Die eigenen unternehmerischen Ziele erreichen – ein Risiko, das jede Unternehmerin und jeder Unternehmer eingehen muss. Die Fähigkeit mit dem richtigen Umgang von Risiken ist ein mühevoller Weg. Frank Herdmann, Managing Partner von Auxilium Management Service, Berlin sprach mit SHE works! über Risikomanagement.

Herr Herdmann, Sie haben die aktuelle Fassung der ISO-Norm für Risikomanagement mitentwickelt. Warum braucht es eine Norm in diesem Bereich?

Risikomanagement ist ein Schlagwort, das seit den Krisen am Ende des letzten Jahrhunderts in aller Munde ist, aber nicht von jedem verstanden wird bzw. von jedem anders verstanden wird. Auch die gesetzlichen Regeln dazu (KonTraG, BilReg und BilMog) helfen nur begrenzt weiter, weil sie mit offenen Rechtsbegriffen arbeiten. Um diese Lücke zu decken, wurden weltweit Normen mit Leitlinien (oder auch Anforderungen) für das Risikomanagement entwickelt und die Normenschreiber in den einzelnen Ländern wetteifern, wer denn nun das bedeutendste oder global anzuwendende Dokument zur Verfügung stellt.

Aufgrund der schieren Wirtschaftsmacht war das lange COSO ERM (2004) aus den Vereinigten Staaten, ein Dokument, das aufgrund seiner Komplexität und Länge aber kaum lesbar war. Vor diesem Hintergrund wurde von der ISO (International Organization for Standardization) bereits früh an einer internationalen Norm gearbeitet und die ISO 31000 im November 2009 mit dem Ziel der Harmonisierung veröffentlicht. Das ist weitgehend gelungen – die Norm wurde in mehr als 60 Staaten (nicht aber in Deutschland) als nationale Norm übernommen und von der OECD als der »World Standard on Risk« bezeichnet. Im Rahmen der 2013 eingeleiteten Revision war es unser Interesse, die Norm so zu verbessern, dass wir sie auch in Deutschland übernehmen konnten – das ist mit der ISO 31000:2018 gelungen.

Der Begriff Risiko ist im deutschen Sprachgebrauch eher negativ besetzt. Zurecht?

Nicht nur in Deutschland tut man sich mit dem janusköpfigen Risikobegriff der ISO 31000 schwer. Im allgemeinen Sprachgebrauch wird eher das Wortpaar Chancen und Risiken gebraucht, als dass Risiko auch mit einer positiven Konnotation – die Norm kennt sowohl positive oder negative Abweichungen von der Erwartung – verstanden wird. Für bestimmte Bereiche (z.B. bei Produktrisiken für die Gesundheit oder die Umwelt oder bei Sicherheitsrisiken) wird es (auch von den Experten bei der ISO) kategorisch abgelehnt, über positive Auswirkungen von Risiken auch nur nachzudenken und im Bereich der Managementnormen das Wortpaar »risks and opportunities« verwendet.

Darauf kommt es aber meines Erachtens nicht an. Auch mit der dualen Definition der ISO 31000 steht es jedermann frei, sich nur auf die negative Seite zu konzentrieren, denn die Norm ist insoweit offen. Im Übrigen muss natürlich jede Unternehmerin / jeder Unternehmer sich auch immer mit den Chancen befassen, will er erfolgreich sein. Und strukturell bietet es sich an, das im gleichen Atemzug mit den negativen Aspekten der Risiken zu machen, denn es geht bei beiden Themen um Prognosen – zumeist im Zusammenhang mit Entscheidungsfindung.

Wie viel Risikobereitschaft braucht eine Unternehmerin/ein Unternehmer, um das eigene Unternehmen erfolgreich zu führen?

Diese Frage muss jede Unternehmerin / jeder Unternehmer für sein Unternehmen selbst entscheiden. Den Umfang und die Art des Risikos festzulegen, das eine Organisation in Bezug auf ihre Ziele eingehen darf oder nicht, ist ein wichtiger Arbeitsschritt im Risikomanagement. Es richtet sich nach dem externen und internen Umfeld der Organisation. Von der Norm wird in ihren Grundsätzen empfohlen, Risikomanagement maßzuschneidern. Diese Vorgabe ist ein großer Vorteil der ISO 31000, denn es macht sie gleichermaßen anwendbar auf sehr große und sehr kleine Unternehmen.

In der Praxis werden die Begriffe „Risikomanager“ und „Risikoeigner“ verwendet. Wo liegt der Unterschied?

Hier treffen vermutlich unterschiedliche Denkweisen aufeinander. Es soll ja Manager geben, die glauben, sie könnten Risiken managen. Ich meine, es ist schon viel gewonnen, wenn bei einem funktionierenden Risikomanagement die Risiken ordnungsgemäß behandelt werden und nicht die Unternehmen managen.

