»Wir brauchen Standards für globale Risiken«

Oktober 2018 | Wirtschaftswoche | Risikomanagement

»Wir brauchen Standards für globale Risiken«

Die Globalisierung treibt die Vernetzung der Welt immer weiter voran. Mit der Komplexität kommen auch die Risiken. Aber wie kann man die Bedrohungslage richtig einschätzen? Sorgen wir uns überhaupt vor den „richtigen“ Dingen ?

Illustration: Alin Bosnoyan
Klaus Lüber / Redaktion

Und wie kann man mit Risiken umgehen, die globale Auswirkungen haben? Ein Gespräch mit Prof. Aleksandar Jovanovi´c, Leiter des Euro- päischen Instituts für Integriertes Risikomanagement EU-VRi.


Herr Jovanovi´c, Naturkatastrophen, Infrastrukturschäden, politische Unwägbarkeiten, Lieferkettenunterbrechung, Produktpiraterie, Sabotage, Cybercrime – die Zahl der Risiken im internationalen Geschäft scheint zu wachsen. Ist das wirklich so oder empfinden wir es nur, weil wir immer mehr über Risiken wissen?
Das ist gar nicht so einfach zu beantworten. Was bedeutet „wachsen“? Was wir wissen, ist, dass die Gegenwart immer komplexer geworden ist und dies oft neue Risiken zur Folge hat. Wenn ein System komplexer wird, generell, werden auch die Risiken komplexer und die Anzahl möglicher und neuer Risiken nimmt zu. Das Problem ist nur: Um die Bedrohungslage wirklich beurteilen zu können, brauchen wir verlässliche Referenzpunkte. Man kann am Stammtisch lange über die wirklichen Gefahren eines Klimawandels diskutieren, solange Sie aber kein verlässliches Framework haben, das Prioritäten, Kriterien und Entscheidungswege bei der Risikobetrachtung definiert, bleibt alles eben eine Stammtischdiskussion.

 

Man könnte Experten zurate ziehen.
Ja, das könnte man natürlich, und man tut dies, klar, aber auch das bringt einen nicht wirklich unbedingt weiter, zum Beispiel wenn jeder Experte eine andere Expertenmeinung hat und wir also erst einmal eine Sammlung von Silo-Antworten bekommen. Vor allem bei dem Umgang mit komplexen Risiken ist dies eine sehr ungünstige Situation. Denn hier ist es besonders wichtig interdisziplinär vorzugehen und ein „Big Picture“ zu sehen.
 

Sie meinen Handlungsrichtlinien für Unternehmen und Institutionen?
Richtig, und hier kommt die nächste Herausforderung. Die Einordnung von Zuständigkeiten –  „Mandaten“ – ist auch komplexer geworden. Dazu werden oft gerade diejenigen Institutionen, die diese Mandate global ausüben sollen, etwa die UNO oder die EU, zunehmend machtlos oder in deren Aufgabebereich unfrei. Auf nationaler Ebene ist es oft nicht sehr viel besser. Auch wenn ein Konsensus bei dem Umgang mit komplexen und systemischen Risiken sicherlich sehr wichtig ist, so wie die Akzeptanz möglichst aller Beteiligten auch, ist die Zurückhaltung einer Institution, etwa eines zuständigen Ministeriums, das eigentlich Handlungsgewalt hätte, etwa beim Thema Kohle-Ausstieg fehl am Platz.
 

Wie ist denn die Politik allgemein im Bereich Risikomanagement aufgestellt?
Da gibt es aus meiner Sicht auf jeden Fall Luft nach oben. Viele Behörden und Institutionen haben schon seit langem viel an Fachkompetenz verloren und haben viele Fachpersonalprobleme. Nehmen Sie den Bereich Cybercrime: Da es für die Behörden oft unmöglich ist, die richtigen IT-Fachkräfte zu den TVL-ähnlichen Bedingungen zu engagieren, fehlen an vielen „Cybersicherheitsstellen“ die richtigen Fachleute beziehungsweise Fachkenntnisse.
 

Wie ist die Lage bei Unternehmen? Die haben doch in der Regel größere finanzielle Spielräume?
Das stimmt, allerdings haben sie das Problem, entscheiden zu müssen, ob sie lang- oder eher kurzfristig investieren sollen. Zum Beispiel müssen Versicherer, die sich übrigens schon seit Jahren intensiv mit Fragen des Risikomanagements auseinandersetzen, oft zwischen den Investitionen in kurz- oder langfristigen Risiken balancieren. Da kann man sich gerade die notwendige Forschung bei den langfristigen, komplexen Risiken nicht immer leisten. Wie in der Politik: Man ist einfach immer weniger an einer langfristigen Planung interessiert. Die lohnt sich weniger oder überhaupt nicht.


