nasa1.jpg

Risiken einer digitalen Arbeitswelt - Wie die digitale Transformation das Risikomanagement des HRM verändert

Studie 9 der Wissensfabrik
HR Trendstudie 2014: Digitale Risiken

Verstärkte Bedeutung des Risikomanagements

Durch die Digitalisierung der Arbeit und den dazugehörigen Arbeitswelten verändert sich das Management von HR-Risiken grundlegend. Denn einerseits entstehen neue Risiken, anderseits führt das Internet zu neuen Möglichkeiten, um den Risiken Herr zu werden. Das Risikomanagement stellt sicher, dass die Risiken digitaler Arbeitswelten wahrgenommen, imagesisiert, gemessen und deren Management in die Unternehmensentwicklung einfliesst.

Das Management digitaler Risiken wird in Zukunft durch die steigende Digitalisierung noch mehr an Bedeutung gewinnen. Dabei ist die Erkenntnis fundamental, dass Mensch und Maschine nicht mehr getrennt betrachtet werden können. Durch die Digitalisierung funktionieren die Mitarbeitenden nicht mehr losgelöst von der Technologie. Sie brauchen Hardware, Software und digitale Arbeitsumgebungen nicht nur für die Bewältigung ihres Alltags sondern auch für die Erhöhung ihres Wertschöpfungsbeitrags.

Ein zukunftsorientiertes Risikomanagement erkennt, dass die Risiken gleichzeitig Chancen sind. Risiken zeigen zunächst einmal auf, wo ein Unternehmen in Zukunft an Wert verlieren könnte. Gleichzeitig verweisen sie auf Potenziale, um gegenüber der Konkurrenz Vorteile zu erarbeiten.Risikomanagement heisst deshalb nicht nur Controlling, sondern auch Unternehmensentwicklung. Wer Risiken präventiv angeht, erarbeitet< sich Innovationen.

Wer über systematisches und zukunftsorientiertes Risikomanagement verfügt, identifiziert immer auch Stellschrauben im Talent- und Innovationsmanagement. Das macht deutlich, dass HR-Risikomanagement im Kontext der Digitalisierung zwar vom HR getrieben werden kann, aber weit über dessen traditionelle Tätigkeitsfelder hinausgeht. Digitale HR-Risiken betreffen neben dem Riskmanagement auch die IT, das Controlling, die Rechtsabteilung, die Unternehmensentwicklung bzw. das Innovationsmanagement.

Digitalisierung als Reifeprozess

Das unzureichende Verständnis der Digitalisierung ist ein HR-Metarisiko. Denn Unternehmen sind nicht nur gefordert, ihre Produkte und die Beziehungen zu ihren Anspruchsgruppen dem digitalen Zeitalter anzupassen. Auch im Unternehmen selbst ist Veränderung angesagt. Um den Anforderungen einer digitalen Welt gerecht zu werden, braucht es eine Veränderung der Management- und Führungsphilosophie, der Aufbauorganisation, der Managementinstrumente sowie eine laufende Optimierung der technischen Hilfsmittel.

Gelingt es einem Unternehmen nicht diesen Reifeprozess zu bewältigen, droht das Unternehmen den Anschluss an den digitalen Kontext zu verlieren. Konkret geht es einerseits um die Wertschöpfung für die Anspruchsgruppen, anderseits um das Realisieren von Kostenpotenzialen. Beide Faktoren beeinflussen die langfristige Überlebensfähigkeit. Der digitale Reifeprozess betrifft alle Abteilungen und Prozesse eines Unternehmens, wobei die Weiterentwicklung des Managements allen anderen Veränderungen übergeordnet ist.

In der Digitalisierung des Unternehmens können vier Ebenen unterschieden werden: Die analoge Arbeitsumgebung, die digitale Arbeitsumgebung, die Fähigkeiten der Mitarbeitenden sowie die Unternehmenskultur. In diesen vier Bereichen resultieren Risiken. Diese Risiken befinden sich an der Schnittstelle von HR und IT. Das Risikomanagement für die digitale Transformation muss diese Einzelrisiken genauso in den Blick nehmen wie den Veränderungsprozess als Ganzes. Allerdings sind die Einzelrisiken besser fassbar und damit auch einfacher zu managen.

Merkmale der Studie

Die vorliegende Studie identifiziert auf Basis der Befragung von zwölf Experten die wichtigsten Humankapital-Risiken einer digitalen Arbeitswelt. Der Fokus der Untersuchung liegt bei Unternehmen, die über eine gewisse Grösse verfügen, wissensintensiv sind und von der Digitalisierung stark betroffen sind. Die Aufzählung ist also weder abschliessend, noch sind alle Unternehmen gleich von allen Risiken betroffen. Im zweiten Teil der Studie werden acht Instrumente des Risikomanagements vorgestellt, wobei bei allen Instrumenten Verweise zu bestehenden Beispielen gemacht werden.

Die Risiken werden deshalb in dieser Studie auch nicht bezüglich Eintrittswahrscheinlichkeit oder potenzieller Schadengrösse bewertet. Eine Bewertung der identifizierten Risiken erfolgt dann im Rahmen der dritten HR-Trendstudie der Wissensfabrik im Herbst 2014. Beide Studien sind Grundlage des zweiten Wissensateliers, das am 15. Januar 2015 in St.Gallen stattfinden wird.

