Das Buch „Allein auf stürmischer See: Risikomanagement für Einsteiger“ von Roland Erben und Frank Romeike bietet weitere Blickwinkel auf alltägliche Entwicklungen und Wahrnehmungen und helfen hoffentlich, diese besser zu verstehen bzw. einordnen zu können. Beide Autoren sind als Unternehmensberater tätig und haben in den letzten Jahren viele namhafte Unternehmen bei der Einführung ganzheitlicher Chancen- und Risikomanagementsysteme unterstützt. Hier einige Zitate aus dem Buch:
Deutlich wurde bei der Ansammlung an Regularien und Vorschriften aber auch vor allem, dass eine hundertprozentige Regelkonformität – heute gerne als Compliance bezeichnet – in einem globalen Kontext überhaupt nicht möglich ist, da sich Regularien widersprechen und Rechtssysteme (Civil Law bzw. Römisch-germanischer Rechtskreis, Common Law bzw. anglo-amerikanischer Rechtskreis sowie chinesischer und islamischer Rechtskreis) nur schwer vergleichbar sind. S. 17. [vgl. Die Metamorphose der Welt von Ulrich Beck]
In der Folge entwickelten sich die Risikomanagementabteilungen in vielen Unternehmen zu dem, was die Systemtheoretiker (also die Leute, die strukturelle bzw. funktionale Eigenschaften natürlicher, sozialer und technischer Systeme untersuchen) sehr treffend als „Black Box“ bezeichnen. S. 19.
Ganz allgemein findet man in der Praxis zwei sehr unterschiedliche Philosophien: Die einen blicken in die Vergangenheit und prognostizieren auf dieser Basis künftige Entwicklungen. In der Sprache des Risikomanagements betreiben sie eine reine „Risikobuchhaltung“. Die anderen richten ihren Blick nach vorn und schauen in die Zukunft. Sie versuchen, aussagekräftige Frühindikatoren oder Stressszenarien zu finden. Sie sind offen für neue Methoden, beispielsweise Szenarioanalysen oder Simulationen.S. 36.
Die Zukunft ist ungewiss und lässt sich nicht mit einem Blick in den Rückspiegel erkennen. Kein Bauer käme auf die Idee, aus der Ernte des Vorjahres auf die Ernte des kommenden Jahres zu schließen. S. 38.
Die allermeisten mathematischen Modelle, auf denen das traditionelle, reaktive Risikomanagement basiert, unterstellen eine bekannte, eindeutige und konstante Beziehung zwischen einer Ursache X und ihrer Wirkung Y: Wenn X vorliegt, dann passiert Y. Jedes Mal. Und es passiert immer ganz genau Y – und nicht etwa y oder Y. Die Realität sieht heute aber ganz anderes aus: Abstrakt gesprochen sind Unternehmen offene und hochgradig komplexe sozioökonomische Systeme. S. 41. [siehe komplexe Systeme]
Auch unser (vermeintliches) Wissen über Risiken hängt von unserer ganz individuellen und damit höchst unterschiedlichen Risikowahrnehmung ab und ist damit letztlich Vorgang und Ergebnis einer hochkomplizierten Reizverarbeitung. S. 46.
Wir nehmen Risiken nur aus einer bestimmten Perspektive war, anstatt auch einmal über den Tellerrand hinauszuschauen. S. 48.
