von Frank Romeike und Christoph Schwager
Kultur isst die Strategie zum Frühstück“, so ein Zitat des ehemaligen US-amerikanischen Ökonomen Peter F. Drucker. Gemeint ist der Wert der Unternehmenskultur, der weit über die rein rationale und strategische Organisationswelt hinausgeht. Nach Definition des Dudens beschreibt der Begriff den „Grad“, das „Maß, in dem ein Unternehmen den Ansprüchen der Unternehmensidentität entspricht oder zu entsprechen in der Lage ist“. Eine dehnbare Erklärung, die viel Spielraum für Unternehmensdenker und -lenker zulässt.
Vor allem in den bunten Geschäftsberichten wird die Unternehmenskultur wie ein Heiliger Gral hochgehalten und strapaziert. Dort steht regelmäßig viel über den „Wandel“ einer „global gelebten“ und „geschäftsfeldübergreifenden“ Unternehmenskultur. Selbstverständlich von „gegenseitigem Respekt“ und „Offenheit“ gekennzeichnet. Dass diese Begriffe in vielen Fällen nicht mehr als Füllwörter sind, bewahrheitet sich spätestens bei auftretenden Unternehmenskrisen. Nicht selten entpuppt sich das Ganze dann als „Potemkinsches Dorf“: Hochglanzbroschüren versprechen viel, um den tatsächlichen, verheerenden Zustand zu verbergen. Im tiefen Inneren fehlt es an Substanz. Eine große Spielwiese, auf der Unternehmen und ihre Verantwortlichen herumtollen, stolpern und häufig nicht mehr aufstehen. Im Klartext heißt das: Treten Krisen auf, ist die vielfach vorgeschobene Unternehmenskultur schnell dahin – weil nie wirklich gelebt oder nur halbherzig umgesetzt. Und doch ist es nicht möglich, keine Kultur zu haben. Jedes Unternehmen hat eine – positiv oder negativ besetzt.
Letztere ist in zweierlei Hinsicht fatal, nämlich in puncto Reputationsrisiken sowie der immensen Kosten für betroffene Unternehmen. Ein Paradebeispiel bietet die Informationssicherheit in Organisationen. Um die ist es nicht zum Besten bestellt, wie der Digitalverband Bitkom jüngst prognostizierte. Den Gesamtschaden durch Hackerangriffe beziffern die Bitkom-Experten auf rund 51 Milliarden Euro pro Jahr – nur für die deutsche Wirtschaft und nach „konservativen Berechnungen“. Ein warnendes Signal, bei einem Blick auf den allerorts propagierten digitalen Wandel der Geschäftswelt. Ergo braucht es die notwendige Sensibilisierung und das Wissen in Organisationen, um den technologischen Quantensprung hin zur Transformation im Maßstab 4.0 und höher bewältigen zu können.
Vom Tal der Ahnungslosen …
„Das Lieblingswort deutscher Manager ist zurzeit digitale Transformation. Sie wollen ihre Geschäftsmodelle ‚an das digitale Zeitalter anpassen‘“, schrieb das Wirtschaftsmagazin brand eins 2015 in einem Beitrag zu „Die drei Zauberworte“. Und diese drei Begriffe werden gebetsmühlenartig in Publikationen, Präsentationen und Pressegesprächen benannt. Die Rede ist von „Disruption“, „Plattform“ und „Netzwerkeffekt“. Das klingt nach viel Management und leider nach viel heißer Luft. Denn laut der WirtschaftsWoche sei nur jeder zwölfte Manager in Deutschland fit für die digitale Transformation.
Ein Blick in die Realität zeigt, dass nur die wenigsten Unternehmen reif sind für die digitale Transformation und für die notwendigen Veränderungsprozesse im Unternehmen. Kurzum: Viele Unternehmen verharren eher im Tal der Ahnungslosen und trauen sich nicht vom „lahmen Gaul“ abzusteigen und auf ein neues Pferd zu wechseln. Im Umkehrschluss heißt das: Führungskräfte, die den Weg hin zur digitalen Wende in den Organisationen initiieren, vorantreiben und überwachen müssen, haben schlicht keine Ahnung von dem, was sie an digitalen Platzhaltern von sich geben. Mehr noch sind sie überfordert und können dementsprechend nicht die Weichen Richtung zukunftsweisender digitaler Strukturen stellen. Aber genau dies braucht es. Denn Unternehmen jeder Größe und in allen Branchen sind in unserer digital eng vernetzten Welt verwundbarer denn je, bieten offene Flanken. Und diese lassen sich nicht einfach mit einem „Firewall-Denken 1.0“ schließen. Nicht selten wird beispielsweise bei der Umsetzung von Informationssicherheitsstrukturen vergessen, dass technologische Ansätze nur zu einem kleinen Anteil über den Erfolg entscheiden. Dreh- und Angelpunkt sind die eigenen Kollegen – von der Führungsebene bis zum normalen Mitarbeiter.