Risiken der analogen Arbeitsumgebung

Eine erste Gruppe von Risiken ergibt sich im Bereich der analogen Arbeitsumgebung. Zu dieser gehören die Räumlichkeiten, in denen die Arbeit stattfindet sowie die entsprechenden Zutrittsregelungen, aber auch die Möbel und analogen Hilfsmittel, welche die Mitarbeitenden für ihre Arbeit brauchen. Die analoge Arbeitsumgebung umfasst schliesslich sämtliche Hardware, das heisst alle Mobiltelefone, Tablets, Laptops und Desktops.

A1 Unpassende Aufbauorganisation

Die Aufbauorganisation gibt vor, wie die Arbeit in einem Unternehmen organisiert ist. Sie beeinflusst, wie gut die Information zirkuliert, wie Teams zusammengesetzt werden und wer für was für verantwortlich ist. Das sind zentrale Faktoren des Wissensmanagements. In einer Wissensökonomie mit hoher Geschwindigkeit werden die Agilität, die Geschwindigkeit, aber auch die Fähigkeit externes Wissen zu integrieren, zu zentralen Erfolgsfaktoren. Die Aufbauorganisation bestimmt zudem die Effizienz der Abläufe.

A2 Leistungshemmende Arbeitsumgebungen

Arbeitsumgebungen beeinflussen, wie gerne wir zur Arbeit gehen und wie sehr wir uns mit einem Arbeitgeber identifizieren. Sie beeinflussen aber auch, wie produktiv und kreativ wir sind. Aus Sicht des Arbeitgebers stellt sich die Frage, wie stark durch die Arbeitsumgebung die Potenziale der Mitarbeitenden ausgeschöpft werden. Störend können neben Lärm, schlechtem Licht und veralteter Infrastruktur auch das soziale Arbeitsklima sein. Die Arbeitsumgebung ist dort besonders wichtig, wo in den Räumlichkeiten Kundenkontakte stattfinden.

A3 Schlechte Hardware

Die Digitalisierung ist ein digitales Wettrüsten. Neue Geräte sichern den regelmässig investierenden Unternehmen Geschwindigkeits- und Effizienzvorteile aber auch neue Möglichkeiten im Personal-, Daten- und Wissensmanagement. Nur Unternehmen, die bewusst auf die Karte offline setzen, entziehen sich diesem Wettrüsten. Gefährlich ist es, in der Mitte der Digitalisierung stecken zu bleiben. Dadurch fehlt eine klare Positionierung in Bezug auf die Entwicklung der Arbeitsumgebung. Zudem drohen Einbussen im Employer Branding.

A4 Angriffe auf die Infrastruktur

Über die analoge Arbeitsumgebung werden digitale Risiken eingeschleust. Durch Akkus, Ladegeräte, UBS-Sticks und andere Speichermedien verschaffen sich Eindringlinge Zugang. Dadurch können sie die digitale Infrastuktur schwächen oder zerstören. Diese Gefahr verstärkt sich dort, wo Mitarbeitende ihre privaten Geräte mit zur Arbeit bringen. Durch das Verschwimmen von Privat- und Arbeitsleben, beziehungsweise die hybride Nutzung von Hardware verstärkt sich diese Gefahr.

A5 Ungünstiges Mensch-/ Maschinenverhältnis

Je digitaler die Arbeitswelt, desto wichtiger wird das Nutzen der relativen Vorteile von Mensch und Maschine. Die Maschine arbeitet präziser, schneller, mit weniger Fehlern und kann mehr Informationen verarbeiten. Der Mensch kann dafür Gefühle zeigen und wahrnehmen. Zudem ist er fähig, Wissen im Sinne von Innovation neu zu kombinieren. Wer zu wenig Maschinen einsetzt, dem drohen Effizienzverlust und im Verhältnis zur Konkurrenz hohe Kosten. Zu viele Maschinen können über die Vernetzung der Maschinen hohe Systemrisiken, eine Verschlechterung des Arbeitsklimas oder einen Verlust der Innovationsfähigkeit mit sich bringen.

Risiken der digitalen Arbeitsumgebung

Immer mehr Mitarbeitende erledigen ihre Arbeit vor einem Bildschirm. Das verweist auf die Notwendigkeit, das Risikomanagements auf die digitale Arbeitsumgebung auszudehnen. Zu dieser gehören Kommunikationsmittel, Apps für Smartphones und Tablets sowie die auf Desktops und Laptops laufende Software. Aber auch alle Intra- und Internetseiten, die von den Mitarbeitenden genutzt werden, sind Teil der digitalen Arbeitsumgebung.

B1 Qualität der digitalen Arbeitsumgebung

Durch die digitale Arbeitsumgebung erledigen Mitarbeitende die interne und externe Kommunikation. Eine gute digitale Arbeitsumgebung fördert das produktive, kreative und effiziente Arbeiten. Je besser die digitale Arbeitswelt designt ist, desto mehr unterstützt sie z.B. durch das Optimieren von Schnittstellen das intelligente und proaktive Management von Daten, Wissen und Netzwerken. Umgekehrt beeinträchtigt eine schlechte digitale Arbeitsumgebung die Effektivität und Effizienz der Wissensarbeit.

