In den meisten Organisationen existiert Risikomanagement in einer von zwei Formen: als Excel-Tabelle, die einmal im Jahr aktualisiert und dann vergessen wird. Oder als Compliance-Abteilung, die so gründlich arbeitet, dass Innovation praktisch zum Erliegen kommt. Beides ist gefährlich, nur auf unterschiedliche Weise.
Gutes Risikomanagement bedeutet nicht, alle Risiken zu vermeiden. Es bedeutet, die richtigen Risiken bewusst einzugehen und die falschen konsequent zu eliminieren.
Ein Geschäftsführer, den ich beraten habe, beschrieb sein Dilemma so: „Unser Risikomanagement hat zwei Geschwindigkeiten: Entweder blockiert die Compliance-Abteilung alles, oder die operativen Bereiche ignorieren sie komplett und machen, was sie wollen.“ In der Praxis führte das dazu, dass strategisch wichtige Projekte monatelang in Genehmigungsschleifen feststeckten, während operative Risiken in anderen Bereichen unbemerkt eskalierten, bis sie als Krise auf seinem Schreibtisch landeten.
Das Muster ist verbreitet: Organisationen investieren Aufwand in die formale Dokumentation von Risiken und vernachlässigen die Führungsfrage, die dahinter steht. Welche Risiken sind akzeptabel? Welche nicht? Und wer entscheidet das? Wenn diese Fragen ungeklärt bleiben, entsteht ein Vakuum, das entweder durch übertriebene Vorsicht oder durch unkontrollierte Risikobereitschaft gefüllt wird. Drei Hebel helfen, die Balance zu finden.
Nassim Nicholas Taleb, Autor und Risikoanalytiker, unterscheidet drei Kategorien: fragile Systeme, die unter Druck zusammenbrechen. Robuste Systeme, die Druck standhalten. Und antifragile Systeme, die unter Druck stärker werden. Die meisten Organisationen streben Robustheit an, das Aushalten von Schocks. Aber die wirklich erfolgreichen Organisationen lernen, aus Risiken und Rückschlägen gestärkt hervorzugehen.
Die Voraussetzung dafür ist Differenzierung. Nicht jedes Risiko verdient dieselbe Aufmerksamkeit. In der Praxis bewährt sich eine einfache Unterscheidung: Existenzielle Risiken, die das Unternehmen in seiner Substanz gefährden könnten, erfordern maximale Kontrolle und Vermeidung. Datenrechtsverstöße in regulierten Branchen, Sicherheitsrisiken in kritischen Infrastrukturen, existenzbedrohende finanzielle Expositionen. Hier ist Governancekeine Bremse, sondern Überlebensbedingung. Strategische Risiken, die mit bewussten Investitions- oder Marktentscheidungen verbunden sind, müssen nicht vermieden, sondern verstanden und gesteuert werden. Jede strategische Entscheidung ist ein kalkuliertes Risiko. Die Frage ist nicht, ob Risiko besteht, sondern ob es im richtigen Verhältnis zum erwarteten Nutzen steht. Operative Risiken, die im Tagesgeschäft entstehen, erfordern robuste Prozesse und klare Verantwortlichkeiten, nicht Gremienentscheidungen.
| Risikotyp | Richtige Reaktion | Häufiger Fehler |
|---|---|---|
| Existenziell | Vermeiden, maximale Kontrolle | Wird in der Excel-Tabelle dokumentiert, aber nicht operativ gesteuert |
| Strategisch | Bewusst eingehen, aktiv steuern | Wird durch Gremien so lange zerredet, bis die Chance vorbei ist |
| Operativ | Prozesse härten, Verantwortung klären | Wird ignoriert, bis es zur Krise wird |
Eine Bereichsleiterin, die ich bei der Neugestaltung ihres Risikomanagements begleitet habe, begann mit einer einfachen Sortierung: Welche unserer dokumentierten Risiken sind tatsächlich existenziell, welche strategisch, welche operativ? Die Erkenntnis: Über achtzig Prozent der dokumentierten Risiken waren operativ und hätten durch bessere Prozesse und klarere Zuständigkeiten gesteuert werden können, ohne Gremium und ohne monatlichen Report. Die verbleibenden zwanzig Prozent verdienten die volle Aufmerksamkeit der Führung.
Wer diese Differenzierung beherrscht, kann bei strategischen Risiken gezielt asymmetrisch investieren: kleine, kontrollierte Experimente, bei denen der potenzielle Verlust streng begrenzt ist, der potenzielle Lern- oder Marktgewinn aber erheblich. Organisationen, die nie kleine Risiken eingehen, verlernen den Umgang mit Unsicherheit und zerbrechen am ersten großen Schock. Genau das meint Taleb mit Antifragilität: nicht die Abwesenheit von Risiko, sondern die Fähigkeit, durch kalkulierte Belastung stärker zu werden.
Die meisten Risikobewertungen haben einen systematischen blinden Fleck: Sie bewerten nur die Risiken des Handelns. Was passiert, wenn wir dieses Projekt starten? Was kann schiefgehen, wenn wir in diesen Markt eintreten? Was sind die Compliance-Risiken dieser neuen Technologie?
