2 Minuten Lesezeit 18 Dezember 2020
Silhouette von Mann bei Sonnenuntergang

Post-Covid-19-Risikomanagement

Markus Hölzl
Von Markus Hölzl

Leiter Internal Audit und Risk Management, Consulting | Österreich

Betreut österreichische und internationale Unternehmen bei Beratungs- und Prüfungsprojekten zu den Themen Risikomanagement, Interne Kontrollsysteme, Corporate Governance und Internal Audit.

2 Minuten Lesezeit 18 Dezember 2020
Verwandte Themen Risikomanagement COVID-19 Responding to volatility Versicherungsbranche
Gefällt mir

Weitere Materialien

Resilienz aufbauen, um auf das Unvorhersehbare vorbereitet zu sein.

Die Reaktion auf COVID-19 war und ist eine der größten Herausforderungen in der Geschichte der Menschheit. Überall auf der Welt mussten sich Unternehmen und Mitarbeiter an radikal unterschiedliche Arbeits- und Lebensweisen anpassen. Die politischen Entscheidungsträger mussten tief in ihre Toolkits (und Taschen) greifen, um Lösungen zu finden, um den Wirt­schaftssektor am Leben zu erhalten. Und währenddessen müssen Ärzte und Wissenschaftler rund um die Uhr arbeiten, um diese globale Pandemie zu verstehen und hoffentlich zu besiegen. Viele Leute bezeichnen COVID-19 als einen „Schwarzen Schwan“ oder eine Art unvorhergesehenes, katastro­phales Ereignis. Dennoch musste früher oder später eine globale Pandemie in die Fußstapfen von Ebola und SARS treten.

Unvorhersehbarkeit von „Schwarzen Schwänen“ bedeutet nicht, dass Unternehmen keine Vorkehrungen treffen können. Anstatt zu versuchen, das Unvorhersehbare vorherzusagen, müssen Unternehmen Systeme bauen, die sowohl „Schwarzen“ als auch „Grauen Schwänen“ bestmöglich standhalten können. Ein solches System realisiert EY durch den Ansatz des Resilient-Enterprise-Modells. Dieses System identifiziert neun Bereiche, die Unternehmen betrachten können, um einen strukturierten und umfassenden Ansatz für ihr Krisenmanagement und ihre Widerstandsfähigkeit zu entwickeln. Der Eckpfeiler “Risk” umfasst dabei fünf Kernelemente. Wir beraten Klienten bei der Umsetzung von Entwicklungsschritten und bei der Bewältigung dieser Herausforderungen. Dafür werden gemeinsam mit ihnen Antworten auf die essenziellen Fragen aller Pla­nungshorizonte gefunden.

Risikomanagement

  • Kurzfristig

    • Welche Auswirkungen hat die Situation auf Ihre Mitarbeiter — Quarantänen, Evakuierungen, Reisen und alternative Arbeitsmethoden?
    • Bauen Sie ein Krisenkommandoteam auf, das befugt ist, Richtlinienausnahmen zu genehmigen?
    • Wie wirken sich Ihre Kunden, Lieferanten und Produktionskapazitäten aus?
    • Was sind die kritischen Funktionen, Prozesse und wesentlichen Abhängigkeiten von Drittanbietern, insbesondere an betroffenen Standorten?
    • Welche rechtlichen und vertraglichen Verpflichtungen können aufgrund dieses Ereignisses ausgelöst werden?
    • Was sind die finanziellen Auswirkungen und wie verändert sich Ihr kurz- und langfristiger Kapitalbedarf? 
     

  • Mittelfristig

    • Passen Sie Ihre Richtlinien an, um Zusammenarbeit und Produktivität sicherzustellen?
    • Passen Sie Ihre vorhandene Infrastruktur und Technologie an?
    • Wenden Sie Strategien an, um Kapazitätslücken schnell zu schließen und alternative Kanäle zu aktivieren, um die Kundennachfrage zu bedienen?
    • Kommunizieren Sie vertrauenswürdig und transparent mit Ihren Stakeholdern, einschließlich Mitarbeitern, Kunden und Aufsichtsbehörden?
    • Haben Sie Notfallpläne erstellt, indem Sie Risiken in Bezug auf Umsatz- und Kostenszenarien modellieren?
     