B2 Schlechte digitale HR-Instrumente

Wenn das Humankapital die wichtigste Ressource eines Unternehmens sind, werden schlechte HR-Instrumente zu einem zentralen Risiko. Besonders wichtig sind die Qualität der Lösungen im Talent- und Innovationsmanagement. Im Talentmanagement geht es um das Identifizieren, Binden, Bewerten und Entwickeln der Wissensträgerinnen. Der Mensch steht also im Vordergrund. Anders beim Innovationsmanagement. Hier geht es in erster Linie um das Wissen und die Ideen selbst. Gute HR-Instrumente erhöhen die Transparenz, liefern Daten für das Controlling und geben durch Data Mining frühzeitig Auskunft über die Risiken der Zukunft.

B3 Filterbubble

Das Internet macht immer mehr HR-Prozesse digital. Das kann die menschliche Urteilskraft untergraben oder das Unternehmen in einer „Filter Bubble“ einschliessen. Sie schottet die Mitarbeitenden von der Aussenwelt ab und fördert sich selbst verstärkende Kräfte. So kann die Nutzung von HR Big Data zu einer Verschlechterung der Rekrutierung führen, weil immer die gleiche Art von Mitarbeitenden rekrutiert wird. Die Bubble führt zudem dazu, dass die Mitarbeitenden wenig mit zufälliger Information konfrontiert sind und deshalb immer mehr gleich denken. Das schadet der Innovationskraft.

B4 Fehlendes Wissensmanagement

Zum digitalen Wissensmanagement gehört neben dem Verwalten und Visualisieren des eigentlichen Wissens auch des Metawissens über eine Organisation. Durch digitale Arbeitsumgebungen fallen zahlreiche Daten über das (digitale) Verhalten der Mitarbeitenden an. Sie zeigen, wie Mitarbeitende digital arbeiten, das heisst, mit wem sie kommunizieren, welche Dokumente sie bearbeiten oder welche Wissensquellen sie abfragen. Ohne ein systematisches Wissensmanagement drohen Effektivitäts- und Effizienzverluste auf dem Rohstoff Wissen.

B5 Cyberdiebstahl

Digitale Angreifer klauen über digitale Spione aber auch den Zugang über Mitarbeitende (Social Engineering)Forschungsergebnisse, Marktprognosen, Kundendaten, Pläne für künftige Produkte oder entwickelte Algorithmen und Programme. Immer wichtiger wird die Gefahr des Daten- und Identitätsklaus. Diebe nutzen dabei fremde Identitäten für ihre eigenen Zwecke (Zutritt verschaffen, illegale Aktivitäten) oder entwenden Daten, um mehr über die Kunden und Mitarbeitenden zu erfahren beziehungsweise das gestohlene Wissen weiterzuverkaufen.

Risiken des Kompetenzmanagements

Eine dritte Kategorie von Risiken findet sich im Kompetenzmanagement. Damit ist die Fähigkeit des Unternehmens gemeint, wichtige Kompetenzen an das Unternehmen zu binden, diese zu entwickeln und im entscheidenden Moment zur Verfügung zu haben. Unzureichendes oder falsches Talentmanagement bewirkt, dass ein Unternehmen von den Entwicklungen in seiner Umwelt überfordert oder nicht mit der Konkurrenz mithalten kann.

C1 Kompetenzdefizite

Eine strategische Personalplanung schafft die Grundlagen, damit ein Unternehmen in Zukunft über die richtigen Fähigkeiten verfügt. In der Planung sollte die Veränderung der Nachfrage ebenso berücksichtigt werden, wie jene des Angebots. Auf der Nachfrageseite geht es um neue Herausforderungen (Bedürfnisse, Märkte, Technologien, Werte). Auf der Angebotsseite stellt sich die Frage, welche Mitarbeitenden mit welchen Fähigkeiten dem Unternehmen in Zukunft zur Verfügung stehen. Der demographische Wandel reduziert Know-how und Erfahrungswissen, schwächt aber auch die vorhandenen Netzwerke.

C2 Ignorieren des Kundenwissens

Das Internet relativiert die Unternehmensgrenzen und Anspruchsgruppenrollen. Insbesondere nähern sich die Rollen von Kunden und Mitarbeitenden an. Durch das Internet entstehen zahlreiche Möglichkeiten, um das Wissen der Kunden anzuzapfen. Dieses Ressource wird heute vielerorts noch ungenügend genutzt. Wer darauf verzichtet, das Wissen der Kunden durch Prognosemärkte, Social Media Scanning, offene Innovationsprozesse oder ein aktives Beschwerdemanagement systematisch auszuwerten, lässt sich freiwillig Wissen entgehen. Denn häufig sind es die Kunden, welche die Produkte, Prozesse und Innovationspotenziale am besten kennen.

