Inhaltsverzeichnis
Jedes Unternehmen und jede Organisation kann einer Krise zum Opfer fallen. Entscheidend für den Verlauf der Krise ist das richtige Krisenmanagement. Dazu gehört nicht nur die akute Bewältigung, sondern auch die Prävention. Egal ob bei einem großen industriellen Störfall oder einem kleineren Incident, fähige Mitarbeiter und ein agiles Krisenmanagement helfen Ihnen, im richtigen Moment die richtigen Entscheidungen zu treffen. Welche grundsätzlichen Maßnahmen es zur Krisenprävention als Teil des Krisenmanagement-Prozesses gibt, erörtern wir in diesem Beitrag.
Los geht’s!
Krisenprävention (Prevention)
Der Begriff Krisenprävention besteht aus Maßnahmen, die es einer Organisation ermöglichen, die Auswirkungen einer Störung zu vermeiden, vorzubeugen oder zu begrenzen (ISO/PAS, 2007). In Bezug auf Naturgefahren, vom Menschen verursachte und technologische Gefahren sieht die Internationale Strategie der Vereinten Nationen zur Katastrophenvorsorge (UNISDR, 2009) Prävention wiederum als völlige Vermeidung der negativen Auswirkungen von Gefahren und damit verbundenen Katastrophen. Da dies aber nicht immer machbar ist, läuft es häufig auf reine Schadensbegrenzung hinaus. Daher werden auch die Begriffe Prävention und Schadensbegrenzung oft synonym verwendet.
Es gibt jedoch noch weitere verwandte Konzepte: Risikominderung z.B. ist ein Begriff, der dem der Krisenprävention sehr ähnelt. Laut UNISDR bezieht sich die Minderung von Risiken auf systematische Bemühungen zur Analyse und Bewältigung der ursächlichen Faktoren von Katastrophen, einschließlich einer geringeren Verwundbarkeit von Mensch und Eigentum, klugem Management von Land und Umwelt und einer verbesserten Vorbereitung auf unerwünschte Ereignisse. Risikominderung kommt wiederum dem nahe, was in der ISO 31000 Norm als Risikobehandlung bezeichnet wird.
Voraussetzung und gleichzeitig Ziel für erfolgreiche Krisenprävention und Schadensbegrenzung ist eine entsprechende Organisationskultur, in der dies überhaupt möglich ist. Im Bereich des Notfallmanagements wird dies auch als Sicherheitskultur bezeichnet. Eine funktionierende Sicherheitskultur besteht zum einen aus einer soliden Risikoanalyse und Planung, der passenden technischen Ausrüstung sowie vor allem aus gut geschulten Mitarbeitern. Das Wesentliche dabei ist, dass Prävention und Schadensbegrenzung vor der Krise nicht nur einmalige Maßnahmen sind, sondern in die Organisationskultur und -praktiken eingebettet werden.
Schauen wir uns nachfolgend ein paar Möglichkeiten der Krisenprävention an:
Risikovermeidung und -beseitigung
Risiken zu vermeiden, ist eine unternehmensinterne Maßnahme, bei der das Unternehmen im Kern alle mit dem Risiko verbundenen Tätigkeiten und Prozesse stoppt und die Eintrittswahrscheinlichkeit für ein Risiko gegen null geht. Wenn Risiken wegen einer hohen Eintrittswahrscheinlichkeit und/oder großen Auswirkung bzw. Schadenshöhe die Existenz des Unternehmens als Ganzes gefährden können, stellt Risikovermeidung eine gute Option dar. Auch dann, wenn es keine andere Strategie gibt, das jeweilige Risiko und seine Auswirkungen auf ein akzeptables Niveau zu verringern.
Da Unternehmensaktivitäten nicht nur für das Unternehmen selbst Auswirkungen haben können, sondern auch für Kunden, Lieferanten oder für die Gesellschaft insgesamt, begrenzen nationale und internationale Vorschriften z.B. in den Bereichen öffentliche Gesundheit, Umwelt, Bauwesen und Raumplanung Risiken häufig durch Auflagen und Verbote. Das gilt insbesondere für Unternehmen, deren Aktivitäten eine starke Außenwirkung haben können, wie es z.B. bei Kritischen Infrastrukturen der Fall ist.
