsphilosophie internationale Bekanntheit erlangt. Dort wurden folgende Grundsätze für den Arbeitnehmerschutz in der Firmenstrategie festgeschrieben (Brühwiler, 2011, S. 91):

- Alle Unfälle können verhütet werden
- Das Management ist verantwortlich für die Unfallverhütung
- Gemeinsame Anstrengungen der gesamten Organisation sind notwendig zur Verbesserung der Sicherheit
- Alle operativen Gefährdungen, die zu Unfällen oder Krankheiten führen können, lassen sich kontrollieren
- Sicherheit ist eine Bedingung für die Beschäftigung
- Mitarbeiter müssen in Arbeitssicherheit trainiert werden
- Das Management muss sich über die Wirksamkeit des Sicherheitsprogramms mit Hilfe von regelmäßigen Inspektionen vergewissern
- Festgestellte Mängel müssen umgehend korrigiert werden
- Sicherheit ist Teil jedes Jobs und Teil des Lebens jedes Menschen
- Sicherheit ist rentabel
- Sicherheit muss als Kerngeschäft und persönlicher Wert integriert werden und stellt für jeden am Geschäft Beteiligten einen persönlichen Wert dar

Durch dieses schriftliche Commitment und damit dem damit deklarierten offensichtlichen Interesses des Konzerns am Schutz ihrer Arbeitnehmer konnte das Bewusstsein für dieses Thema jedes Einzelnen im Unternehmen gesteigert und damit die Sicherheit der Mitarbeiter erhöht werden.

3.3 Strategisches Risikomanagement

Der Begriff der Strategie wurde in früheren Jahrhunderten vorwiegend im militärischen Bereich benutzt und in den 1950er Jahren in die Betriebswirtschaftslehre übernommen. Ziel einer Organisationsstrategie ist es, alle Aktivitäten im Rahmen der Geschäftstätigkeit auf eine nachhaltige und erfolgsversprechende Organisationsentwicklung zu fokussieren (Herbek, 2010, S. 17). Strategisches Management wird auch als Unternehmenspolitik bezeichnet und beschreibt alle “…Entscheidungen, die das Verhalten des Unternehmens nach außen und nach innen langfristig bestimmen“ (Thommen & Achleitner, 2012, S. 971). Organisationspolitische Entscheidungen sollten daher auf folgenden Grundsätzen beruhen. Sie sollten (Thommen & Achleitner, 2012, S. 973f):

- allgemeingültig (auf viele Situationen anwendbar)
- wesentlich (das Wichtige des Organisationsgeschehens soll beeinflusst werden),
- langfristig,
- vollständig (umfasst Ziele, Leistungspotentiale, Strategien),
- wahrhaftig (soll die ernsthaften Absichten der Führung ausdrücken),
- realisierbar (angepasst die die Umwelt und die eigenen Möglichkeiten),
- konsistent (die einzelnen Organisationsentscheidungen müssen übereinstimmen) und
- klar (für alle Organisationsangehörige verständlich)

sein. Das strategische Risikomanagement leitet einen strategischen Rahmen von den operativen Risiken ab. Hierunter werden die Risikokultur, die Risikostrategie, die Risikoziele, das Risikodeckungspotential und der Aufbau einer Risikomanagement-Organisation verstanden. Die Entwicklung dieses strategischen Rahmens ist Aufgabe der Führung. Die Risikostrategie soll die Unterstützung der Organisationsstrategie und die langfristige Sicherung der Organisation gewährleisten (Vanini, 2012, S. 100f). Elfgen (2002, S. 208) führt aus, dass die Aufgaben des strategischen Risikomanagements darin bestehen, dass Risiken frühzeitig analysiert und in die Organisationsplanung integriert werden. Durch die Überwachung der Organisationsrahmendaten können strategische Chancen und Risiken festgestellt werden. Mit den gewonnenen Risikodaten muss eine Anpassung der Entwicklungsplanung erfolgen. Damit soll die Unternehmensleitung befähigt werden, nicht vom Eintritt von Risiken überrascht zu werden und möglichst frühzeitig die richtigen Maßnahmen zu setzen.