C3 Fehlende digitale Fähigkeiten

Die Digitalisierung erfordert von den Mitarbeitenden neue Fähigkeiten. Digitale Arbeitsumgebungen laufend die Möglichkeiten Wissen zu sammeln, zu inszenieren und zu verteilen beziehungsweise mit anderen Menschen zu interagieren. Das setzt neue (digitale) Selbst- und Sozialkompetenzen sowie die Fähigkeit zum Wandel voraus. Die Digitalisierung verändert auch die Erwartungen an Führungskräfte. Unternehmen denen es nicht gelingt, die Fähigkeiten ihrer Führungskräfte dem digitalen Zeitgeist anzupassen, riskieren die De-Motivation ihrer Mitarbeitenden und negative Auswirkungen auf den Employer Brand.

C4 Social Media Verhalten

Auf der Nutzenseite entscheiden die Social Media Fähigkeiten darüber, wie gut die Mitarbeitenden von den neuen Medien Gebrauch machen können – konkret, wie schnell Mitarbeitende neues Wissen finden oder Wissensnetzwerke aufbauen. Umgekehrt stellt Social Media ein Kostenrisiko dar. Ungeschicktes Verhalten oder digitales Schweigen in den sozialen Medien führt rasch zu Reputationsverlusten. Werden vor der Rekrutierung die digitalen Spuren von neuen Mitarbeitenden nicht sauber geprüft, droht man sich digitale “Zeitbomben” einzuverleiben.

C5 Schlechter Employer Brand

Der Employer Brand bestimmt Bekanntheit, Attraktivität und Image auf dem Arbeitsmarkt. Ein schlechtes Employer Brandung begünstigt Kompetenzdefizite und die Gefahr, dass sich Talente von der Konkurrenz anstellen lassen. Ursachen eines ungenügenden Employer Brandings sind neben einer schlechten Kommunikation (falsche Botschaften, digital veralteter Auftritt, etc.) auch Fehlleistungen im HR beziehungsweise Führung und Management. Im digitalen Zeitalter dringen diese rasch an die Öffentlichkeit, wobei Arbeitgeber viel besser als früher verglichen werden können.

Risiken der Unternehmenskultur

Eine vierte Kategorie von Risiken gibt es in der Unternehmenskultur. Diese beschreibt, wie und warum Menschen in einem Unternehmen zusammenarbeiten, wobei diese Zusammenarbeit seit einigen Jahren grossen Veränderungen ausgesetzt ist. Die Kultur entscheidet über die Offenheit gegenüber Veränderungen und die Geschwindigkeit der Anpassung.

D1 Grenzen der Arbeit

Durch die Relativierung von Ort und Zeit wird Arbeit entgrenzt. Häufig ist nicht mehr klar, was Arbeit und was Freizeit ist beziehungsweise ob Orte privat oder beruflich genutzt werden. Die Entgrenzung birgt die Gefahr der Überlastung und damit von physischen und psychischen Krankheiten. Die Relativierung von Raum und Zeit verleitet Führungskräfte dazu, zu reglementierend einzugreifen. Das Überreagieren wie auch die künstliche Eingrenzung der digitalen Arbeitsumgebung (soziale Medien, eMail-Zeiten) wirken aber meist kontraproduktiv, gerade bei jüngeren Mitarbeitenden.

D2 Unreife Transparenzkultur

Die Digitalisierung macht die Mitarbeitenden und ihre Arbeit so transparent wie noch nie. Arbeitsleistungen, Netzwerke, Gesundheitszustände etc. werden sichtbar. Diese Transparenz schafft neue Möglichkeiten im (antizipativen) Management des Humankapitals birgt aber auch neue Gefahren der Überwachung inklusive Überwachungsstress und Verstösse gegen den Datenschutz. Die Transparenz stärk die Ökonomisierung der Arbeit. Es gilt deshalb gemeinsam von Management und Mitarbeitenden ein angemessenes Mass an Transparenz zu definieren und gleichzeitig die dafür nötige Vertrauenskultur zu entwickeln.

D3 Fehlendes Engagement der Mitarbeitenden

Wenn sich die Mitarbeitenden nicht oder nur wenig für ihren Arbeitgeber engagieren, hat dies negative Konsequenzen auf die gesamte Risikolage. Zum einen sinkt die Leistungsbereitschaft und damit die Performance. Zum anderen steigen alle anderen Risiken, die direkt mit dem Mitarbeiterverhalten gekoppelt sind. Wenig engagierte Mitarbeitende verhalten sich nachlässig in Bezug auf Cyberrisiken und äussern sich in den sozialen Medien negativ über einen Arbeitgeber. Ob Mitarbeitende engagiert sind, hängt davon ab, ob sie sich mit dem Unternehmen, ihrer Arbeit und ihrem beruflichen sozialen Umfeld identifizieren und sich einbringen können.

D4 Veraltete Führungs- und Managementverständnisse

Die Führungs- und Managementverständnisse geben vor, welches Menschenbild den Alltag prägt, wie Wissen im Unternehmen zirkuliert, wie sich Mitarbeitende einbringen, wie Macht ausgeübt wird und welche Zukunftsvorstellungen kursieren. Durch die Digitalisierung und mit ihr die höhere Transparenz, die Relativierung von Raum und Zeit, die schnelle Veränderung von Märkten, die neuen Erwartungen und Wertesysteme oder der netzwerkartige Aufbau der Gesellschaft wird eine Veränderung traditioneller Führungs- und Managementvorstellungen nötig.