Im ISO 31000-Sprachgebrauch ist “Risikobeseitigung” eine klar von der Risikovermeidung getrennte Option. Es bezieht sich auf die Beseitigung der Quelle eines bereits bestehenden Risikos. Oft wird das Konzept der Risikovermeidung aber auch für die Risikobeseitigung verwendet. Tatsächlich ist es manchmal schwierig, hier eine klare Grenze zu ziehen. In jedem Fall kann Risikobeseitigung als Möglichkeit verstanden werden, z.B. eine bestehende riskante Technologie oder Unternehmenspraxis vollständig zu ändern oder zu beseitigen.
Verringerung der Wahrscheinlichkeit und der Folgen eines Risikos
Bei der Risikoverminderung werden Maßnahmen getroffen, welche die Eintrittswahrscheinlichkeit und/oder die Auswirkungen eines Risikos positiv beeinflussen. Vorausgesetzt, dass beide Strategien im Vorfeld eine Risikobewertung vorgenommen haben und die Risiken bekannt sind, wird das Risiko auf ein für das Unternehmen akzeptables Maß verringert und mögliche Vermögensverluste begrenzt. Richtlinien und Grenzwerte legen auf praktischer Ebene fest, welche Risiken bis zu welcher Höhe eingegangen werden dürfen.
Abhängig vom Risiko und Kontext gehören zu den weiteren Maßnahmen auch Schutzvorkehrungen wie Kontrollen, Änderungen der Managementsysteme, besondere Personalstrategien, der Einsatz von Verträgen, finanzielle Anreize und Versicherungen. Grundsätzlich eignet sich die Risikoverminderung für solche Risiken, deren potenzielle Auswirkungen nur das Unternehmensergebnis beeinflussen.
Geeignete Sicherheitsmaßnahmen lassen sich jedoch auch mit der Identifikation von Risikofaktoren feststellen. Grundsätzlich sollte dies bereits während der Risikobeurteilung erfolgt sein. Als allgemeine Checkliste dienen sie dem Risikomanager jedoch auch als Krisenfrüherkennung, um Indikatoren für Krisen möglichst rechtzeitig zu erkennen und die passenden Schutzvorkehrungen zu treffen oder zu verbessern. Zu den gängigsten Indikatoren gehören sowohl menschliche Faktoren, als auch technologische, organisatorische sowie staatliche, soziale und kulturelle Faktoren.
Risikoübertragung bzw. Risikoteilung
Kann ein Risiko nicht mehr verhindert oder beseitigt werden, können Unternehmen die Last auf mehrere Schultern aufteilen. Bei der Risikoübertragung bleibt das Risiko also mit all seinen Folgen bestehen. Weder Eintrittswahrscheinlichkeit, noch Auswirkungen eines Risikos werden beseitigt. Nur der Träger des Risikos wechselt. Die Risiken können zum Teil oder komplett übertragen werden.
Die bekannteste Form der Risikoübertragung sind Versicherungen, die gegen Prämienzahlung versicherbare Risiken übernehmen. Im Gegenzug kann die Versicherung Risikokontrollen für die Police verlangen, oder die Versicherungsprämie in ihrer Höhe variieren. Eine andere gängige Methode ist die Übertragung von Risiken auf Vertragspartner, z.B. durch Outsourcing an Lieferanten für die Produktion bestimmter Komponenten. All diese Maßnahmen sollen die Liquidität und das Kapital nach Risikoeintritt gewährleisten.
Der große Nachteil der genannten Methoden ist jedoch, dass sich die Risikowahrnehmungen und Interessen zwischen den Partnern unterscheiden können, was zu Konflikten oder Unter- oder Überversicherungen führen kann. Außerdem gibt es keinen Versicherungsmarkt, der alle möglichen Risiken eines Unternehmens abdeckt.