3.3.1 Risikostrategie

Idealerweise ist das Risikomanagement in eine Corporate Governance Strategie eingebunden. Hier wird dem Bedürfnis aller Stakeholder einer Organisation nach guter und verantwortungsvoller Führung Rechnung getragen. Die Kennzeichen von Corporate Governance sind eine funktionsfähige Unternehmensführung, die Wahrung der Interessen der Stakeholder, die Zusammenarbeit von Führung und Überwachungsorganen, die Transparenz in der Unternehmenskommunikation, den angemessenen Umgang mit auftretenden Risiken und die Ausrichtung der Managemententscheidungen auf langfristige Wertschöpfung (Brühwiler, 2011, S. 39). Um strategische Problemstellungen zu lösen, sind folgende Schritte zielführend (Thommen & Achleitner, 2012, S. 974ff):

- Die Analyse der Ausgangslage: Ermittlung des Ist- Zustandes von internen Wertvorstellungen der Führungspersonen, des gegenwärtigen Zustandes des Unternehmens mit Stärken-Schwächen Analyse, Abschätzung der Umwelt, der voraussichtlichen Umweltentwicklung und der möglichen Auswirkungen auf das Unternehmen (SWOT Analyse)
- Entwicklung des Unternehmensleitbildes und einer Corporate Governance: Festlegung der Verhaltensregeln und allgemeiner Grundsätze der Organisation. Unter Corporate Governance versteht man die Entwicklung von Grundsätzen, die für die Leitung und die Überwachung von Organisationen wichtig sind und eine transparente und verantwortungsvolle Führung ermöglichen (Vanini, 2012, S. 33)
- Formulierung der Unternehmenspolitik: Formulierung der Leistungs-, Finanz-, Organisations- und sozialen Ziele, Entwicklung von Teilzielen, die die Zielerreichung gewährleisten sollen und die Festlegung und die Verteilung von Ressourcen auf Basis der zur Verfügung stehenden Mittel
- Implementierung der Unternehmenspolitik: die Umsetzung der bisher theoretisch erarbeiteten Ziele durch Kommunikation an die MitarbeiterInnen und Anwendung in allen Unternehmensbereichen
- Evaluierung der Ergebnisse: die Ergebnisse der entwickelten und implementierten Ziele und Aufgaben müssen in regelmäßigen Abständen evaluiert und auf Zielerreichung überprüft werden und dementsprechend entweder angepasst oder adaptiert werden

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: strategischer Problemlösungsprozess (Thommen & Achleitner, 2012, S. 975)

Thommen & Aichleitner ( 2012, S. 977) weisen darauf hin, dass dieser Prozess immer wieder durchlaufen werden muss, da durch die erzielten Ergebnisse oder durch Umweltveränderungen Abweichungen entstehen, die korrigiert werden müssen. Große Einflussfaktoren bei der Gestaltung der Unternehmenspolitik sind die Werte und Normen, die sich im Laufe der Jahre entwickelt haben – also die Unternehmenskultur – und die Unternehmensstruktur. Im Rahmen des strategischen Risikomanagements muss eine Risikostrategie festgelegt werden, die die risikopolitischen Ziele regelt. Dabei wird festgelegt, ob die Organisation risikofreudig oder risikoscheu ist und wie die optimale Risikostruktur auf der operativen Ebene aussieht. Zusätzlich definiert sie Kompetenzen, Verantwortlichkeiten und Zuständigkeiten für den gesamten Risikomanagementprozess und legt Grenzwerte für die Indikatoren fest (Robert Denk & Exner-Merkelt, 2005, S. 117f). In der Risikostrategie sollte auch ein risikopolitischer Leitsatz definiert werden, der die Risikopolitik auf den Punkt bringt. Nach der Festlegung des organisationalen Rahmens, der Vision, der Mission und der Strategie werden (Müller, 2010, S. 64):

