Von Scott Fenstermaker

„Die Hydra, aus deren einzigem Körper hundert Hälse entsprangen, von denen jeder den Kopf einer Schlange trug. Und wenn ein Kopf abgeschlagen wurde, wuchsen an der Stelle, an der er abgetrennt wurde, zwei weitere. Aus diesem Grund galt sie als unbesiegbar, und das mit gutem Grund, denn der Teil von ihr, der unterworfen wurde, sandte an seiner Stelle eine doppelte Hilfe aus.“

-Diodorus Siculus, Bibliothek der Geschichte 4. 11. 5 (trans. Oldfather) (griechischer Historiker C1. v. Chr.)

Wenn Sie sich in Florenz, Italien, in der berühmten Galleria degli Uffizi wiederfinden, sollten Sie nach einem wenig bekannten Meisterwerk Ausschau halten: Herkules erschlägt Antaeus von Pollaiuolo, das die 11. der 12 Aufgaben des Herkules darstellt: den Riesen Antaeus, Sohn des Poseidon und der Erdgöttin Gaia, mit bloßen Händen zu töten. Antaeus war fast unmöglich zu töten, da er Kraft aus der Erde schöpfen konnte, die ihn jedes Mal stärker machte, wenn er zu Boden ging. Jeder Schaden, den die Gegner ihm zufügten, machte es daher noch schwieriger, Antaeus zu besiegen. Herkules musste Antaeus ganz vom Boden aufheben, um ihn schließlich zu erwürgen. Spulen Sie fünfhundertfünfzig Jahre vor und Nassim Taleb prägt den Begriff „antifragil“, um jene Systeme zu beschreiben, die der Volatilität nicht nur widerstehen, sondern sich durch sie sogar verbessern. In seinem Buch Antifragile: Things That Gain from Disorder schreibt er:

Manche Dinge profitieren von Schocks. Sie gedeihen und wachsen, wenn sie Volatilität, Zufälligkeit, Unordnung und Stressfaktoren ausgesetzt sind, und sie lieben das Abenteuer, das Risiko und die Ungewissheit. Doch obwohl das Phänomen allgegenwärtig ist, gibt es kein Wort für das genaue Gegenteil von fragil. Nennen wir es antifragil. Antifragilität ist mehr als Resilienz oder Robustheit. Das Resiliente widersteht Schocks und bleibt gleich, das Antifragile wird besser. Diese Eigenschaft steht hinter allem, was sich im Laufe der Zeit verändert hat: Evolution, Kultur, Ideen, Revolutionen, politische Systeme, technologische Innovationen, kultureller und wirtschaftlicher Erfolg, das Überleben von Unternehmen, gute Rezepte (z.B. Hühnersuppe oder Steak Tartare mit einem Tropfen Cognac), der Aufstieg von Städten, Kulturen, Rechtssystemen, Äquatorialwäldern, Bakterienresistenz … sogar unsere eigene Existenz als Spezies auf diesem Planeten.

Wie die Beispiele von Taleb zeigen, gewinnen erfolgreiche, dauerhafte Unternehmen an Wert, wenn sie den Stressfaktoren des Marktes ausgesetzt sind. Die besten Unternehmen werden wie Organismen stärker, wenn sie Schwierigkeiten überwinden und sich dem Wettbewerb stellen. Nur wenige Unternehmen sind jedoch antifragil. Immer wieder gehen Unternehmen in Konkurs, selbst altbewährte Ikonen wie JC Penney und Sears. Tatsächlich erwies sich die gesamte Einzelhandelsbranche mit ihren traditionell geringen Gewinnspannen als extrem anfällig für einen gesellschaftlich störenden Stressfaktor wie die COVID-19-Pandemie. Die Anfälligkeit der Branche führte dazu, dass sich die Macht in den Händen einiger weniger Giganten wie Amazon und Walmart konzentrierte, die aufgrund ihrer Geschäftstätigkeit und Positionierung Antifragilität demonstrieren können. Welche Auswirkungen hat dieses Konzept der Antifragilität für andere Unternehmen, die eine globale Pandemie überstanden haben und sich auf der Suche nach mehr Widerstandsfähigkeit befinden? Gibt es eine Möglichkeit, Risiko- und Compliance-Programme zu entwickeln, die es Unternehmen nicht nur ermöglichen, extremen Ereignissen zu trotzen, sondern die sie direkt und systematisch stärken? Kürzlich hat sich Bob Bowman, Direktor für Risikomanagement bei The Wendy’s Company, mit dem Riskonnect-Team zusammengesetzt, um ein Webinar darüber aufzuzeichnen, wie sein Team ERM-Technologie eingesetzt hat, um die mit der COVID-19-Pandemie verbundenen Risiken zu bewältigen. Die Aufzeichnung ist unten abrufbar:

Hören Sie mehr von Bob in unserem aktuellen Risk@Work-Webinar.