D5 Fehlende Changefähigkeit

Die Digitalisierung erhöht das Wettbewerbstempo und damit die Anforderungen an die Veränderungsfähigkeit der Organisation und ihrer Mitarbeitenden. Gelingt es einem Unternehmen nicht sich zu verändern, steigen durch den Einsatz veralteter Technologien im Verhältnis zur Konkurrenz die Betriebskosten. Mit dem fehlenden Eingehen auf veränderte Bedürfnisse folgen auch Umsatzeinbussen. Eine schlecht ausgeprägte Wandelfähigkeit bedeutet schliesslich Unfähigkeit zur Innovation. Die Veränderungsfähigkeit des Unternehmens basiert auf jener des Individuums.

Risiken der Strategiearbeit

Neben den bisher beschriebenen Risiken gibt es eine fünfte Kategorie. Sie beschreibt die Risiken in der Strategiearbeit. Dieser muss es insbesondere gelingen, die Risiken im Griff zu haben und den Wandel zu bewältigen. Dieser Wandel wird auch in den nächsten Jahren massgeblich von der Digitalisierung geprägt sein.

E1 Keine Digitalisierungsstrategie

Die Digitalisierungsstrategie beschreibt die Massnahmen, um den digitalen Transformationsprozess zu bewältigen. Massnahmen braucht es in allen vier Feldern der Digitalierung: Der Hardware, der Software, dem Kompetenzmanagement und der Unternehmenskultur. Fehlt eine Digitalisierungsstrategie, fehlt die strategische Aufmerksamkeit für den Veränderungsprozess und die Koordination der Massnahmen geht verloren. Massnahmen werden nicht aufeinander abgestimmt. Dadurch kommt es zu Doppelspurigkeiten, unklaren Verantwortlichkeiten und zu einem unnötigen Ressourcenverbrauch.

E2 Keine Datenstrategie

Jeder Controllingkreislauf ist auf gute Zahlen angewiesen. Diese zeigen, ob die getroffenen Massnahmen die gewünschte Wirkung erzielen. Eine Datenstrategie beschreibt, welche Daten wie in welcher Form erhoben und welche Analysen zu welchem Zweck angestrebt werden. Besondere Bedeutung kommt der Pflege der Stammdaten zu. Diese erlauben es die Mitarbeiten in Gruppen einzuteilen und den Erfolg von Massnahmen bis zur Ebene der einzelnen Mitarbeiterin zu überprüfen. Fehlt eine Datenstrategie wird auch das Controlling der Zukunft geschwächt, basieren doch künftige Erkenntnisse auf den Zahlen der Vergangenheit.

E3 Ungenügendes HRM

In einer Wissens- und Datenwirtschaft sind die Menschen, ihr Wissen, ihre Daten und ihre Fähigkeit zur Innovation die wichtigste Ressource eines Unternehmens. Damit ein Unternehmen optimal von dieser Ressource profitieren kann, braucht es ein wirkungsvolles Human Resources Management. Weil Mensch und Maschine gegenseitig aufeinander angewiesen sind, braucht es im HR ausgeprägte Kenntnisse der digitalen Transformation und ein entsprechendes Mindset. Ist das HR den neuen (digitalen) Herausforderungen nicht gewachsen, sinken Qualität aber auch Effizienz Effektivität des Humankapitals.

E4 Unzureichende rechtliche Absicherung

Die letzten Jahren haben eine steigende Regulierung des Wirtschaftlichen mit sich gebracht. Das erhöht die Gefahr von rechtlichen Auseinandersetzungen. Unternehmen mit einer gewissen Grösse kommen deshalb nicht darum, rechtliche Strategien in Bezug auf die definierten Risiken zu entwickeln. Das Verhalten von Menschen ist weder fehlerfrei, noch wird es immer den Idealvorstellung des Managements entsprechen. Fehlen rechtliche Strategien und Kompetenzen, erhöht sich die Gefahr von finanziellen Folgewirkungen.

E5 Ungenügendes Risikomanagement

Das Metarisiko steht stellvertretend für die Gefahr, die Risiken zu unterschätzen, nicht für deren Folgen bereit zu sein, beziehungsweise die Unfähigkeit die Risiken als Chance zur Innovation zu betrachten. Ein gutes Risikomanagement leisten einen Beitrag für die Zukunftstauglichkeit des Unternehmens. Damit es wirksam wird, braucht es nicht nur die entsprechenden Strategien und Prozesse, sondern auch die entsprechenden Fähigkeiten. Diese müssen zudem wirkungsvoll organisiert werden, was letztlich eine abteilungsübergreifende Zusammenarbeit erfordert.

Instrumente des Risikomanagements

In der Fähigkeit die Risiken erfolgreich zu managen, gibt es vier Stadien. Zunächst geht es darum, die Risiken überhaupt zu erkennen. Dazu können entweder die Internen sensibilisiert und geschult werden oder aber man setzt auf externe Beobachtungsfähigkeiten. In einer zweiten Stufe geht es darum, die Risiken zu bewerten. Relevant sind die Eintrittswahrscheinlichkeit, der potenzielle Schaden sowie der Zeithorizont der Wirkung eines Risikos.