… zu mehr Awareness und einer gelebten Unternehmenskultur
Frank Romeike
Um aus digitalen Risiken Chancen reifen zu lassen, aus denen wiederum digitale Erfolgsgeschichten entstehen, muss eine „gelebte“ Unternehmenskultur in der Organisation Einzug halten. Die sollte von der Unternehmensspitze initiiert werden, durch alle Organisationsbereiche reichen, verstanden und mitgetragen von allen Mitarbeitern.
Hierzu braucht es klare Spielregeln – ein Defizit in vielen Führungsköpfen. Böse formuliert „stinkt der Fisch vom Kopf her“. Gemeint ist in diesem Kontext, dass sich Entscheider nicht an die Regeln im Unternehmen halten. So werden Maßnahmen für mehr Informationssicherheit ad absurdum geführt, wenn diese beim Verlassen des Firmengeländes über Bord geworfen werden. Ein offenes Ohr in der Bahn oder am Flughafen genügt, um Geschäftszahlen, Vertragsabschlüsse sowie sonstige Interna mitzubekommen.
Im Umkehrschluss heißt das, Informationssicherheit ist nur so gut, wie die Menschen, die sie leben. Gleiches zählt für Mitarbeiter, die mit dem eigenen Smartphone im Unternehmen hantieren, filmen, Daten kopieren oder unachtsam mit sensiblen Unternehmensinformationen umgehen. Social Engineering, Hackerangriffe oder Spionagefälle in Unternehmen beweisen, dass Angreifer diese Schwächen für sich zu nutzen wissen. Es zeigt sich: Gründe für mehr Awareness im Umgang mit dem Firmengut „Informationen“ gibt es genug. Leider werden diese zu wenig beherzigt und in konkrete Sensibilisierungsmaßnahmen in der Organisation umgesetzt. Wichtig ist in diesem Zusammenhang auch, dass Mitarbeiter den Wert ihrer Person erfahren und als wichtiger Teil der Gesamtorganisation verstanden werden und dies auch vermittelt wird. Wer in Präsentationen mit Vokabeln der Marke „Humankapital“ oder „Mitarbeiterressource“ zu punkten versucht, scheitert. Denn die Kollegen haben ein gutes Gespür dafür, wer es als Firmenchef ernst meint mit der Kultur und wer nicht. Und hierzu zählt vor allem das Prinzip des Vertrauens.
Die Reifegradtreppe hinauf bis zum Planspiel
Im Idealfall reift eine Kultur in der Organisation, in der alle an einem Strang ziehen und ihren Beitrag für den Erfolg des Unternehmens leisten. Doch Vorsicht: „Keep it simple, stupid“, so die alte Managerweisheit. Dahinter steckt viel Wahrheit, denn Leitplanken für ein qualitatives Mehr an Informationssicherheit zu setzen ist das eine. Mitarbeiter mit zu viel Regeln, Normen und Software zu überfordern ist das andere. Ein durchgängiges Informationssicherheitsmanagement muss in ein gelebtes Chancen- und Risikomanagement integriert werden. Und dieses muss reifen. Unterschiedliche Reifegrade in der Risk-Governance – also einer stakeholderorientierten Risikosteuerung aus strategischer Sicht – sind ein guter Indikator für die Messbarkeit des Erfolgs der eigenen Maßnahmen. Ausgehend von fünf Stufen im Risikomanagement ist das erklärte Ziel, von einer reinen „Risikodokumentation“ (Stufe eins) und einer Unternehmenssteuerung nach dem Prinzip „Zufall und Glück“ zu einer „Leading-Stufe“ zu gelangen. Die letzte Reifegrad-Stufe ist von einer gelebten Risikokultur auf allen Unternehmens-ebenen geprägt, mit einem starken Fokus auf Kreativitätsmethoden und Frühwarnsignalen, die in die Unternehmenssteuerung einfließen (vgl. Abbildung/Reifegradtreppe). Für Entscheider muss es das erklärte Ziel sein, einen möglichst hohen Reifegrad zu erlangen und als Teil der Unternehmenssteuerung zu verstehen. Damit lassen sich Chancen zukunftsgewandt erkennen und proaktiv steuern sowie die Resilienz (Widerstandsfähigkeit) des eigenen Unternehmens stärken – auch gegen Cyberattacken, Sabotage und Spionage im eigenen Haus.