- die Anforderungen der Stakeholder (Mitarbeiter, Kunden, weitere Anteilsgruppen) ermittelt und festgelegt.
- Externe Anforderungen wie Gesetze, Vorschriften, Richtlinien, Normen, Standards
- Risikoziele, also die Bedeutung des Themas Risiko in der Organisation
- die Bereitstellung der notwendigen Mittel durch das Management
- Szenarien für Notfall- und Krisenvorsorgeplanung
- Vorgehensmodelle
- übergreifende Prinzipien (z.B. Vier Augenprinzip, „aufgeräumter“ Arbeitsplatz)
- Festlegung der Rollen von Beteiligten, deren Aufgaben und Verantwortlichkeiten
- Festlegung der internen und externen Risikokommunikation
- Festlegung von Schulungen (Inhalte, Intervalle)
- Festlegung von Evaluierungs-, Aktualisierungsintervallen und –inhalten
- Festlegung der Risikodokumentation
- Commitment zur Transparenz, Durchgängigkeit, Systematik und Einhaltung auf Mitarbeiter- und Geschäftsführungsebene

Diese Inhalte werden idealerweise gemeinsam mit Vertretern des Managements und der Mitarbeiter erarbeitet, festgeschrieben und für alle Beteiligten zugänglich gemacht. Mit Hilfe dieser Risikostrategie wird eine Risikokultur und das Risikobewusstsein in der Organisation und bei den Mitarbeitern geschaffen und konkrete Richtlinien für den Umgang mit Richtlinien festgelegt (Vanini, 2012, S. 43).

3.3.2 Risikokultur

Unter Kultur versteht man die Regeln und Überzeugungen einer Gruppe, die das Zusammenleben nach innen und außen regeln. Bei Unternehmungen prägt die Unternehmensidentität das Verhalten des Topmanagements, diese wiederum prägen die Unternehmensidentität durch ihre Einstellung und Werthaltungen (Herbek, 2010, S. 160f). Es muss überprüft werden, in wie weit die bestehende Organisationskultur mit der zukünftigen Organisationsstrategie im Einklang steht (Thommen & Achleitner, 2012, S. 983) bzw. wo Veränderungen notwendig sind. Da die Veränderung der Unternehmenskultur ein langsam wirkender Prozess ist, sind hier besondere Maßnahmen im Bereich der laufenden Kommunikation der neuen, nun geltenden Werte und Normen einzuplanen. Die Risikokultur umfasst die Einstellung zu Organisationsrisiken und die gelebte Risikobereitschaft und das Risikoverhalten der Führungskräfte. Legt man in der Führung den Focus auf ein risikobewusstes Verhalten aller Mitarbeiter, kann eine positive Risikokultur entwickelt werden. Dazu gehören die Festlegung von Regeln, zum Beispiel, wie der Prozess der Entscheidungsfindung im Unternehmen abläuft und die Verankerung der Risikokultur im Unternehmensleitbild und in wichtigen Leitungsprozessen (Vanini, 2012, S. 42). In Organisationen können zwei Hauptaspekte bei ihren Risikokulturen beobachtet werden (Thommen & Achleitner, 2012, S. 955):

- Der Risikograd – wie werden unternehmerische Entscheidungen getroffen und Aufgaben bewältigt
- Die Geschwindigkeit des Feedbacks – wie schnell erfolgt Rückmeldung über Erfolg oder Misserfolg der getroffenen Entscheidungen

Auf dieser Basis entwickelten Deal & Kennedy 1982 eine Matrix der Kulturtypen (Thommen & Achleitner, 2012, S. 955f):

In „Macho“ Kulturen werden große Risiken eingegangen. Große Ideen und Draufgängertum erzielen große Erfolge mit überschwänglichen Feiern, aber auch große Misserfolge mit persönlichen Abstürzen (Werbeagenturen, Designer usw.).

Die „Brot- und Spiele“ Kulturen sind durch geringe Risiken und schnelle Informationsrückflüsse über Erfolg und Misserfolg gekennzeichnet, wobei die Erfolge gefeiert werden (Verkäufer im Autohandel, Verkaufsabteilungen.)

In „Risikokulturen“ werden Entscheidungen großen Ausmaßes getroffen, der Erfolg oder Misserfolg wird jedoch erst nach einigen Jahren sichtbar (Großmaschinenindustrie, Forschung- und Entwicklungsabteilungen). Typisch sind regelmäßige Sitzungen mit Sitz- und Redeordnungen.