Durch die Bewertung der Risiken erkennt das Unternehmen, wo das Treffen von Massnahmen angezeigt ist. Das passiert im dritten Schritt, wo durch konkrete Interventionen eine Verbesserungen der Risikolage beabsichtigt wird. Eine letzte Stufe ist dann erreicht, wenn die Risiken zur Grundlage von Innovation werden. Dieser Reifeprozess kann sich nur dann entfalten, wenn das Risikomanagement in ein Risikocontrolling eingebettet ist. Dadurch kann die Risikolage regelmässig neu eingestuft werden und der Erfolg der getroffenen Massnahmen überprüft werden.

Durch den technologischen Wandel verändert sich die Risikolage laufend. Das heisst aber auch, dass ein Unternehmen im Management der Risiken einer digitalen Arbeitswelt nie am Ende angekommen ist. Die steigende Geschwindigkeit des Wandels sorgt sogar dafür, dass das Risikomanagement immer anspruchsvoller wird. Das gilt auch deshalb, weil die zunehmende technische und ökonomische Vernetzung nicht nur die Eintrittswahrscheinlichkeit von Risiken erhöht, sondern auch die Höhe der potenziellen Schäden.

Im zweiten Teil der Studie werden nun acht Ideen für ein zeitgemässen Risikomanagement vorgestellt. Sie sollen helfen, die Risikolage in Bezug auf die Digitalisierung der Arbeitswelt zu verbessern. Bei allen acht Ideen verweisen Links auf konkrete Beispiele.

1. Factsheets

Ein Kernelement des Risikomanagements ist die Erhöhung der Aufmerksamkeit für potenzielle Risiken. Die Mitarbeitenden, die Führungskräfte aber auch das Topmanagement inklusive Verwaltungsrat sollten die Risiken einer digitalen Arbeitswelt kennen. Je mehr Entscheidungskompetenz eine Führungskraft hat, desto wichtiger werden Detailkenntnisse.

Merkblätter sind ein einfaches Hilfsmittel, um die Risiken sichtbar zu machen. Sie sammeln die Informationen über die Risiken, von denen sich ein Unternehmen betroffen fühlt. Neben der Beschreibung und Zuordnung der Risiken sind klare Management-Zuordnungen („Risk Owner"), Szenarien, Ursachen sowie Massnahmen für deren Bewältigung wertvolle Informationen.

Im Zuge der Digitalisierung werden die Merkblätter Teil der digitalen Arbeitsumgebung, damit sie überall und immer eingesehen werden können. Für die Aktualisierung und Weiterentwicklung der Merkblätter brauchen die Betroffenen die Möglichkeit, diese im Sinne eines Wikis weiterzuentwickeln. Sollen die Merkblätter ihre Wirkung erzielen, braucht es ein attraktives Layout. Auch Verweise auf externe Quellen sind sinnvoll.

Beispiele
Megatrends von Zpunkt
Gefahrenstoffe, Amt für Natur und Umwelt Graubünden
Symtomat: Symtome gängiger Krankheiten

2. Risikodialog

Das Erkennen und Bewerten von Risiken hat viel mit Kommunikation zu tun. In Gesprächen und in den Medien nehmen wir Informationen über Risiken auf. Dabei verändert sich unsere Wahrnehmung der Risikolage. Risiken sind selten objektiv, sondern erhalten ihre Bedeutung erst im Diskurs. Das gilt gerade für langfristige Entwicklungen, wo man zwischen dem Übel verschiedener Risiken abwägen muss.

Eine Möglichkeit, die Auseinandersetzung über Risiken in Gang zu bringen, sind Risiko-Dialoge. In diesen setzen sich die Mitarbeitenden in klar definierten Gefässen mit der Risikolage eines Unternehmens auseinander. Dabei kann es hilfreich sein, während eines gewissen Zeitraums immer wieder ein neues Risiko zum Thema zu machen. Externe Inputs erweitern die Perspektive.

Workshops helfen Meinungen und Wahrnehmungen transparent zu machen und gemeinsam zu einer Einschätzung der Risikolage zu kommen. Je mehr Mitarbeitende beteiligt werden, desto wirkungsvoller wird die Sensibilisierung. Durch die Risikolage werden die Mitarbeitenden zu engagierten Betroffenen. Das aber ist die beste Form, um die Risikoprävention zu stärken.

Beispiele
Stiftung Risikodialog
Dialogbasis
Stakeholder Dialog, Coop

3. Risiko-Controlling

Durch das Risiko-Controlling werden Risiken gemessen und zum Teil des Strategieprozesses. Wenn die Risiken regelmässig bewertet werden, ist nicht nur die Aufmerksamkeit des Managements sichergestellt sondern auch der kontinuierliche Verbesserungsprozess. Es wird klar, wie sich die Risikolage verändert, welche Risiken an Bedeutung gewinnen und welche Risiken erfolgreich abgeschwächt werden konnten.