Risiko- und Chancenmanagement wie im Flugsimulator lernen
Christoph Schwager
Stellt sich die Frage, wie Unternehmens- und Risikokultur gemessen und weiterentwickelt werden können. Hier hilft ein Blick in die Luftfahrt, bei der ein gelebtes Risiko- und Krisenmanagement auf eine lange Historie verweisen kann. In den Kindertagen der Luftfahrt bestand das Risikomanagement- und Frühwarnsystem des Piloten – neben dem Kompass – im Wesentlichen aus drei Instrumenten: Schal, Krawatte und Brille. An der Art wie der Schal flatterte, konnte der Pilot Geschwindigkeit und Seitenwind abschätzen. Hing die Krawatte schräg, musste die Kurvenlage korrigiert werden. Und beschlug die Brille, so zeigte dies baldigen Nebel oder Regen an – und die Notwendigkeit, schleunigst zu landen. Heute sieht die Welt in der Luftfahrt anders aus: Hochtechnische Navigations- und Frühwarnsysteme und ausgefeilte Risikomanagement-Systeme haben zu einer hoch entwickelten Risikokultur und einem exzellenten Sicherheitsniveau in der Luftfahrt geführt. Ein wesentliches Element hierbei spielen heute Simulationen.
Ein Blick in die Realität zeigt, dass nur die wenigsten Unternehmen reif sind für die digitale Transformation und für die notwendigen Veränderungsprozesse im Unternehmen.
Piloten üben im Flugsimulator den richtigen Einsatz von Risikomanagement-Methoden und die adäquate Reaktion in Krisen. Der Flugsimulator stellt eine realitätsnahe Trockenübung dar und vereint Elemente aus Kreativitäts-, Szenario- und Simulationstechniken. Die erweiterte Form der Szenario- und Simulationstechnik unter Zuhilfenahme spielerischer Elemente und Interaktionsmuster kann auch im Unternehmensalltag genutzt werden, um Unternehmens- und Risikokultur zu entwickeln.
Reifegradtreppe
Ein Risikomanagement-Planspiel bzw. sogenannte Business-Wargames (wie etwa RiskNET R & OM Simulation bzw. Project@RISK von RiskNET) schaffen ein tieferes Verständnis der Aktionen und Reaktionen der unterschiedlichen Stakeholder und explizieren kognitive Verhaltensmuster und Verzerrungen. Ein praktischer Nebeneffekt: Risikokultur kann – basierend auf den Verhaltensweisen der Stakeholder – gemessen werden. Kritische Risiken können identifiziert werden, die durch „klassische“ Analysemethoden nicht erkannt werden. So werden beispielsweise aufgrund sogenannter „kognitiver Heuristiken“ (Repräsentativität und Verfügbarkeit) die Wahrscheinlichkeiten für Ereignisse umso größer eingeschätzt, je repräsentativer das Ereignis für die zugrunde liegende Grundgesamtheit erscheint und je leichter bzw. schneller Menschen in der Lage sind, sich (plastische) Beispiele für das Ereignis vorzustellen bzw. in Erinnerung zu rufen (vgl. Gleißner/Romeike 2012, siehe Literaturkasten).
Weiterführende Literatur
Erben, Roland F. / Romeike, Frank (2016): Allein auf stürmischer See – Risikomanagement für Einsteiger, 3. komplett überarbeitete Auflage, Wiley Verlag, Weinheim 2016.
Gleißner, Werner / Romeike, Frank (2012): Psychologische Aspekte im Risikomanagement – Bauchmenschen, Herzmenschen und Kopfmenschen, in: Risk, Compliance & Audit (RC&A), 06/2012, S. 43-46.
Romeike, Frank / Spitzner, Jan (2013): Von Szenarioanalyse bis Wargaming – Betriebswirtschaftliche Simulationen im Praxiseinsatz, Wiley Verlag, Weinheim 2013.
Romeike, Frank (2014): Simulation mit Business Wargaming, in: FIRM Jahrbuch 2014, Frankfurt/Main 2014, S. 140-143.
Sich der eigenen Schwächen beim intuitiven Umgang mit Risiken bewusst zu sein, ist der erste Schritt für die Verbesserung der Potenziale im Risikomanagement. Hierbei können Planspiele einen erheblichen Mehrwert bieten. In diesem Kontext passt sehr gut ein Zitat des US-amerikanischen Ökonomen Thomas Crombie Schelling, Preisträger für Wirtschaftswissenschaften der schwedischen Reichsbank im Gedenken an Alfred Nobel: “The one thing you cannot do, no matter how rigorous your analysis or heroic your imagination, is to make a list of things you never thought of.” Bei diesem kreativen Prozess kann ein Business-Wargame bzw. Planspiel Unterstützung bieten.
Der Text ist unter der Lizenz CC BY-SA 3.0 DE verfügbar.
Lizenzbestimmungen: https://creativecommons.org/licenses/by-sa/3.0/de/
Informationen zu Frank Romeike
Informationen zu Christoph Schwager
Wearables sind ein typisches Einsatzgebiet des IoT. Eine Smartwatch kann beispielsweise ihren Träger genau lokalisieren und diese Daten an die Heizung im Smart Home übermitteln. So kann sich diese automatisch ausschalten, falls das Haus verlassen wird, und sich einschalten, wenn man sich nähert.
Lizenz: 