  • Langfristig

    • Verfügt Ihre Organisation über einen Risikomanagementmechanismus, um zukünftige Risikoszenarien zu erkennen und zu identifizieren?
    • Werden kritische Prozesse und Kontrollen regelmäßig auf ihre Wirksamkeit hin überprüft?
    • Wie passt sich die Risikomanagementfunktion Ihres Unternehmens im Zuge der Krise an?
    • Haben Sie Ihre Business-Continuity-Pläne aktualisiert und Erkenntnisse aus der COVID-19-Krise aufgenommen?
    • Überprüfen Sie die Ergebnisse von Resilienztests und geben Sie Empfehlungen zur Stärkung des Krisenmanagements? 
     

Wie sich das Risikomanagement positionieren sollte

Das Risikomanagement sollte mit dem strategischen Pla­nungsprozess eng verzahnt sein, um einerseits strategische Risiken frühzeitig zu identifizieren, aber auch um Risiken zu erkennen und zu bewerten, die einen Impact auf die Unterneh­mensstrategie haben können. Die notwendigen Prozesse zu etablieren ist nicht immer einfach — EY steht Klienten hierbei als verlässlicher Partner zur Seite. 

Unvorhersehbare Ereignisse erzeugen neue Realitäten: Gefah­ren, denen begegnet werden muss, genauso wie Chancen, die antizipiert bzw. genutzt werden wollen. Ein reger Austausch von Informationen mit der Geschäftsleitung hilft dabei der Risikomanagementfunktion, ihre Position in der Organisation zu stärken und eine Führungsrolle zu übernehmen. Dazu gehört ein tiefes Verständnis sowohl der Risiken als auch der Geschäftsstrategie und ihrer Umsetzung. Diese muss vonseiten der Risikomanagementfunktion durchleuchtet und die Geschäftsleitung durch kritische Rückfragen gefordert werden. Als Partner der Geschäftsführung kann die Risikomanage­mentfunktion bei der Identifizierung, Minderung und Überwachung von Risiken ihre Schlüsselposition ausbauen, indem sie für die Unternehmensstrategien konkrete Risikoszenarien formuliert.

Wo möglich, sollten Risiken quantifiziert und die Auswirkungen mindernder Maßnahmen aufgezeigt werden. Gleichzeitig sollten aber nicht nur Probleme, sondern auch Lösungsvorschläge geliefert werden. Helfen Sie bei Entscheidungen unter extre­mer Unsicherheit durch Bereitstellung wertvoller Daten. Um die Widerstandsfähigkeit von Unternehmen zu stärken, müs­sen Sie sich beim Risikomanagement stärker auf datengesteu­erte Informationen verlassen. Und je breiter die Datenquellen sind, desto widerstandsfähiger kann das Unternehmen werden. Vorerst werden Daten von denselben Orten stammen wie zuvor, aber Risikomanagementfunktionen sollten relevante Daten suchen und sie idealerweise in Echtzeit sammeln und verarbeiten, um bessere Analysen zu ermöglichen.

