Unternehmerische Risiken wurden früher primär auf finanzielle Verluste bezogen, die auf das eigene unternehmerische Handeln zurückgingen. Denken wir etwa an die Dotcom-Blase 2000 - je gewagter das Geschäftsmodell, desto höher das Risiko. Heute steht einiges mehr auf dem Spiel. Spätestens seit Beginn der 2020er Jahre leben und arbeiten wir in einer Art Dauerkrisenmodus. Mit immer neue Risiken, deren Management Organisationen massiv fordert.
Durch Faktoren wie die Pandemie und den Krieg sind die Risiken inzwischen vielfältiger und schwieriger zu fassen. Sie bedrohen nicht nur einzelne Bereiche, sondern gleich das ganze unternehmerische Geschäft. Außerdem setzen drastisch gestiegene Compliance-Anforderungen die Unternehmen durch Gesetze und Verordnungen unter Handlungsdruck.
Ohne Risiken geht es nicht
Natürlich ist Unternehmenswachstum nicht risikofrei zu haben, doch wenn das Erkennen und Bewerten möglicher Risiken Bestandteil des strategischen Planungsprozesses wird, ist zumindest die Grundlage für ein verstärktes Gesamtrisikobewusstsein gelegt.
Bis 2020 wurden betriebliche Risiken (operational risks) noch nicht in dem Maße umfassend untersucht und analysiert, wie es heute gefordert ist. Sie rücken aber zunehmend in den Mittelpunkt. Laut einer Studie von Risk.net aus dem Jahr 2021 sind übrigens IT-Störungen, Datenschutzverletzungen und Betriebsunterbrechungen die drei größten operativen Risiken in Unternehmen.
Neues Risikomanagement braucht das Land
Unter diesen Voraussetzungen sollten Organisationen ihr Risikomanagement dringend auf ein breiteres Fundament stellen. Gartner identifiziert durch die zunehmende Digitalisierung permanent wachsende Anforderungen an die Sicherheit. Neue, digitale Geschäftsmodelle stellten auch neue Ansprüche, etwa in Sachen Datenschutz. Entsprechend sieht Gartner die Zukunft des Risikomanagements im Integrated Risk Management (IRM).
IRM basiert auf einer ganzheitlichen Analyse sämtlicher interner und externer Risikofaktoren. "Um den vollen Umfang ihrer Risiken zu verstehen, benötigen Unternehmen einen umfassenden Überblick über alle Geschäftsbereiche und Risikomanagement-Funktionen sowie über wichtige Geschäftspartner und Lieferanten", sagt John A. Wheeler, Senior Director Analyst bei Gartner. Eine Forrester-Studie kam 2019 zu dem Schluss, dass IRM ein wichtiges Tool für strategische Entscheidungen werden kann.
Welche Risikofaktoren lauern?
Werfen wir einen Blick auf die aktuelle globale Situation. Die Pandemie hatte 2020 die inhärenten Risiken der globalen Lieferketten bereits offengelegt. Doch der Krieg in der Ukraine zeigt nun die teils brutalen Folgen für zentrale Branchen. So kam zum Beispiel bei einigen Automobilherstellern die Produktion wochenlang ins Stottern, weil zahlreiche Lieferanten aus der Ukraine ihren Betrieb nicht aufrechterhalten konnten.
"Das konkrete Unternehmensrisiko besteht darin, dass beispielsweise ein Lieferant von Kabelbäumen in einem Land produziert, das gerade überfallen wird. Mit den bekannten Folgen, weil es offensichtlich dafür kein Backup gab. Doch geopolitische Risiken dieser Art nehmen zu", sagt Ulrich Flamm, der bei ServiceNow den Bereich Solution Sales für DACH und Osteuropa verantwortet. Mit IRM könnten Unternehmen diese und vergleichbare Risiken über ihre gesamten Lieferketten hinweg frühzeitig erkennen und weitgehend ausschließen.
Doch nicht nur politische Krisen, sondern auch die zunehmende Bedeutung von Environmental Social Governance (ESG) muss zu einer Neuorientierung im Risikomanagement führen. Investoren, Kunden und Mitarbeitende erwarten nicht nur, dass Unternehmen ihren ökologischen und sozialen Verpflichtungen nachkommen, sondern auch, dass diese zu den Grundwerten eines Unternehmens zählen. Dazu kommt eine jährliche Berichtspflicht - die ohne Datengrundlage sehr aufwändig ist.