Die Erfahrungen unserer Urururururururururururururgroßväter bestimmen auch noch heute unser Verhalten: In komplexen Informationsgeflechten filtern wir häufig nur diejenigen Informationen heraus, die analytisch gerade noch erfassbar sind und/oder die wir unbedingt benötigen, um den nächsten Schritt zu tun. Eine derartige Brandrodung des Informationsdickichts schafft – oberflächlich betrachtet – vielleicht ein gewisses Maß an Transparenz und ermöglicht damit auch schnelle Entscheidungen. Der Nobelpreisträger Daniel Kahneman nennt dieses „schnelle Denken“ System 1 (schnell, automatisch, immer aktiv, emotional, stereotypisierend, unbewusst). Möglicherweise greift System 1 so oft ein, weil es nicht abgeschaltet werden kann. Es ist angeboren und tief in unserem Inneren verankert und arbeitet schnell und mühelos. Viele – häufig auch sehr wichtige – Dimensionen des Risikos werden allerdings schlichtweg ignoriert. Risiko wird reduziert auf die Auswahl von Parametern der Gaußschen Normalverteilung oder einer anderen theoretischen Verteilungsfunktion. Daher existiert in der Welt des Psychologen Kahneman auch noch System 2. Es muss situativ eingeschaltet werden und arbeitet langsam und angestrengt. Vor allem kostet es uns viel Energie. Dieses rationale System 2 ist langsam, anstrengend, selten aktiv, logisch, berechnend und bewusst. Und die Herausforderung ist recht schnell beschrieben: Menschen und unsere Gehirne sind faul. Unsere Körper will permanent Energie sparen und liefert uns deshalb oft Informationen und Lösungen aus System 1. System 1 überrumpelt permanent das 2. Denksystem. In komplexen Entscheidungssituationen ist aber dummerweise System 1 recht schnell überfordert und schickt uns in die falsche Richtung. S. 49.
Die Annahme, bei einer größeren Gruppe von Menschen würden sich die – isoliert betrachtet – irrationalen Verhaltensweisen gegenseitig aufheben, sodass im Endeffekt doch wieder ein halbwegs rationales Verhalten entsteht, ist schlichtweg falsch. Risikowahrnehmung ist nicht nur ein individuelles, sondern ein kollektives Phänomen. Unmittelbar ins Auge springende, sensationelle Risiken werden im Allgemeinen überbewertet, während eher alltägliche Risiken meist unterbewertet werden. Menschen halten vor allem diejenigen Ereignisse für wichtig und wahrscheinlich, die auch in ihrer eigenen Vorstellung und Erfahrungswelt eine große Rolle spielen. S. 50.
Anders ausgedrückt sterben in Deutschland täglich mehr als 300 Raucher an den Folgen ihrer Nikotinsucht, was in etwas gleichbedeutend ist mit dem Absturz eines fast vollbesetzten Jumbos. Dieses tagtägliche Massensterben wird jedoch völlig anders wahrgenommen als etwa der Absturz einer Boeing 747. Da die Medienberichterstattung über Risiken in keiner Form mit dem tatsächlichen Risikoausmaß korreliert, ist die Risikowahrnehmung in der Bevölkerung allgemein verzerrt. S. 51.
Auch in Europa ist in den vergangen Jahren die Angst vor beispielsweise Terroranschlägen massiv gestiegen. Jedoch ist die Wahrscheinlichkeit, in Europa tatsächlich selbst von einem Terroranschlag betroffen zu sein, „extrem gering“. Das Risiko, an einer Pflanzenvergiftung zu sterben, ist in jedem Fall höher. Risiken, von denen man glaubt, man könne sie selbst beeinflussen, werden insgesamt tendenziell unterschätzt. Risiken, über die man keinerlei Kontrolle zu haben scheint, dementsprechend überschätzt. S. 52.
Objektiv betrachtet, leben wir heute – zumindest in Westeuropa – in der wohl risikolosesten Epoche, die es je gab. Folgerichtig waren die Lebenserwartung noch nie so hoch und die Kindersterblichkeit noch nie so niedrig wie heute. S. 53f.
Fehlentwicklungen wurden nicht dadurch korrigiert, dass entsprechende Gegenmaßnahmen eingeleitet wurden – im Gegenteil: In der trügerischen Hoffnung alles wieder irgendwie geradebiegen zu können, wurde das Rad immer weiter gedreht, bis am Ende schließlich der totale Zusammenbruch eintrat. S. 60.