Vertrauen der Stakeholder als wichtige Ressource für das Risikomanagement

Das Risikomanagement muss gerade in unsicheren Zeiten bei der Erarbeitung seiner Programme die Anliegen und Bedürf­nisse seiner Interessengruppen (Geschäftsleitung, Kunden und Lieferanten, Mitarbeiter etc.) innerhalb und außerhalb des Unternehmens ins Zentrum seiner Überlegungen stellen. Eine vertrauensbasierte Zusammenarbeit der Organisation mit ihren Stakeholdern ist für das Risikomanagement von großer Bedeutung, um eine fruchtbare Kooperation zu erwirken und ansonsten nur schwer zugängliche Informationen zu gewinnen. Mitarbeiter beispielsweise verlassen sich auf Führungskräfte und insbesondere auf das Risikomanagement, um Maßnahmen zu ergreifen und Entscheidungen zu treffen. Die Gewährleis­tung des Wohlbefindens der Mitarbeiter stand bei den Reaktio­nen der Organisationen auf COVID-19 im Vordergrund. Das ist eine herausfordernde Aufgabe, die ein koordiniertes Verständ­nis der Bedürfnisse aller Arbeitnehmer (und ihrer Familien), eine klare Interpretation der sich laufend ändernden gesetzlichen Rahmenbedingungen und ein Überdenken der Arbeitsweise der Menschen erfordert. Das Risikomanagement sollte die Unternehmensführung bei der Erstellung eines Aktions- und Maßnahmenplans unterstüt­zen.

Dieses Vertrauen in die Handhabung von Risiken und dadurch in das Risikomanagement hilft dabei, Bedürfnisse von Stakeholdern und ihre Beziehungen zueinander besser zu ver­stehen wie auch Wechselwirkungen und Risiken zu identifizie­ren, die zur Nichterfüllung dieser Bedürfnisse führen können.

Identifizieren der kritischen Funktionen und Prozesse der Organisation

Von hoher Bedeutung ist auch die Entwicklung eines robusten Business-Continuity-Management-(BCM-)Systems, in dem alle Konzepte und Maßnahmen zusammengefasst werden, die im Falle einer Krise oder eines unvorhersehbaren Ereignisses, eines negativen „Schwarzen Schwanes“, in Kraft treten sollen, um die Fortführung der unternehmerischen Tätigkeiten zu gewährleisten. Diese Aufgabe liegt je nach Art der Organisa­tion direkt im Kompetenzbereich der Geschäftsleitung oder der entsprechenden unterstellten Einheit. Integraler Teil des BCM ist das Notfallmanagement, das die negativen Auswirkungen des Ereignisses wie Beeinträchtigungen bei der Leis­tungserstellung minimieren bzw. vermeiden und Stakeholder wie auch Vermögen schützen soll.

Bei der Planung des Notfallmanagements stehen die risikobehafteten Prozesse im Mittelpunkt. Wie lange kann die Ferti­gung stillstehen? Welche Bereiche wären von einer Quaran­täne unmittelbar betroffen? Zumindest all jene Prozesse und Bereiche (auch ausgelagerte), die durch einen negativen „Schwarzen Schwan“ die Fortführbarkeit der Geschäftsführung gefährden können, müssen in Zusammenarbeit mit der Geschäftsführung definiert werden. Verantwortlichkeiten und Aufgaben müssen klar geregelt und dokumentiert werden. Hier bietet sich das Konzept von Krisenkommandoteams an, das weiter unten erklärt wird. Mit einem wirksamen Notfallmanagement soll die Widerstandsfähigkeit der Prozesse eines Unternehmens erhöht werden, um in möglichen Krisensituationen die Fortführung der Geschäftstätigkeit durch festgelegte Verfahren zu gewährleisten. Notfallpläne sollten auch prak­tisch getestet werden, zum einen um festzustellen, ob eine Integration der Pläne in die Prozesse erfolgreich war, und zum anderen natürlich, damit es im Ernstfall nicht zu kritischen Pannen kommt.

Das Risikomanagement muss jetzt mehr denn je sicherstellen, dass sich die Mitarbeiter entwickeln und sich an ein Post-COVID-19-Risikoumfeld anpassen können. Dies erfordert Fähigkeiten, die sich stark von denen unterscheiden, die zur Bekämpfung traditioneller Bedrohungen erforderlich sind. Bei­spielsweise kann ein tiefes Verständnis der hoch entwickelten digitalen Technologie, der Geopolitik und/oder der Daten- und der Cybersicherheit erforderlich sein. Parallel dazu benötigen Risikomanagementfunktionen zunehmend die erforderlichen Fähigkeiten, um neue Automatisierungs- und Analysetechno­logien optimal nutzen zu können, die zunehmend in ihrer Abteilung eingesetzt werden.