In der Bewertung der Risiken interessieren die Eintrittswahrscheinlichkeit und die potenziellen Schäden. In der daraus resultierenden Risikomatrix wird sichtbar, welche Risiken mit grosser Wahrscheinlichkeit eintreten und einen grossen Einfluss auf das Unternehmen haben. Die Priorisierung erleichtert das Definieren von Massnahmen. Am besten agiert man präventiv, damit die Risiken gar nicht erst entstehen. Solche frühzeitigen Massnahmen haben oft den Charakter von Innovationen.

Bei der qualitativen Bewertung der Risiken werden Spezialisten durch Interviews befragt. Die Interviews sichern, dass die wichtigsten Risiken auf dem Radar erscheinen und sich das Unternehmen von seiner Betriebsblindheit befreien kann. Deshalb macht es Sinn, externe Experten zu befragen, welche die Risikolage unvoreingenommen bewerten. Quantitative Lösungen stützen die Bewertung der Risiken breit ab und versehen die Bewertung mit Zahlen.

Beispiele
WEF Riskreport
Risikolage im Konzernlagebericht, DHL
Riskreport, Ernst & Young

4. Big Data

Eine neue Möglichkeit, um die Risiken zu kalkulieren und deren Entwicklung zu antizipieren, ist Big Data. Die Integration der Daten in das Risikomanagement setzt eine Datenstrategie voraus. Diese stellt sicher, dass die Daten in der richtigen Qualität, im richtigen Format vorliegen und die involvierten Abteilungen gemeinsame Datenmodelle nutzen.

Das Versprechen von Big Data ist die Prognose künftiger Entwicklungen auf der Basis der Zahlen der Vergangenheit. Je mehr Zahlen vorliegen, desto wahrscheinlicher, dass man in ihnen Muster und Trends erkennt, die Aufschluss über die Zukunft geben. Im Risikomanagement sind vor allem die Treiber der Risiken interessant. Wer diese kennt, kann frühzeitig die Eintrittswahrscheinlichkeit und Auswirkung der Risiken beeinflussen. Big Data wird ein Risiko nicht beheben, stellt aber eine wichtige zusätzliche Informationsquelle dar.

Big Data macht zum Beispiel bei Kompetenzrisiken Sinn. Durch die systematische Erhebung der vorhandenen Fähigkeiten in Kombination mit der Prognose der demographischen Entwicklung sowie der in Zukunft nötigen Fähigkeiten können Kompetenzangebot und -nachfrage gegenübergestellt werden. Im Bereich der Kultur zeigt Big Data, wie erschöpft oder motiviert die Mitarbeitenden sind. Ebenso ist es denkbar die Analyse der digitalen Kommunikation zu nutzen, um die Qualität der Aufbauorganisation zu prüfen.

Beispiele
Risikoabschätzung in Echtzeit, T-Systems
Big Data in Logistics, DHL
People Analytics, Google

5. Risikoszenarien

Ausgehend von den definierten Risiken können Szenarien gebildet werden. Für deren Beschreibung werden die definierten Risiken kombiniert, deren Wechselwirkungen bewertet und schliesslich die Auswirkungen abgeschätzt. Durch die Arbeit mit Szenarien ist ein Unternehmen gezwungen, sich mit den Folgen möglicher Risikocluster auseinanderzusetzen. Ziel der Szenarien ist die frühzeitige Vorbereitung auf die Zukunft.

Die Szenarien können qualitativ oder quantitativ sein. Bei quantitativen Szenarien steht das Hochrenen von Indikatoren im Vordergrund. Man möchte wissen, wie sich die Zukunft präsentiert, wenn man die heute sichtbaren Veränderungen in die Zukunft rechnet. Dabei ist man auf das Schätzen von Ausgangswerten und Veränderungskräften angewiesen. Qualitative Szenarien kommen ohne Zahlen aus. Die Auseinandersetzung mit verschiedenen Varianten der Zukunft steht im Vordergrund.

Die Kombination der Risiken eignet sich zur Extraktion von Worst Case Szenarien. Diese sind hilfreich, um das Top Management von der Bedeutung des Risikomanagements zu überzeugen. Unabhängig von der Risikolage ist klar, dass jedes Worst Case Szenario letztlich das Ende des Unternehmens bringt. So gesehen dienen Szenarien auch dazu, die Überlebensfähigkeit des Unternehmens zu erhöhen.

Beispiele
Szenarien der wirtschaftlichen Entwicklung, Notenstein
Szenarien zur Bevölkerungsentwicklung der Schweiz, bfs
New Lens Szenarien, Shell

6. Risiko Simulationen

Ähnlich wie Mistery Shopper die Servicequalität im Handel überprüfen, werden (digitale) Agenten eingesetzt, um das digitale Verhalten von Mitarbeitenden zu testen. Spezialisierte Unternehmen verschicken Spam-Mails, um die Reaktionen ihrer Mitarbeitenden zu testen. Dabei interessiert insbesondere, ob Links und Dokumente unbekannter Herkunft geöffnet werden und wie wirksam Schulungen sind. Im analogen Leben wird mittels Social Engineering geprüft, ob die Mitarbeitenden Fremden sensible Informationen anvertrauen.