Ein Schläger und ein Ball kosten zusammen 1,10 Euro. Der Schläger kostet einen Euro mehr als der Ball. Wie viel kostet der Ball? Wenn Sie zu dem Ergebnis gekommen sind, dass der Ball 10 Cent koste, dann befinden Sie sich in guter Gesellschaft und sind auf System 1 hereingefallen. System 2 kann das sehr leicht beweisen: Wenn der Ball 10 Cent kostet und der Schläger einen Euro mehr, dann kostet der Schläger 1,10 Euro. und beides zusammen 1,20 Euro. Die Antwort muss lauten: Der Ball kostet 5 Cent, der Schläger einen Euro mehr, also 1,05 Euro und beides zusammen dann 1,10 Euro. S. 64.
Im täglichen Leben werden viele Risiken durch falsche oder mangelhafte Kommunikation verschärft oder kommen durch Kommunikationsprobleme überhaupt erst zustande. S. 78.
Nach aktuellen Studien erreichen innerhalb komplexer Organisationsstrukturen – ein Kriterium, das die allermeisten Unternehmen heute locker erfüllen dürften – lediglich 20 Prozent der ursprünglichen Information die fünfte Hierarchieebene. Wenn aber 80 Prozent aller Informationen unterwegs versichern, wie soll dann der viel zitierte „Mitarbeiter vor Ort“ die Strategie verstehen und umsetzen? S. 78.
Indem das komplette Wissen der Experten „in einen Topf“ geworfen wird, werden Risiken aus den unterschiedlichsten Perspektiven betrachtet und können damit viel schneller erkannt und viel professioneller gesteuert werden. S. 79.
Risiken sind Konstrukte, die sich jeder aus anderen Bausteinen und auf andere Art und Weise zusammenbastelt. Die Kommunikation und der Informationsaustausch innerhalb des Risikokomitees bei Sugar tragen entscheidend dazu bei, dass jedes Crewmitglied die Risikosituation auch mal durch die Brille des anderen betrachtet und sich ein gemeinsames Risikoverständnis innerhalb der ganzen Mannschaft herausbilden kann. Auf diese Weise entwickelt sich jeder an Bord zu einem „kleinen Risikomanager“. Kommunikation findet dabei zum einen zwischen den einzelnen Mitarbeitern statt (horizontale Kommunikation) und wird dann auch an den „Manager“ weitergegeben (vertikale Kommunikation). Solche vertikalen und horizontalen Kommunikationsstrukturen tragen entscheidend dazu bei, die sogenannte Silomentalität zu vermeiden. S. 80.
Wer nicht selbst kommuniziert, für den wird kommuniziert. Und was dann kommuniziert wird, entzieht sich weitgehend der Einflussnahme des Unternehmens und fällt in aller Regel wesentlich negativer aus, als es objektiv gerechtfertigt wäre. Um derartige Desaster zu verhindern, kann jedem Unternehmen nur geraten werden, die eigenen Risiken möglichst schnell und umfassend zu kommunizieren. Außerdem kann es sicher nicht schaden, in „guten“ Zeiten ein entsprechendes Vertrauenspolster aufzubauen, von dem man dann in „schlechten“ Zeiten zehren kann. S. 83.
Genau so riskant wie unzureichende Kommunikation kann im Krisenfall jedoch auch übermäßige Kommunikation sein. S. 85.
Der Untergang der Titanic ist somit auch ein gutes Beispiel für zwei weitere große Missverständnisse des Risikomanagements: Zum einen sollten Erfahrungen der Vergangenheit nicht unreflektiert in die Zukunft übertragen werden (aus der Tatsache, dass ich 90 Jahre lang nicht gestorben bin, sollte ich nicht den Schluss ziehen, dass ich wahrscheinlich nie sterben werde). Zum anderen bedeutet die Einhaltung mit Sicherheitsvorschriften nicht, dass ich auch wirklich sicher bin, In vielen Bereichen definieren staatliche Regularien nämlich nur ein Mindestniveau. S. 88.
Einerseits werden Millionenbeträge in den Aufbau von Fallback-Systemen installiert und (nicht zuletzt auf externen Druck der Behörden) ausgefeilte Notfallpläne entworfen, andererseits hält man es nicht für nötig zu überprüfen,ob diese Konzepte dann auch tatsächlich funktionieren. S. 90.