Bauen eines Krisenkommandoteams für die Organisation

Die Bewältigung einer Krise fordert Governance und Prozess­management. Damit Unternehmen eine Krise überleben können, sollten sie immer zuerst eine Task Force für das Krisen­management einrichten, die direkt an die Geschäftsleitung berichtet. Das funktionsübergreifende Team muss sich auf vier Kernaufgaben konzentrieren: Risiko- und Reaktionsbewertung, Überwachung, Analyse und Berichterstattung sowie Krisenbetriebsmanagement und Kommunikation. Die Krise betrifft Unternehmen unterschiedlich und der Fokus der Themen vari­iert für jedes Unternehmen.

Eine besonders effektive Variante dieses Krisenkommandos sieht zwei Teams mit voneinander getrennten Aufgaben vor: Ein Team ist für die Aufklärung und Vorhersage von Ereignis­sen und möglichen Maßnahmen betraut, ein zweites mit der Bewertung und Durchführung der vorgeschlagenen Maßnah­men. Diese Aufteilung erfolgt im Wesentlichen aufgrund der diversen Fähigkeiten, welche die einzelnen Teams aufweisen müssen. Während die Analyse und Identifikation vom ersten Team durchgeführt wird, das einen holistischen Blick auf Risi­ken, Zusammenhänge und Abhängigkeiten hat, prüft das zweite die faktische Umsetzbarkeit. Dieser iterative Ansatz soll zu Maßnahmen führen, die sowohl den externen als auch den internen Gegebenheiten Rechnung tragen. 

Da Organisationen beim Erscheinen von „Schwarzen Schwänen“ zugleich einer Vielzahl von Einzelrisiken ausgesetzt sind, ist ein initiales Risikoassessment, wie bereits erwähnt, unabdinglich.
Markus Hölzl
Leiter Internal Audit und Risk Management, Consulting | Österreich

Mitarbeiter der Risikomanagementfunktion können gleichzeitig Mitglieder einer Task Force sein, da sie genau über den Bestand aktueller Bewertungen von Prozessen und Berei­chen informiert sind und die regelmäßige Durchführung rele­vanter Risiko-Assessments anstoßen.

Für weitere Sichtungen vorbereitet bleiben

Die COVID-19-Pandemie, wenn auch per Definition kein „Schwarzer Schwan“, hat Organisationen gezeigt, dass sie unter Bedingungen extremer Unsicherheit schnell Entscheidungen treffen müssen und können. Das betriebliche Risiko­management hat derzeit die seltene Gelegenheit, anhand eines „Weißen Schwanes“ Vorbereitungen für das Erscheinen eines echten „Schwarzen Schwanes“ zu treffen.  Wertvolle Lektionen für verbesserte Entscheidungsfindung können gelernt werden. Die eigentliche Herausforderung wird darin bestehen, diese Lektionen zu verinnerlichen und für die Sichtung des nächsten Schwanes vorbereitet zu bleiben. Dafür werden seitens des Risikomanagements Proaktivität, Einfalls­reichtum und Lösungsorientiertheit gefordert sein. 

Fazit

EY kann Ihr Unternehmen dabei unterstützen, auf kurz-, mittel- und langfristige Fragestellungen Antworten zu finden und das Risi­komanagement auch für künftige Phasen größerer Unsicher­heit vorzubereiten. Wir helfen Ihnen, die richtigen Entscheidun­gen zu treffen, um die Kontinuität Ihrer Abläufe zu sichern und Widerstandsfähigkeit aufzubauen.

Über diesen Artikel

Markus Hölzl
Von Markus Hölzl

Leiter Internal Audit und Risk Management, Consulting | Österreich

Betreut österreichische und internationale Unternehmen bei Beratungs- und Prüfungsprojekten zu den Themen Risikomanagement, Interne Kontrollsysteme, Corporate Governance und Internal Audit.

Verwandte Themen Risikomanagement COVID-19 Responding to volatility Versicherungsbranche
Gefällt mir