Taleb schlägt in seiner Analyse mehrere Dynamiken vor, die die Antifragilität in komplexen Systemen erhöhen können. Hier sind drei solcher Dynamiken – und wie das ERM-Programm von Bowman diese Prinzipien demonstriert.

Nummer einsVersuch und Irrtum vs. Top-Down-Planung

Antifragile Systeme nutzen die Vorteile von systematischem Versuch und Irrtum. In der Natur sondert die natürliche Auslese diejenigen aus, die nicht in der Lage sind, sich anzupassen, und verleiht den erfolgreichen Überlebenden Stärke, indem sie sich fortpflanzen können. In der Wirtschaft haben gute Risiko- und Compliance-Abteilungen natürlich eine Führung mit Visionen. Gute Risiko- und Compliance-Abteilungen tappen auch nicht in die Falle, von oben herab zu diktieren, anstatt sich von unten her anzupassen. Sie können widrige Ereignisse nicht nur als etwas betrachten, das es zu überstehen gilt, sondern auch als etwas, aus dem sie lernen können. Eine der wichtigsten Funktionen eines ERM-Systems, so Bowman, besteht darin, die Dynamik von Risikoereignissen im Nachhinein festzuhalten, indem die Auswirkungen auf das Geschäft, die Reaktionen der Kontrolleure, die Anpassungen der Verfahren und alle anderen relevanten Daten erfasst werden, die künftige Reaktionen effektiver machen könnten. Die Einbindung von Erfahrungswerten in das Programm ist eine Möglichkeit, unzureichende Kontrollen und Abhilfemaßnahmen zu korrigieren und so das System für das nächste Mal zu optimieren. Antifragile Unternehmen setzen Mechanismen ein, die das Prinzip von Versuch und Irrtum der natürlichen Selektion nachahmen. Sie erfassen konsequent die Lehren aus negativen Ereignissen, fassen sie zusammen, analysieren sie auf ihre Bedeutung und lassen wichtige Erkenntnisse in ihre Pläne und Strategien einfließen.

Nummer zweiAnpassungsfähigkeit vs. Vertrauen auf erfolgreiche Vorhersage

Bowman spricht ausführlich über die enorme Menge an Vorplanung und Analyse der Risikolandschaft, die in sein ERM-Programm einfließen. Doch egal, wie viel Voraussicht Sie in Ihr Risikoregister gesteckt haben, es wird immer Risikoereignisse geben, die sich anders manifestieren, als Sie es erwartet haben. Ihre Vorbereitung kann Ihnen Anhaltspunkte für die Auswirkungen auf das Geschäft, die Geschwindigkeit usw. geben, aber Sie müssen sich auch an die Aspekte des Ereignisses anpassen, die sich anders manifestieren, als Sie es geplant haben. Die COVID-19-Pandemie ist ein gutes Beispiel. Bowman merkt an: „Wir haben sehr schnell erkannt, dass dieses Risikoereignis über eine vernünftige Planung oder vernünftige Bemühungen zur Schadensbegrenzung hinausgehen könnte und dass die Reaktion möglicherweise umfassender oder tiefgreifender ist als ursprünglich angenommen.“ Viele Unternehmen haben Pandemien in ihren ERM-Systemen registriert, aber nur wenige – wenn überhaupt – konnten sich das Ausmaß der durch COVID-19 verursachten Störungen vorstellen. Ein agiler Risikomanager erkennt, dass COVID-19 verschiedenen Aspekten mehrerer Risiken ähnelt. Die Pandemie kann zum Beispiel teilweise einem Naturkatastrophenrisiko ähneln, da sie dazu führen kann, dass Büros geschlossen werden und man von zu Hause aus arbeiten muss. Sie kann auch Risiken im Zusammenhang mit wirtschaftlichen Abschwüngen ähneln, was ihre Auswirkungen auf Drittanbieter betrifft. Wir können ein neuartiges oder überraschendes Risikoereignis besser verstehen, wenn wir andere Risiken analysieren, die ähnliche Eigenschaften haben, und ein wenig von diesem und ein wenig von jenem nehmen, um das Bild zu vervollständigen.

Nummer dreiRisikoereignisse, die zu weniger zukünftigen Ereignissen führen (negative Korrelation von Fehlern)

