Schnelligkeit schlägt Struktur

Risiko-Manager dürfen Regeln brechen

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Risk-Manager dürfen sich im Zweifelsfall direkt an den richtigen Ansprechpartner wenden, selbst wenn sie dabei formale Kommunikationsregeln brechen. Wie eine gute Risiko-Kultur aussieht, erklären die Berater von McKinsey.
Cindy Levy, McKinsey-Partner aus London, und ihre US-amerikanische Kollegin Alexis Krivkovich sprechen sich für eine offene Risk-Kultur aus.
Cindy Levy, McKinsey-Partner aus London, und ihre US-amerikanische Kollegin Alexis Krivkovich sprechen sich für eine offene Risk-Kultur aus.
Foto: McKinsey

Die Risiko-Anfälligkeit eines Unternehmens steht und fällt mit den Menschen. Die US-Amerikanerin Alexis Krivkovich und die Britin Cindy Levy, beide Analystinnen beim Consultant McKinsey, haben 30 global tätige Unternehmen intensiv zu diesem Thema beraten. Ihre Erkenntnisse daraus fassen sie in dem Papier "Managing the people side of risk" zusammen.

Wichtigster Punkt: Geschwindigkeit hat Vorrang. Wenn Situationen riskant werden, muss sich der Risk-Manager sofort mit den Experten zusammensetzen, die er für die richtigen hält. Ob diese nun formal Mitglieder im Risiko-Team sind oder nicht, ob eigentlich erst ihre Vorgesetzten hätten gefragt werden müssen - das darf im Zweifelsfall keine Rolle spielen.

Dieser Rat klingt paradox, denn gleichzeitig plädieren Krivkovich und Levy für klar strukturierte Rollen und Prozesse. An der Bedeutung von Governance und Policies wollen die Analystinnen auch gar nicht rütteln. Ihnen geht es um die Handlungsfähigkeit eines Unternehmens im Notfall.

Die Autorinnen des Papiers sprechen von einer "effektiven Risiko-Kultur". Diese scheint mit einer grundsätzlichen Einstellung gegenüber Neuem zusammenzuhängen. Unternehmen mit effektiver Risiko-Kultur sind typischerweise Neuem gegenüber aufgeschlossen. Oft leisten sie sich Executive Peers, die Trends beobachten und viel in der Branche unterwegs sind. Dadurch greifen sie neue Entwicklungen früh auf, so dass das Unternehmen auch neue Risiken schnell erkennt.

Ihnen stehen Firmen gegenüber, die vor allem eins wollen: Risiken vermeiden. Typischerweise wehren sie Neuerungen ab und reagieren erst, wenn sie nicht mehr anders können. In solchen Unternehmen wird Negatives gern verschwiegen, beobachten Krivkovich und Levy.

Jedes Gespräch beginnt mit der Sicherheitsfrage

Die Analystinnen sprechen sich für eine offene Kultur aus, in der Sicherheits- und Risiko-Themen Priorität erhalten. Als positives Beispiel nennen sie einen weltweit operierenden Öl-Konzern. Dort sei es Standard, dass Führungskräfte jedes Meeting und sogar jedes Gespräch mit der Frage beginnen, ob in puncto Sicherheit irgendetwas aufgefallen ist. Solch ein Vorgehen schafft bei den Mitarbeitern Bewusstsein.

Nicht ganz so konsequent, aber vergleichbar ging ein Energie-Dienstleister vor, der erstmals in einem Entwicklungsland operierte. Die Angestellten wussten um den hohen Stellenwert von Risiko-Management und wiesen die Firmenleitung aus eigenem Antrieb auf Unstimmigkeiten in Zuliefererverträgen des Vertragspartners hin.

Die Bedenken gelangten bis in die oberste Unternehmensspitze. Die entschied, mit anderen Vertragspartnern zu arbeiten. Die firmeneigenen Safety- und Risk-Vorgaben wurden dadurch gewahrt und die Mitarbeiter sahen, welch hohen Stellenwert ihren Einwänden eingeräumt wurde.

Manchmal entstehen Risiken auch durch zu viel internen Wettbewerb. Die Autorinnen des Papiers berichten von einem Pharma-Konzern, der seine Entwicklungsteams gegeneinander antreten lässt. Risiko-Management hat dort eine hohe Bedeutung - eigentlich. Wegen des Wettbewerbgedankens kam es aber einige Male vor, dass Entwickler Risiken verschleierten. Das taten sie, indem sie Risiko-Kategorien und -Definitionen erfanden, die kein Mensch mehr begriff.

Krivkovich und Levy sehen die Hauptverantwortung für Sicherheit und Risiko beim CEO und dem CFO (Chief Financial Officer) eines Unternehmens. Sie müssen zunächst einen Konsens unter allen Führungskräften herstellen. Dann müssen sie dafür sorgen, dass die jeweiligen Unit-COOs (Chief Operating Officer) die Verantwortung für ihren Bereich übernehmen.

Das Risk Committee als Dauerbaustelle

Jedes Unternehmen braucht ein Risk Committee. Wer diesem angehört, und über welchen Zeitraum hinweg, das hängt von der Entwicklung des Unternehmens ab. Ein solches Committee ist nie statisch. Genau so wenig die Richtlinien und Policies, die es entwickelt.

Zur Startseite