Wenige Ereignisse der jüngeren Vergangenheit haben die Risikoposition von Unternehmen so sehr berührt wie die Covid-19-Pandemie. Sie hat die Defizite vieler Lieferketten sichtbar gemacht. Lieferanten fielen aus – durch Werkstilllegungen oder Quarantäne – und konnten zum Teil nicht durch andere Anbieter ersetzt werden. Lieferengpässe und Zahlungsausfälle durch krisenbedingte Insolvenzen bedrohten Existenzen.
Auch das zwangsweise veränderte Konsumverhalten beeinflusst die Geschäftsmodelle von Unternehmen– mit noch schwer abschätzbaren Folgen. So ist heute völlig unklar, welche langfristigen Effekte die Krise auf Reiseveranstalter, Hotels, Gastronomie, die Öl- oder auch die Luftfahrtindustrie haben wird.
Interne Kontrollsysteme müssen sich zudem mit neuen Risiken beschäftigen, weil das Arbeiten im Homeoffice Abläufe verändert. Und weil die Krise uns gelehrt hat, dass der Automatisierungsgrad der deutschen Corporate Governance nicht ausreicht, um die Abhängigkeit von der Ressource Mensch zu kompensieren.
Risiken besser antizipieren
Die skizzierten Folgen der Pandemie zwingen Unternehmen dazu, sich mit strategischen Risiken auseinanderzusetzen, die sie bisher nicht oder nur unzureichend auf dem Radar hatten – und deren Wirkungen sich gerade erst abzeichnen. Dabei gilt, was einst der britische Ex-Premier Sir Winston Churchill sagte: „Never waste a good crisis“. Frei übersetzt: Lasst uns aus dieser Krise die richtigen Lehren ziehen, damit wir die nächste besser bewältigen können.
Eine dieser Lehren ist, Risiken besser zu antizipieren, ihre Wirkungen früher einzuplanen – und idealerweise aktiv zu steuern. Leichter gesagt als getan ist das deshalb, weil wichtige Komponenten meist in unterschiedlichen Unternehmensbereichen angesiedelt sind. Operative und strategische Risiken bewertet und steuert meist das Risikomanagement (Enterprise Risk Management), rechtliche Risiken das Compliance Management. Mit Nachhaltigkeitsrisiken beschäftigt sich häufig die Sustainability-Abteilung, mit Prozessrisiken das interne Kontrollsystem.
Gegenseitige Abhängigkeiten im Blick behalten
Zu den offenkundigen Effizienznachteilen einer solchen Struktur gesellt sich – spätestens seit Einführung des neuen Prüfungsstandards 340 des Instituts der Deutschen Wirtschaftsprüfer zur Prüfung von Risikofrüherkennungssystemen – auch ein Effektivitätsproblem. Denn der neue Standard besagt, dass gegenseitige Abhängigkeiten von Risiken bei deren Bewertung zu berücksichtigen sind. Schließlich können die Folgen eines Risikos bei isolierter Betrachtung unwesentlich sein, aber im Zusammenspiel mit anderen im Extremfall eine potenzierende Wirkung entfalten, die den Bestand des Unternehmens gefährdet.
Was es also braucht, ist eine geschlossene systemische Betrachtung sämtlicher Risiken. Stellt sich die Frage, wie das gelingen kann, wenn für ihre Identifizierung, Bewertung und Steuerung unterschiedliche Fachbereiche, operative Einheiten oder Governance-Teilsysteme zuständig sind.
Das Umfeld wird nicht risikoärmer
Kurzfristig lässt sich dieser Zersplitterung durch Governance Commitees entgegenwirken, die dabei helfen, Interdependenzen zu erkennen. Mittel- und langfristig dagegen kann die Lösung nur in einer integrierten Risikoorganisation liegen, die sich strukturiert und ganzheitlich des Themas annimmt.
Und dabei geht es keineswegs nur darum, regulatorische Vorgaben zu erfüllen. Sondern es geht um das sichere Fortführen der eigenen Geschäftstätigkeit in einem Umfeld, das in den kommenden Jahren nicht risikoärmer wird.