Anstatt der geplanten zweieinhalb Stunden Wiederherstellungszeit benötigte die Bank schließlich fast sechs Stunden, um ihre kritischen Geschäftsprozesse wieder zum Laufen zu bringen. Ohne Notfallübung unter realistischen Bedingungen wäre der Fehler wohl erst im Ernstfall (und damit viel zu spät) entdeckt worden. S. 90f.
Trotz der Vorteile, die eine autokratische Kommandostruktur in kritischen Situationen bietet, birg sie natürlich auch erhebliche Risiken: Wenn alles nur an einem hängt, können dessen Fehler verheerende Auswirkungen haben. S. 103.
Allerdings machen viele Unternehmenskapitäne den Fehler und vergessen die oben genannte Einschränkung. Sie sagen ihrer Mannschaft nicht nur in bestimmten Situationen, wo‘s lang geht, sondern weiten ihre vermeintliche Allmacht auf alle Situationen aus. S. 108f.
Netzwerke sind anpassungsfähig und flexibel, haben gemeinsame Ziele, greifen perfekt ineinander und vermeide kontraproduktive Hierarchien. S. 110.
Stets wird man den Eindruck nicht los, dass es hier wieder um das Abhaken von Checklisten geht und weniger um den Aufbau eines gelebten Risiko- und Chancenmanagements. S. 113.
Risikokultur muss sich im Unternehmen entwickeln und wachsen. Und eine gelebte Risikokultur lässt sich von der gelebten Unternehmenskultur nicht trennen. Ohne aktive Unterstützung des Kapitäns wird es niemals gelingen, eine offene Risikokultur im Unternehmen zu entwickeln. Zum einen muss der Kapitän dafür sorgen, dass jeder seiner Mitarbeiter zum (kleinen) Risikomanager wird. Das heißt nicht mehr, aber auch nicht weniger, als sich ein paar Verhaltensweisen anzueignen, also: Verantwortung delegieren, den Mitarbeitern zuhören und sie auf allen Ebenen miteinbeziehen, nach innen und außen Transparenz schaffen. S. 117
Nicht nur in Unternehmen, sondern auch in Großprojekten mangelt es häufig an einer gelebten Risikokultur. Risiken werden beliebig delegiert, bis sie irgendwo im Nirwana unsichtbar werden. S. 121.
Eine der wichtigsten Maximen Shackletons war: Sich ein neues Ziel setzen, wenn das alte nicht erreicht werden kann, dieses mit allem Einsatz verfolgen – aber noch vor das Ziel den Menschen selbst an die oberste Stelle setzen. S: 125.
Eine wichtige Erkenntnis, die wir von Shackleton mitnehmen sollten, besteht darin, dass Risiko- und Krisenmanagement sowie den Aufbau einer guten Risikokultur bereits bei der Mitarbeiterauswahl beginnen. S. 126.
Wie das Beispiel Great Eastem zeigt, kann das Streben nach größtmöglicher Sicherheit fatale wirtschaftliche Folgen haben. Weitaus schlimmer ist jedoch der entgegengesetzte Fall: Wenn Kapitäne allzu sehr auf ihre Profite schielen und dabei die Risikoaspekte auf der anderen Seite der Waage aus dem Blickwinkel verlieren, kostet dies häufig nicht nur Geld, sondern auch Menschenleben. S. 145.