Hier ist ein gängiges mathematisches Problem aus dem Risikomanagement. Nehmen wir an, Sie haben drei potenzielle Risikoereignisse: 1) ein erfolgreicher Cyberangriff mit einer Wahrscheinlichkeit von 2 % innerhalb eines Jahres; 2) ein wirtschaftlicher Abschwung mit einer Wahrscheinlichkeit von 5 %; und 3) ein großer Rechtsstreit zwischen Mitarbeitern mit einer Wahrscheinlichkeit von 3 %. Wie hoch ist die Wahrscheinlichkeit, dass alle drei Ereignisse gleichzeitig eintreten? Wenn Sie davon ausgehen, dass alle drei Ereignisse nichts miteinander zu tun haben, würden Sie 2% mal 5% mal 3% multiplizieren und kämen so auf eine Wahrscheinlichkeit von 0,003%, dass alle drei Ereignisse gleichzeitig eintreten. In der realen Welt sind die Ereignisse jedoch selten wirklich unabhängig voneinander. Sie können auf überraschende Weise miteinander korreliert sein. Nehmen wir an, dass Sie im nächsten Jahr eines der oben genannten Ereignisse erleben, nämlich einen wirtschaftlichen Abschwung. Vielleicht fühlen Sie sich vor den beiden anderen Risiken sicher, denn Sie haben nachgerechnet und die Wahrscheinlichkeit, dass sie gleichzeitig auftreten, ist ziemlich gering. Der wirtschaftliche Abschwung führt jedoch dazu, dass Sie in mehreren Abteilungen Mitarbeiter entlassen müssen, darunter auch in Ihrer IT-Abteilung. Die dadurch unterbesetzte und überlastete IT-Abteilung beginnt, bestimmte wichtige Sicherheits-Patches zu verzögern, was zu einem Cyberangriff führt. In der Zwischenzeit fühlt sich der IT-Mitarbeiter, den Sie nur wegen des besagten Abschwungs entlassen haben, ungerecht behandelt und klagt auf unrechtmäßige Kündigung.

Ein Risikoereignis machte die beiden anderen wahrscheinlicher. So funktioniert das Leben nun einmal. Auch das Gegenteil kann der Fall sein. Unter bestimmten Bedingungen kann das Vorhandensein bestimmter Risikoereignisse dazu führen, dass andere Ereignisse weniger wahrscheinlich sind. Taleb nennt als Beispiel Fehlfunktionen von Flugzeugen. Wenn es bei einem Flugzeug zu einem Notfall kommt, sind die Ergebnisse so öffentlichkeitswirksam und die Untersuchungsprotokolle so streng, dass sofort ein Flugverbot verhängt wird und Korrekturen schnell verbreitet werden, was das gesamte System sicherer macht. Der Wert des Enterprise Risk Management liegt darin, die geschäftlichen Auswirkungen von Risiken so gründlich zu verstehen, dass Sie Ihre Kontrollen und Abhilfemaßnahmen maximal effektiv gestalten können. Bowman spricht davon, über die einfache Bewertung eines bestimmten Risikos hinauszugehen und ein ganzes Profil von Assoziationen zu entwickeln, einschließlich Richtlinien, Verfahren, Geschäftsziele, Indikatoren, Kontrollen und betroffene Dritte:

Was wäre, wenn Sie eine Risikobewertung mit einem Profil verbinden könnten? … Wenn wir das funktionsübergreifende Team für die Reaktion auf einen Vorfall einberufen, sollten wir jeden einzelnen und alle gemeinsam mit einem gemeinsamen Wissensfundus in Bezug auf dieses Risiko ausstatten. Wie wäre es, wenn wir dies in Form eines Berichts tun könnten? Wie wäre es, wenn die erste Einberufung des Teams, das erste Briefing, die Triage – und wir werden hier auch ein ‚als‘ oder ‚wie‘ verwenden – wie wäre es, wenn sich all das um ein bekanntes, detailliertes, ausgereiftes Profil drehen würde, das die Bewertung ergänzt?

Bowman verwendet die Riskonnect Risk Correlation Engine als Kernstück dieses 360-Grad-Profils zum Verständnis von Risiken. Mit seinem detaillierten Wissen über die Auswirkungen eines Risikos auf sein gesamtes Unternehmen kann er sich auf die Implementierung von Kontrollen und Reaktionen konzentrieren, die ein Risikoereignis von potenziellen Kaskadenereignissen, die es auslösen könnte, abkoppeln. Die Informationen über das primäre Risikoereignis werden direkt genutzt, um die Wahrscheinlichkeit von Folgeereignissen zu verringern.

Jenseits von Resilienz: Zunehmende Stärke durch Stress

In der Diskussion über eine Welt nach der COVID-Initiative fangen Risiko- und Compliance-Experten an, mehr über betriebliche Resilienz zu sprechen. Resilienz ist von entscheidender Bedeutung – aber die Diskussion muss darüber hinausgehen, wie schnell und effektiv eine Organisation zum Status quo ante zurückkehren kann. Die Diskussion muss sich auf die Frage erstrecken, wie das Unternehmen – wie Antaeus – so aufgebaut werden kann, dass es über seinen ursprünglichen Zustand hinaus an Stärke gewinnt, wenn es umgestürzt wird. Der Kern eines jeden Antifragilitätsprogramms für Unternehmensrisiken ist eine Verfahrensdisziplin und eine Verpflichtung zu Agilität, Analyse und Lernen. ERM-Programme bestehen nicht aus einem statischen Katalog von Dingen, die passieren könnten, sondern sie dienen dazu, dass Unternehmen immer besser überleben und gedeihen.

Wenn Sie mehr über Unternehmensrisiken und den Beginn eines ERM-Programms erfahren möchten, laden Sie unser E-Book, Charting a Course for Enterprise Risk Management, herunter .