Dieser Blog Beitrag gibt einen Einblick in die interessante Podcast-Folge mit Frank Romeike, Geschäftsführender Gesellschafter bei RiskNET. Das Gespräch führte Claudia Howe, GRC Competence Lead bei avedos.

Vor 22 Jahren, im Jahr 1998, wurde RiskNET von Frank Romeike gegründet. Zu dieser Zeit war er noch Chief Risk Officer bei IBM. Der Umstand, dass der Risikomanagement-Reifegrad in vielen Unternehmen noch nicht besonders hoch war, hat ihn zur Gründung dieses Kompetenzportals motiviert. Ziel war es, eine digitale Plattform und ein Netzwerk zu etablieren, in dem es Risikomanagern möglich ist, sich auszutauschen. Im Jahr 1999 wurde zusätzlich die Risk Academy gegründet, in der bis zum heutigen Zeitpunkt ca. 20.000 Personen geschult wurden. Die Schwestergesellschaft RiskNET Advisory unterstützt zusätzlich Unternehmen bei der Weiterentwicklung ihres Risikomanagement-Reifegrades.

 

Vor 26 Jahren übernahm Frank Romeike die Position des Chief Risk Officer´s bei IBM, die damals kurz vor der Insolvenz stand. Der Grund dieser Krise war vor allem eine Disruption des Geschäftsmodells, ausgelöst durch neue Technologien und eine starke Produktionskonkurrenz aus Asien. Lou Gerstner wurde zu dieser Zeit neuer CEO von IBM und hat in weiterer Folge das Unternehmen neu erfunden. Das führte dazu, dass IBM heute auf den Themengebieten Quantencomputing und Artificial Intelligence zu den weltweit führenden Firmen zählt. Frank Romeike hat damals vier Erfolgsfaktoren identifiziert, welche beim Aufbau eines wirksamen Risikomanagements unentbehrlich sind:

 

  • Notwendig ist ein Prozess - ein Regelkreis im Risikomanagement. Dieser muss in andere Prozesse integriert werden.
  • Erforderlich ist auch eine Organisation. Hier ist es wesentlich, nicht viele unterschiedliche Silos aufzubauen, sondern Bereiche zu integrieren.
  • Ein weiterer Punkt ist das Stichwort Methoden. In Unternehmen herrschen oftmals Risikomanagement-Systeme, die methodisch nicht fundiert sind.
  • Abschließend ist auch eine Risiko-Kultur unerlässlich. Wichtig ist, dass es in Unternehmen "Fans" für das Thema gibt. Dieses muss von den Mitarbeitern gelebt werden. Das ist, nach Meinung von Frank Romeike, das größte Defizit, wenn es um Risikomanagement in der Praxis geht.

 



Um den Reifegrad im Risikomanagement zu erhöhen gibt es eine Reihe von Methoden. Frank Romeike spricht in diesem Zusammenhang von einer "Werkzeugkiste", die drei "Schubladen" enthält:

 

  • Kollektionsmethoden: Diese beinhalten etwa die Risiko-Kontroll-Matrix und klassische Checklisten.
  • Analytische Methoden: Dazu zählt beispielsweise die Fehlermöglichkeits- und Einflussanalyse (FMEA).
  • Am spannendsten sind die Kreativitätsmethoden: Hier wird sozusagen die Kreativität der eigenen Mitarbeiter angezapft.

 

Unternehmen müssen entscheiden, welche Höhe des Reifegrades angestrebt werden soll. Hier besteht einerseits die Möglichkeit nur die gesetzlichen Mindestanforderungen zu erfüllen, oder andererseits ein System zu schaffen, welches z.B. in der strategischen Steuerung eingesetzt werden kann. Bei Letzterem müssen sich Risikomanager mit quantitativen Methoden beschäftigen. Unternehmen werden nicht über qualitative Zielgrößen gesteuert, sondern über EBIT, Gewinn, Umsatz und ähnliche Kennzahlen. Wenn Firmen einen Mehrwert aus einem Risiko- und Chancenmanagement generieren möchten, muss ein höherer Reifegrad anstrebt werden.

 

Dazu gibt es ein spannendes Beispiel aus der Praxis: Es gab vor vielen Jahrzenten das "Apollo-Programm" der NASA, in dem es darum ging, Menschen auf den Mond zu befördern. Nach einer ersten quantitativen Risiko- und Zuverlässigkeitsberechnung hätte man das Projekt abbrechen müssen. Stattdessen entschied sich die NASA eine qualitative Methodik, mittels FMEA, durchzuführen. Dies führte am 28. Jänner 1986 zu dem katastrophalen Unfall des Spaceshuttles "Challenger". 73 Sekunden nach dem Start explodierte die Raumfähre und alle sieben Besatzungsmitglieder kamen ums Leben. Die Ursache dafür waren Dichtungsringe, die nicht frostsicher waren. Trotz Warnungen der Entwicklungsingenieure und des Herstellers kamen diese zum Einsatz. Nach diesem Unfall gewannen die quantitativen Methoden wieder an Relevanz. Unternehmen müssen mit dieser Transparenz umgehen können und diese auch wollen. Wenn dies nicht erwünscht ist, können rein qualitative Bewertungen unglaublich viel verschleiern.

 

Die vollständige Podcast-Folge inkl. Transkript mit Frank Romeike finden Sie hier!

 

Im Februar 2019 startete die erste Folge des avedos GRC Podcasts. In dieser Reihe dreht sich alles um die Themen integriertes GRC, Enterprise Risk Management, Internes Kontrollsystem und Informationssicherheitsmanagement. Mittlerweise sind bereits 7 Folgen verfügbar und können auch über diverse bekannte Plattformen wie Soundcloud, Spotifiy und Apple Podcast gestreamed werden.