Was fehlt, ist die Gegenfrage: Was passiert, wenn wir es nicht tun? Das Risiko der Untätigkeit steht in keiner Risikomatrix. Aber es ist oft das größere Risiko. Der Wettbewerber, der die Technologie einführt, während Sie noch prüfen. Der Markt, der sich verschiebt, während Sie abwarten. Die Talente, die abwandern, weil die Organisation zu langsam ist. In regulierten Branchen wie der Energiewirtschaft ist diese Balance besonders anspruchsvoll: Die Regulierung verlangt Vorsicht, der Markt verlangt Geschwindigkeit. Beides gleichzeitig zu bedienen, ist die eigentliche Führungsleistung.
Fordern Sie bei jeder Risikobetrachtung eine explizite Bewertung des Unterlassungsrisikos. „Was kostet uns jede Woche, in der wir nicht entscheiden?“ ist eine Frage, die Risikoaversion als das entlarvt, was sie oft ist: nicht Vorsicht, sondern Absicherungskultur.
Risikomanagement, das nur in Prozessen und Dokumenten existiert, ist wirkungslos. Was zählt, ist die Risikokultur: Wie geht die Organisation tatsächlich mit Unsicherheit um?
In einer gesunden Risikokultur werden Risiken offen angesprochen, auch nach oben. Der Überbringer einer schlechten Nachricht wird gehört, nicht bestraft. Fehler bei kalkulierten Risiken werden als Lernerfahrung behandelt, nicht als Karriereende. Und die Führung lebt vor, was sie erwartet: Sie spricht über eigene Fehleinschätzungen, gibt zu, wenn eine Risikoabwägung falsch lag, und zeigt, dass Unsicherheit kein Zeichen von Schwäche ist. Wie ich in meiner Beratungspraxis regelmäßig erlebe: Die Qualität des Risikomanagements einer Organisation lässt sich am zuverlässigsten daran ablesen, wie schnell schlechte Nachrichten die Führungsebene erreichen. Eine der wichtigsten Aufgaben einer Führungskraft ist es, aktiv nach schlechten Nachrichten zu suchen. Wenn Ihr Dashboard dauerhaft nur grüne Ampeln zeigt, haben Sie kein gutes Risikomanagement, sondern ein Team, das gelernt hat, was Sie hören wollen.
In einer toxischen Risikokultur passiert das Gegenteil: Risiken werden verschwiegen, weil ihre Benennung als Schwäche gilt. Probleme werden so lange geschönt, bis sie nicht mehr zu verbergen sind. Und die Organisation optimiert nicht auf gute Entscheidungen, sondern auf Absicherung. Das Ergebnis kennen Sie: die Krise, die „niemand kommen sehen konnte“, obwohl die Signale seit Monaten sichtbar waren.
Bauen Sie Frühwarnsysteme, die auf Menschen basieren, nicht nur auf Kennzahlen. Definieren Sie klare Eskalationswege und nehmen Sie das Stigma aus der Eskalation. Schaffen Sie Räume, in denen operative Teams Risiken benennen können, ohne Konsequenzen zu fürchten. Und prüfen Sie regelmäßig: Erreichen Sie die schlechten Nachrichten rechtzeitig, oder erst, wenn es zu spät ist?
Erstens: Kennen Sie die drei größten Risiken Ihres Bereichs, nicht die dokumentierten, sondern die tatsächlichen? Wenn Ihre Antwort mit der Risiko-Excel übereinstimmt, ist das ein gutes Zeichen. Wenn nicht, vertrauen Sie dem falschen Instrument.
Zweitens: Wann haben Sie zuletzt ein Risiko bewusst eingegangen, weil der erwartete Nutzen das Risiko rechtfertigte? Wenn die Antwort „kann mich nicht erinnern“ lautet, ist Ihre Organisation möglicherweise nicht vorsichtig, sondern gelähmt.
Drittens: Wie schnell erreichen schlechte Nachrichten Ihren Schreibtisch? Fragen Sie diese Woche einen Mitarbeiter, ob es ein operatives Risiko gibt, das er Ihnen bisher nicht gemeldet hat. Die Antwort wird Ihnen mehr über Ihre Risikokultur sagen als jeder Auditbericht.
Die größten Schäden in Organisationen entstehen nicht durch Risiken, die man eingegangen ist und die schiefgegangen sind. Sie entstehen durch Risiken, die man nicht gesehen hat, weil niemand hinschauen wollte, und durch Chancen, die man nicht ergriffen hat, weil die Angst vor dem Fehler größer war als der Mut zur Entscheidung.
Risikomanagement ist keine Aufgabe für Compliance-Abteilungen. Es ist eine Führungshaltung. Und diese Haltung zeigt sich nicht in der Qualität Ihrer Risikomatrix, sondern in der Frage: Trauen sich Ihre Mitarbeiter, Ihnen die Wahrheit zu sagen?
Entscheidungen unter Unsicherheit – Warum siebzig Prozent Sicherheit fast immer genug sind und warum Perfektion die Entscheidung tötet.
Führen in der Krise – Wenn das Risiko eingetreten ist: Wie Sie in den ersten Stunden die Weichen stellen.
Alle Impulse finden Sie in der Übersicht.