Risikobeibehaltung
Trotz aller Maßnahmen lassen sich Risiken nicht vollständig ausschließen. Es bleibt immer ein Restrisiko, welches als bewusst eingegangenes Risiko vom Unternehmen selbst zu tragen ist. Im ISO-Sprachgebrauch ist von der Beibehaltung des Risikos durch eine fundierte Entscheidung die Rede (“retaining the risk by informed decision” ISO 31000:2018). Dabei spielen Aspekte wie Risikotoleranz und -wahrnehmung der involvierten Parteien eine große Rolle.
Doch wie zieht man die Grenze für diese Risikotoleranz in der Praxis? Eine Möglichkeit ist die Minimierung von Risiken auf ein vernünftiges und durchführbares Maß, bekannt unter dem ALARP-Prinzip (As Low As Reasonably Practicable). ALARP ist das Risikoniveau, welches tolerierbar ist und bei dem der Nutzen, das Risiko zu verringern, größer ist als der damit verbundene Aufwand oder die Kosten. Ob der Nutzen das Restrisiko überwiegt, kann mithilfe einer Risiko-Nutzen-Analyse abgeschätzt werden.
Bei minimalen Risiken ist es manchmal besser, das Risiko einfach zu akzeptieren und mit dem Geschäftsbetrieb weiterzumachen. Hier kann die beste Strategie sein, erst dann zu reagieren, wenn das Risiko tatsächlich auftritt. Meistens handelt es sich hierbei um Risiken mit einer geringen Eintrittswahrscheinlichkeit und geringer Auswirkung bzw. Schadenshöhe. Für die selbst zu tragenden Risiken müssen klare Risikokriterien und Grenzen festgelegt werden. Praktisch bedeutet dies z.B., für das potenzielle Risiko Rücklagen zu bilden, die bei Risikoeintritt verbraucht werden.
Risikobereitschaft als Prävention
Risikobereitschaft ist das Gegenteil von Risikovermeidung und bedeutet, dass ein Risiko bewusst eingegangen wird, weil es nicht nur als Bedrohung, sondern auch als Chance gesehen wird. Diese Risikooption ergibt sich aus dem generischen Ansatz der ISO-Norm.
Warum das Eingehen von Risiken als eine Option in Risikobehandlungsplänen im Kontext der ISO 31000 verstanden wird, liegt darin, dass die Norm auch solche Institutionen berücksichtigt, die sich ohnehin mit finanziellen und kommerziellen Risiken befassen und das Eingehen von Risiken daher als ganz normale und legitime Optionen betrachten.
In der Tat wird in Unternehmen die Unsicherheit oft als eine wesentliche Quelle der unternehmerischen Wertschöpfung angesehen. Voraussetzung für eine erfolgreiche Risikobereitschaft ist allerdings eine Unternehmenskultur, die den Drang nach Veränderung und Anpassung der organisatorischen Abläufe auf signifikante Veränderungen der Umwelt erleichtert und fördert. Es wird sogar so argumentiert, dass Unternehmen, die beim Eingehen von Risiken erfolgreich sind, auch die Prozesse der Risikoüberwachung und der strategischen Reaktionsfähigkeit beherrschen.
Krisenprävention kurz zusammengefasst
Bei der Krisenprävention geht es also zum einen um die Bedeutung der Sicherheitskultur eines Unternehmens oder Organisation, zum anderen um konkretere Präventions- und Risikominderungsstrategien, die sich auf die Norm ISO 31000 stützen. Gemäß dieser Norm folgt nach der Risikobewertung die Risikobehandlung. Diese wiederum umfasst Strategien, wie z.B. die gänzliche Vermeidung des Risikos, die Veränderung der Wahrscheinlichkeit und der Folgen oder die Teilung des Risikos, um nur einige zu nennen.
Da sich Krisen trotz aller präventiven Maßnahmen nicht gänzlich vermeiden lassen können, kommt der Krisenvorbereitung eine entscheidende Rolle zu. Diese schauen wir uns im nächsten Teil unserer Blogserie genauer an.
Lesen Sie weiter: Was ist Krisenmanagement? Teil 5 - Krisenvorbereitung.
Bildquellen: GroupAlarm