Woran es vielfach im Risikomanagement hapert
Momentan betreiben viele Unternehmen aufgrund von immer noch weit verbreitetem Silodenken lediglich bereichsspezifisches Risikomanagement. Will sagen: Sie nutzen lediglich die in ihren ERP- oder Supply Chain Management-Systemen integrierten Risikomanagement-Lösungen. "Diese performen zwar in der jeweiligen Bereichsnische, lassen aber den ganzheitlichen Blick auf unternehmensübergreifende Risiken vermissen", erklärt Ulrich Flamm. Außerdem seien viele Prozesse noch mit manuellen Eingriffen mit hohem administrativem Aufwand auf Personalseite verbunden. Die Fehleranfälligkeit sei deshalb hoch.
Digitale Transformation im Risikomanagement
Mangelnde Automatisierung beim Risikomanagement kann teuer werden. Zum 1. Januar 2023 tritt in Deutschland das Lieferketten-Gesetz in Kraft. Dann müssen Unternehmen einer bestimmten Größenordnung zwingend in einem jährlichen Reporting offenlegen, wie ihre Lieferanten und Partner mit den Themen Menschenrechte, Arbeitsrecht, aber auch mit ökologischen Vorgaben zum Klimaschutz umgehen und ob sie die Standards einhalten.
So manchen Sportartikelhersteller zum Beispiel traf der Unmut der Öffentlichkeit mit voller Wucht als herauskam, dass bei der Produktion von Trikots, Schuhen oder Fußbällen Kinderarbeit im Spiel war. Für derartige Vergehen können Unternehmen heute mit Strafen in Höhe von 2 Prozent ihres weltweiten Umsatzes belegt werden. "Diese Risiken müssen dringend bewertet werden. Doch wie will ich das bei einem DAX-Unternehmen managen? Wir sprechen hier teilweise von mehr als 10.000 Lieferanten und Partnern! Das geht nur mit einer integrierten, ganzheitlichen, digitalen Lösung, sonst tappe ich sehenden Auges in die Compliance-Falle", gibt Ulrich Flamm zu bedenken.
Integrated Risk Management über die Plattform
Mit IRM rücken auch technische Lösungen stärker in den Fokus. Denn ganzheitlich gedachte und zentralisierte Software kann Risiken frühzeitig erkennen und anhand definierter Kennzahlen bewerten. ServiceNow bietet über die Now Platform eine eigene Governance, Risk and Compliance-Lösung an. Ulrich Flamm beschreibt den Vorteil dieses "Platform of Platforms"-Ansatzes: "Wir können sämtliche integrierte Business-Anwendungen wie ERP- oder CRM-Systeme sowie weitere interne oder externe Datentöpfe anzapfen und dann in der Now Platform integrieren und zusammenführen. Auf dieser Datengrundlage muss ein Unternehmen bei der Implementierung dann nur noch einmalig festlegen, welche Risikostufen es abbilden möchte."
Wie sieht das konkret aus? "Nehmen wir das Lieferketten-Gesetz. Bei Lieferanten, die in bestimmten Ländern angesiedelt sind, ist das Risiko von Kinderarbeit oder Verstößen gegen Umweltrichtlinien per se höher. Diese Werte können wir in der Now Platform abbilden und Maßnahmen definieren, nach welchen sie regelmäßig auditiert werden", erläutert Flamm.
Das hat auch wirtschaftliche Vorteile. In einer Untersuchung von Unternehmen, die die Governance-, Risiko- und Compliance-Lösung von ServiceNow eingeführt haben, verringerte sich die durchschnittliche Arbeitsbelastung der für die Einhaltung der Vorschriften zuständigen Mitarbeitenden um 70 Prozent. Die Effizienzsteigerungen führten zu Einsparungen in Höhe von 3,1 Mio. US-Dollar über drei Jahre.
Unternehmenslenker erhalten über ein Dashboard in der Now Platform in Echtzeit einen direkten Überblick über die Risiken ihres Unternehmens. Schwachstellen können per Mausklick identifiziert werden. Auf diese Weise haben sie maximale Transparenz rund um Risiken und Compliance. Proaktives Risikomanagement auf Basis von Fakten und Daten ist eben kein defensives Verhalten, sondern die wichtigste Zutat, um als Unternehmen innovativ handeln zu können, sicher zu wachsen und gleichzeitig resilienter zu werden.
Gartner positioniert übrigens ServiceNow als Leader in seinem Magic Quadrant 2019 für integriertes Risikomanagement. Den Bericht dazu können Sie hier herunterladen.