Bei der Reduzierung des Risikos auf diese zwei Größen (Schaden * Eintrittswahrscheinlichkeit) wird beispielsweise rein gar nichts über die zeitliche Dimension sowie eventuelle Verzögerungswirkungen eines Schadens ausgesagt (Persistenz): Sind vielleicht erst unsere Kinder beziehungsweise auch die nachfolgenden Generationen von den Schäden betroffen (Stichworte: Treibhauseffekt, demografischer Wandel, Gentechnik, etc.)? Erkranke ich sofort oder erst nach einer langen Inkubationszeit? Über die Irreversibilität, das heißt die Nichtwiederherstellbarkeit des Zustands vor dem Schadenseintritt, erfährt man ebenfalls nichts. Auch im Hinblick auf die räumliche Ausbreitung (Ubiquität) eines Schadens erhalten wir keinerlei Informationen. Was uns bei einer Riskmap aber am allermeisten stört, ist die Tatsache, dass hierbei unterstellt wird, dass ALLE Risiken einer so genannten Binomialverteilung folgen. Bei einer Riskmap wird unterstellt, dass eine Wahrscheinlichkeit und ein Schadensausmaß exakt bekannt ist („Anmaßung von Wissen“) S. 147f.
Das Schwert des Damokles steht sprichwörtlich für eine im Glück drohende Gefahr. Da Dionysios nicht die Absicht hatte, Damokles zu töten, sondern nur großen Wert auf den erzieherischen Effekt seiner spektakulären Aktion legte, hatte er natürlich ein besonders dickes Rosshaar ausgewählt. Die Wahrscheinlichkeit, dass das Schwert tatsächlich herabstürzen und Damokles den Schädel spalten würde, war dementsprechend ziemlich gering (bei unserer Riskmap hätten wir dieses Exremrisiko gar wegmultipliziert; denn eine extrem geringe Eintrittswahrscheinlichkeit und ein hohes Schadensausmaß führt als Produkt zu einem relative geringen Erwartungswert). S. 150 [Siehe das Szenario Blackout]
Der Ausdruck „die Büchse der Pandora öffnen“ hat sich bis in die heutige Zeit als Umschreibung für das Auslösen von ebenso schwerwiegendem wie unkontrollierbarem Unheil gehalten. Dementsprechend ist der Risikotyp Pandora durch ein hohes Maß an Persistenz (Nachhaltigkeit eines Schadens), Ubiquität (räumliche Ausdehnung eines Schadens) und Irreversibilität (Nichtwiederherstellbarkeit des Zustandes vor Schadenseintritt gekennzeichnet. S. 150. [systemische Risiken und strategische Schocks]
Bei Kasandra-Risiken sind die Parameter Schadensausmaß und Schadenswahrscheinlichkeit oftmals ziemlich genau bekannt. Da allerdings zwischen dem auslösenden Ereignis und dem entsprechenden Schaden eine (in aller Regel relative große) große Zeitspanne liegt, wird fälschlicherweise der Eindruck von Sicherheit erzeugt und entsprechende Warnungen verhallen ungehört im Nirwana. S. 156. [Long Tail von Nassim Taleb]
Studien wiesen für die USA und Deutschland nach, dass etwa die Hälfte bis zwei Drittel aller Werbekampagnen ohne Wirkung verhallen. Die „Floprate“ von neuen Produkten liegt zwischen 40 und 60 Prozent im ersten Jahr. S. 178. [vgl. „stumme Zeugen“ von Nassim Taleb]
So haben Untersuchungen ergeben, dass ungefähr die Hälfte aller IT-Schäden durch eigene Mitarbeiter verursacht wird. Fast drei Viertel aller Angriffe auf die IT-Infrastruktur haben ihren Ursprung ebenfalls im eigenen Unternehmen. S. 214.
Je vernetzter die Welt wird, desto leichter und lohnender (und kreativer) werden auch die Angriffe. S. 219.
Wichtiger als all die technischen Vorkehrungen ist vielmehr, dass Risikomanagement auch wirklich gelebt und Teil der Unternehmenskultur wird. S. 220.
„Prognosen sind schwierig – vor allem, wenn sie sich auf die Zukunft beziehen“ Allerdings sollten wir aus der Sicht des Risikomanagements peinlichst genau darauf achten, dass wir zumindest über effektive und effiziente Frühwarnsysteme verfügen, um die sich abzeichnenden Entwicklungen und Veränderungen auf den Märkten rechtzeitig zu erkennen. Auch das Denken in potenziellen Szenarien (Was-wäre-wenn-Analysen) kann hier präventiv weiterhelfen. S. 241.