Lassen Sie uns einmal konkret von den Risiken sprechen, mit denen wir es in Wirtschaft und Gesellschaft zu tun haben. Der Soziologe und Risikoforscher Ortwin Renn, mit dem Sie seit vielen Jahren zusammenarbeiten, sieht die größte Gefahr bei sogenannten systemischen Risiken.
Ja, damit meint Herr Renn Risiken, die globale Auswirkungen haben können, mit vielen Funktionsbereichen von Wirtschaft und Gesellschaft eng vernetzt sind, und Ursache-Wirkungsketten aufweisen, bei denen wir mit einem klassischen, auf Statistik basierenden Ansatz nicht weiterkommen. Hier brauchen wir einen grundlegenden Perspektivwechsel.

Was meinen Sie?
Man sollte sich verabschieden von der Vorstellung, man könnte systemische Risiken einfach vermeiden oder bekämpfen wie eine Störung von außen. In Wahrheit geht es gar nicht mehr darum, Risiken zu vermeiden, sondern sie bestmöglich zu verstehen und sich auf sie bestmöglich vorzubereiten. Die Resilienz der Systeme gewährleisten. Das ist das eine. Das andere ist, dass die Lösung komplexer und globaler Probleme meistens komplex und global sein müssen. Global auch im Sinne „integrativ“ und „integriert“.

 

Das müssen Sie bitte erklären.
Entscheidend ist die Integration verschiedener Lösungen in ein integriertes Risikomanagement. Das ist auch genau unser Forschungsansatz am EU-VRi, Europäischen Institut für Integriertes Risikomanagement. Dabei muss man versuchen, alle unterschiedlichen Quellen zu berücksichtigen, auch die, die zum Beispiel die falsche Wahrnehmung von Risiken in den sozialen Netzwerken verursachen oder befördern können. Dafür muss man  heutzutage in der Lage sein, die verfügbaren großen Datenmengen – „Big Data“ – analysieren zu können, die neuen Methoden zu beherrschen und neue Analyse-Software zu haben. Nur so kann man die neuen Trends bei den Risiken rechtzeitig erkennen, in Echtzeit beobachten und daraus Handlungsempfehlungen ableiten. Dabei ist es sehr sinnvoll, diese Ergebnisse, die man ohne Experten befragen zu müssen bekommt, mit den Expertenmeinungen zu vergleichen.

 

Also Risiko-Analyse-Tools allein reichen nicht aus?
Nein, denn auch mit diesen Tools werden Sie es kaum vermeiden können, dass neue Lösungen auch wieder neue Risiken generieren. Ein klassisches Beispiel ist das Risiko einer Alzheimer-Erkrankung. Das liegt im Alter von 65 Jahren bei eins zu hundert, im Alter von 85 Jahren aber bei eins zu sechs. Man könnte also sagen: Durch die Vermeidung von Risiken, die zu einem frühen Tod führen, erhöht man gleichzeitig das Risiko für Erkrankungen, die im Alter zunehmen. Dass sich dieses Muster auch in anderen Feldern wiederholt, sei es der Ausstieg aus der Kohle, autonomes Fahren oder Industrie 4.0, ist zu erwarten.

 

Das sind Themen, bei denen jeweils der Aspekt der gesellschaftlichen Akzeptanz eine Rolle spielt. Nun sagen viele Ihrer Kollegen, dass wir Risiken oftmals gar nicht richtig einschätzen können. Ginge es nicht zunächst darum, „echte“ von „unechten“ Risiken zu unterscheiden?
Das kann man natürlich machen, man sollte sich nur davor hüten, deshalb die sogenannten „unechten“ Risiken weniger ernst zu nehmen. Die Versicherer haben dafür längst einen eigenen Begriff: Phantomrisiken. Die haben zwar keine materielle, statistische Basis, aber sollten in einer Risikoanalyse dennoch eine wichtige Rolle spielen. Um eine vollständige Risikoanalyse durchzuführen, muss man die Faktoren wie Risikowahrnehmung und Akzeptanz in der Gesellschaft berücksichtigen. Wenn eine Technologie in der einen Ecke der Welt akzeptiert ist und in einer andern nicht, ist es doch wichtig zu verstehen, warum.

 

Wie zum Beispiel beim Transrapid?
Ganz genau. Eine Spitzentechnologie, die keine gesellschaftliche Akzeptanz gefunden hat. Nicht zuletzt deswegen, weil man die Risiken beim Transrapid in Deutschland wie bei dem klassischen Zug betrachtet und kategorisiert hat. Dann wäre, wie in jedem Zug, beim Transrapid eine Notbremse vorgeschrieben, während niemand auf die Idee käme, eine solche in einem Flugzeug einzubauen.

 

Welche Handlungsempfehlung geben Sie der Politik und Wirtschaft?
Es geht vor allem darum, die Wichtigkeit von Frameworks für ein effizientes Risikomanagement anzuerkennen. Genauso, wie wir uns in vielen Ländern darauf geeinigt haben, rechts zu fahren oder Geschwindigkeit in km/h zu messen, brauchen wir auch in der Risikoforschung mehr allgemein akzeptierte Standards für Risiko- und Resilienzmanagement – wie zum Beispiel das neue ISO 31050. Und zwar deshalb, weil wir maximale Klarheit und die oben genannten Rahmen bei der Umsetzung benötigen. Nur dann haben wir eine Chance, uns effizient auf die Herausforderungen alter und neuer Risiken vorzubereiten. ■