Die ISO 31000 kennt folgerichtig den Risikomanager nicht, sondern nur den Risikoeigner (die Person oder Einheit, die für den Umgang mit dem Risiko autorisiert und rechenschaftspflichtig ist) und das ist der Prozesseigner, der die Verantwortung für den spezifischen Teil der Organisation und ihre Prozesse trägt..

Ihrer Definition nach sollte jeder Mitarbeiter Risikoeigner für seinen Bereich sein. Wie vermitteln Sie den Mitarbeitern diese Verantwortlichkeit?

Nun, zunächst muss man sich vergegenwärtigen, dass Risikomanagement intuitiv schon immer erfolgt ist: die Menschheit ist über die Zeiten erfolgreich gewesen und hat überlebt, weil sie die Fähigkeit zum Umgang mit Risiken erworben hat. Die Entscheidung wegzulaufen oder einen Angreifer zu bekämpfen, setzt eine Risikobewertung und damit Risikomanagement voraus. Aus der Komplexität und den Irrungen und Wirrungen des modernen Wirtschaftslebens heraus wurde die Formalisierung des Risikomanagements geboren – aber es ist und bleibt zum größten Teil schlicht »Common Sense«.

Ein gar nicht so untypisches Beispiel mag die Reinigungskraft sein, wenn sie bei starken Verschmutzungen eine Kombination von Reinigungsmitteln verwenden will, sollte sie sich fragen, ob sie sicher sein kann, dass diese sich vertragen und keine giftigen Dämpfe aus der Kombination entstehen. Das ist gelebtes Risikomanagement.

Risikomanagement klingt nach großen Betrieben. Sie haben aber ein Buch „Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000“ – erschienen 2018 im Beuth Verlag geschrieben. Welche drei Schritte sind das?

Das Handbuch soll einen schnellen ersten Zugang zum Risikomanagement insbesondere für kleinere und mittelgroße Unternehmen ermöglichen. Für die ersten Schritte ist noch kein detaillierter Ratgeber erforderlich – aber die ersten Schritte sind erforderlich, wenn es noch kein Risikomanagement gibt oder wenn das Risikomanagement veraltet ist und seinen Schwerpunkt ausschließlich in einer die Vergangenheit abbildende Datensammlung hat.

Die drei Schritte sind (1) Etablierung des Rahmens, (2) Etablierung des Prozesses und (3 Implementierung und Ausführung des Prozesses. Wie diese drei Schritte möglichst ohne umfangreiche zusätzliche Belastungen bewältigt werden können, ist in dem Handbuch erläutert.

Wie können kleine und mittelständische Unternehmer mit einer dünnen Personaldecke effizient agieren und ein angepasstes Risikomanagement implementieren?

Die Etablierung des Risikomanagement-Prozesses und seine Integration bedeutet, ihn an die Geschäftsprozesse anzupassen und anzudocken. Dann kann er zusammen mit diesen implementiert werden, ohne dass ein gesonderter Aufwand erforderlich wird. Und auch die Ausführung gehört zum Tagesgeschäft. Man kann sich den Kernprozess als Schleife mit den vier Elementen Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobehandlung vorstellen. Die Integration in den Geschäftsprozess kann als dessen Erweiterung um diese Schleife verstanden werden, was ohne großen Aufwand im Rahmen der Prozessmodellierung erfolgen sollte.

Welche Kontrollmechanismen empfehlen Sie Unternehmen, um zu überprüfen, ob das Management auch entsprechend greift?

Zunächst einmal sollten die allgemeinen Kontrollmechanismen des Vier-Augen-Prinzips greifen. Bei guter und verantwortungsvoller Unternehmensführung (siehe Deutscher Corporate Governance Kodex) wird das Unternehmen zusätzlich eine Interne Revision haben, und da das Risikomanagement ein Teil der Geschäftsprozesse ist, wird es automatisch zusammen mit diesen auf den Prüfstein gestellt. Auch die ISO 31000 empfiehlt Überwachung und Überprüfung sowie Aufzeichnungen und Berichterstattung, damit alle Schritte des Risikomanagements nachvollziehbar sind.

Hierbei ist aber zu bedenken, dass mitunter weniger mehr ist und eine zu differenzierte Berichterstattung zu Verwirrung und falschem Sicherheitsgefühl führen können. Wer keine eigenen Mitarbeiter für die Interne Revision hat, ist gut beraten, diese Dienstleistung für das Kerngeschäft extern einzukaufen. Auch der Abschlussprüfer wird den Jahresabschluss nur testieren können, wenn er einen Blick auf das Risikomanagement geworfen hat. Eine gesonderte Zertifizierung ist nach der ISO 31000 auch in der Neufassung nicht vorgesehen – sie beinhaltet nur Leitlinien aber keine Prüfungsanforderungen.

Vielen Dank für das Gespräch!

Buchempfehlung: Frank Herdmann – Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000

Herausgeber: DIN