Das Kernargument für solche Simulationen liegt in der Annahme, dass konkrete Erlebnisse wirksamer als Papier sind. Betroffene werden ein (digitales) Vergehen und die entsprechende Entlarvung eher in Erinnerung behalten, als die Lektüre einer 20-seitigen Anweisung. Die Simulation von Risiken vertraut auf das Lernen durch Fehler. Das setzt einerseits eine fehlerfreundliche Kultur im Unternehmen aus. Anderseits braucht es für einen unternehmensweiten Lerneffekt eine systematische Dokumentation der Fehler.

Zum Bereich der Risikosimulation gehört auch das Experimentieren mit neuen Hilfsmitteln des Risikomanagements. Gerade die Einführung von Big Data stellt Unternehmen vor Herausforderungen im Bereich der kulturellen Entwicklung. Es macht deshalb Sinn, Erfahrungen im kleinen Rahmen zu sammeln und davon ausgehend den Rollout für die gesamte Organisation zu planen. Das gilt auch für den Rollout neuer analogen oder digitalen Arbeitsumgebungen.

Beispiele
Phishing Box
Social Enineering, Nethemba
Security Incidents, IBM

7. Risikobörsen - Social Forecasting

Durch das Internet wird es möglich, das dezentrale Wissen von Mitarbeitenden an zentraler Stelle zu sammeln. Das macht sich Social Forecasting zu Nutze. Dabei werden die Mitarbeitenden gebeten, ihre Wahrnehmungen, Meinungen und Bewertungen zu künftigen Ereignissen preiszugeben. Das Management gelangt zu breiter abgestützten Einschätzungen in Bezug auf die Zukunft (Marktentwicklungen, Bedeutung von Trends, Floprisiko etc.).

Im Falle des Risikomanagements digitaler Arbeitsumgebungen werden die Mitarbeitende gebeten, die Bedeutung von Risiken für den künftigen Unternehmenserfolg einzuschätzen. Für die Bewertung steht zum Beispiel digitales Spielgeld für Wetten zur Verfügung. Aus den Wahrnehmungen der Mitarbeitenden resultiert eine Rangliste. Diese zeigt, welche Risiken das Unternehmen besonders im Auge behalten sollte. Zudem zeigen Risikobörsen, wie sich die Wahrnehmung von Risiken über die Zeit verändert.

Ein wichtiger Erfolgsfaktor bei der Einführung von Risikobörsen ist das gewählte Anreizsystem. Wirkungsvoll ist soziale Anerkennungen, welche die teilnehmenden Mitarbeitenden hervorheben – wie zum Beispiel die Auszeichnung zum Mr.Risiko oder ein Nachtessen mit dem CEO. Wichtig ist auch die prozessuale Eingliederung der Börse. So könnten die Ergebnisse der Risikobörse Grundlage einer vertieften Auseinandersetzung mit den Risiken sein, bei der dann weniger die Risiken, sondern deren Bewältigung im Vordergrund steht.

Beispiele
Crowdinvest
Social Forecasting, delphit
Politischer Prognosemarkt, Wahlfieber

8. Externes Assessment

Eine externe Risikoanalyse hilft den Blick auf unbewusste Risiken zu lenken. Durch ihre Expertise haben Risikospezialistinnen ein geübtes Auge, um die Risiken rasch zu erkennen. Externe Spezialisten haben den Vorteil der Unabhängigkeit und Unbefangenheit. Sie sind nicht Teil der politischen Spiele, die häufig zu einer verzerrten Wahrnehmung und Bewertung der Risiken führen. Diese Spiele stellen ein Risiko dar, können sie doch dazu führen, dass Risiken ein Unternehmen unvorbereitet treffen.

Externe Audits können, müssen aber nicht von Unternehmensberaterinnen durchgeführt werden. Auch (das kostenlose) Gespräch mit einem Risikomanager eines befreundeten Unternehmens kann bei der Erweiterung der Wahrnehmung helfen. Wie weiter oben eingeführt, hat Risikomanagement viel mit Kommunikation zu tun. Das Gespräch ist deshalb oft ebenso hilfreich wie eine externe Quantifizierung oder Simulation der Risiken.

Externe Auditoren haben neben ihrer Erfahrung auch die nötigen Instrumente, um die Risiken transparent zu machen, zu ordnen und zu bewerten. Gegebenenfalls besteht die Möglichkeit die Risikolage eines Unternehmen mit derjenigen von anderen zu vergleichen. Risikospezialisiten haben zudem Erfahrung mit entsprechenden Hilfsmitteln und kennen die Stolpersteine bei deren Einführung. Will ein Unternehmen die Bedeutung von gewissen Risiken näher untersuchen, können Studien präzisere Grundlagen schaffen.

Beispiele
Überblick Risk-Assessment Tools, Computerwoche
Fragebogen Risikolage, Zurich
Risikoanlyse Cloud Computing Schweizer Behörden, egovernement

Interviewverzeichnis und Impressum

Ich bedanke mich bei folgenden Personen ganz herzlich für die interessanten Gedanken und Hinweise:

Hier für den Newsletter der Wissensfabrik anmelden

Bald hörst Du von mir.