In „Prozess“ Kulturen bestehen kleine Risiken, die Information über Erfolg oder Misserfolg wird jedoch nur langsam transportiert. Der Prozess und Hierarchien stehen im Vordergrund, die Mitarbeiter versuchen sich gegen Vorwürfe abzusichern (öffentliche Verwaltung, Elektrizitätswerke).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Kulturtypen nach Deal/ Kennedy (Thommen & Achleitner, 2012, S. 955)

Wenn die Organisation ihre Risiken identifiziert, die Risikoverantwortung zugeteilt, die Steuerung und Überwachung der Risiken zugewiesen, das Berichtswesen etabliert hat, ist das organisationsweite Risikomanagement installiert. Die Verantwortung für die Risikokultur trägt das Management. Für eine positive Risikokultur sollten (Denk & Exner-Merkelt, 2005, S. 234f):

- das Personalmanagement ins Risikomanagement integriert werden, d.h. Stellenbeschreibungen den Risikoaspekt betonen.
- eine Risikofokussierung auf einzelne Teilbereiche der Organisation gelegt werden, gleichzeitig jedoch auch die Gesamtorganisation nicht außer Acht gelassen werden.
- durch den laufenden Umgang mit dem Thema Risiko bei den Mitarbeitern eine sich wandelnde und gelebte Risikokultur entwickelt werden.

Der Aufbau und die Verankerung der Risikokultur im Unternehmen ist ein permanenter Prozess, der nicht als abgeschlossen betrachtet werden darf. Auf Führungsebene muss klar sein, welche Risiko-Strategie generell verfolgt werden soll, Dann sind konkrete Handlungsanweisungen und Prozesse notwendig, um im Laufe der Zeit ein Risikobewusstsein bei allen Mitarbeitern auszubilden. Dazu gehören Mitarbeitertrainings zu risikorelevanten Themen, aber auch die Entwicklung deren Fähigkeit zum gesamtheitlichen, interdisziplinären Denken und Handeln (Erben & Romeike, 2005, S. 2f).

3.3.3 Risikoorganisation

Die Organisationsstruktur muss zur Organisationstrategie passen. Innovationsorientierte Organisationen weisen oftmals flexible Organisationsstrukturen auf (Thommen & Achleitner, 2012, S. 986). Darauf muss auch bei der Entwicklung der Risikoorganisation Rücksicht genommen werden. Bei der Entwicklung der Risikoorganisation wird eine Risikoablauf- und –aufbauorganisation geschaffen, d.h. die Verantwortung für einzelne Aufgaben des Risikomanagements werden Personen oder Organisationseinheiten zugewiesen. Dazu muss der Aufgabenumfang definiert und entschieden werden, ob eine zentrale oder dezentrale Risikoorganisation und Aufgabenerfüllung zweckmäßiger ist und wo das Risikomanagement in der Organisationshierarchie eingeordnet werden soll (Vanini, 2012, S. 43). Es sind unterschiedliche Organisationsformen des Risikomanagements möglich (Denk & Exner-Merkelt, 2005, S. 216ff):

- Das Risikomanagement als Stabstelle

Vorteile: Nähe zur Geschäftsführung, gute Durchsetzungsfähigkeit, allerdings nur informell, Identifikation der Geschäftsführung mit dem Risikomanagement, Möglichkeit zur Schaffung von Verständnis für das Risikomanagement im Management, gute Einbindung in Entscheidungen des Managements, Neutralität zu den Linien, direkter Informationsfluss von der Führung ans Risikomanagement, gesamtheitliche Sicht auf die Organisation, Spezialisierung auf Risikomanagementaufgaben

Nachteile: weniger durchsetzungsfähig als eine Linienfunktion, Anforderungen an Controlling, Buchhaltung usw. sind schwer durchsetzbar, andere Risikomanagement-nahe Funktionen, wie z.B. die kaufmännischen Funktionen agieren separat ohne Abstimmung mit dem Risikomanagement, Gefahr der Isolation der Stabstelle

[...]