Aus Erfahrung lernen

Das Wissen im Bereich Risikomanagement basiert wesentlich auf den Erkenntnissen aus vergangenen Schadenereignissen („Schaden- erfahrung“). Die Möglichkeiten, Wissen zu speichern, mag im Hinblick auf die rasanten Entwicklungen bei Computerchips unbegrenzt erscheinen. Die Fähigkeiten, Wissen langfristig zu konservieren, ist für Menschen allerdings durchaus limitiert. Organisationen hingegen haben gar kein „Gedächtnis“. Untersuchungen bei Unternehmen, die von einem schweren Schadenereignis betroffen wurden, zeigen, dass die Anstrengungen zur Schadenverhütung und auch die Bereitschaft für Investitionen im Risikomanagement unmittelbar nach einem Schadenereignis überproportional zunehmen.

Bereits einige Jahre später allerdings ist die Nachhaltigkeit der seinerzeit priorisierten Maßnahmen praktisch nicht mehr messbar (weil Mitarbeiter und Verantwortlichkeiten inzwischen gewechselt haben, das Unternehmen selbst sich aber nicht „erinnert“). Viele Brandereignisse und sonstige Großschäden hätten vermieden werden können, wenn „man“ das Wissen aus früheren Ereignissen (die Erkenntnisse über Schadenursachen und Schadenabläufe sowie die Erfahrungen, die sich daraus ableiten) sorgfältig aufgearbeitet und langfristig gespeichert hätte.

Damit ist nicht das physische Speichern auf Datenträgern gemeint, sondern die Notwendigkeit, Gelerntes nachhaltig in einem „Gedächtnis“ (in welcher Form auch immer) präsent zu halten, damit es bei Bedarf spontan abrufbar ist. Die Praxis jedoch lehrt, dass sich bestimmte Schadenverläufe mit immer wiederkehrenden Schadenursachen zu „typischen“ Schadenszenarien entwickeln. In diesem Zusammenhang gewinnt man häufig den Eindruck, dass aus früheren Fehlern nichts gelernt wurde. Auch wenn die Wahrscheinlichkeit, dass ein Objekt oder eine Person von einem bestimmten Schadenereignis betroffen sein wird, grundsätzlich durch sehr kleine statistische Kennzahlen beschrieben wird, ist die Möglichkeit, von diesem Ereignis betroffen zu sein, niemals null.

Gleichwohl kleine Eintrittswahrscheinlichkeiten und niederfrequente Wiederkehrperioden ein bestimmtes Risiko in eine unkritische Bewertungskategorie einstufen, sind statistische Erfahrungswerte für betroffene Geschädigte wenig hilfreich. Was nützt dem Besitzer eines Unternehmens einer statistisch nur sehr selten von Schadenereignissen betroffenen (also risikotechnisch unkritischen) Betriebsart die statistische Sicherheit, wenn entgegen der statistischen Erwartung (zum Beispiel durch außergewöhnliche Verkettung von unerwarteten Zwischenfällen) sein Betrieb dennoch vernichtet wurde? Insofern verführen, unabhängig von der Art des Risikos (Feuer, Hochwasser, Finanzmärkte, politische Rahmenbedingungen) statistische Kennzahlen zum leichtgläubigen Vertrauen auf (Schein)Sicherheiten.

Je nachdem aus welcher Perspektive man auf ein Risiko blickt (aus dem Blickwinkel eines Menschenlebens, dem Verlauf einer Managementkarriere, der Lebensdauer einer Organisation oder der Laufzeit einer Versicherungspolizze), ergeben sich unterschiedliche Bewertungen von Risiken. Eintrittswahrscheinlichkeiten im Promillebereich werden gedanklich oft ausgeblendet, da sich der Verantwortungszeitraum von Entscheidungsträgern in zeitlich viel kleineren Zeiteinheiten wiederfindet (Lebenszeit eines Individuums, Amtszeit eines Vorstands, Wahlperiode eines Politikers). Im Schadenfall ist für ein einzelnes betroffenes Unternehmen die „Vogelperspektive“ einer Risikoeinschätzung auf Basis von statistischen Kennzahlen irrelevant, da zählt nur die Eigenperspektive, und es geht dabei häufig um das Überleben der Organisation.

Traditionelle Maßnahmen konventioneller Schadenverhütung mit klassischen Schutzkonzepten genügen den heutigen Anforderungen an einen risikoadäquaten Umgang mit Gefahren nur noch bedingt. Die besondere Herausforderung an risikoadäquate Schadenverhütung liegt darin, auf der Basis von Erfahrungen über zurückliegende Ereignisse ein potenzielles Szenario in der Zukunft vorauszusehen und sich vorzustellen, wie ein solches „virtuelles“ Schadenereignis ablaufen kann und welche Folgen und Konsequenzen potenziell zu erwarten sind. Insofern sind bei der Identifizierung von Risikomerkmalen neben augenscheinlichen und offenkundigen Indikatoren insbesondere auch solche subjektiven Kriterien von Bedeutung, die sich einer direkten (naturwissenschaftlichen) Messbarkeit entziehen („weiche“ Faktoren/„soft“ facts). Ursächliche Gründe für Großschäden liegen zumeist im Bereich menschlicher Faktoren, wobei menschliche Fehler im Kontext von fehleranfälligen Systemen gesehen werden müssen.

Bei der Verkettung von Schadenereignissen spielen oft einfache Ursachen eine zentrale Rolle: Fehler oder Schwächen im Managementprozess, Fehlbedienung von Maschinen und Anlagen, betriebliche Organisationslücken oder menschliches Versagen. Somit verlangt risikoadäquate Schadenverhütung neben der Umsetzung konventioneller Maßnahmen auch die Berücksichtigung des Menschen als zentrales Element eines integrativen Risikomanagementprozesses. Während konventionelle Schadenverhütung primär die Identifizierung kalkulierbarer Risiken verfolgt, erfordert die sich stetig verändernde Risikolandschaft auch den Umgang mit schwer kalkulierbaren Risiken.

Insofern ist es Zeit, dass „konventionelle Maßnahmen“ durch „risikoadäquate Strategien“ abgelöst werden. Nun ist ein neues Paradigma am Start, das die Werte eines Unternehmens neu gliedert und in der modernen Betrachtung von Risikomanagement die Zusammenhänge zwischen diesen bewertet. Im Gegensatz zur konventionellen Herangehensweise (baulicher, technischer und organisatorischer Schutz in Ergänzung zu abwehrenden Maßnahmen) werden die Elemente „Hardware“, „Software“ und „Lifeware“ als integrale Bestandteile der Sicherheitskultur eines Unternehmens verstanden.

• Hardware: Schutz von Gebäuden und Einrichtungen durch bauliche Maßnahmen und anlagentechnische Systeme. Im weitesten Sinne alle technischen Faktoren wie zum Beispiel Prozesssicherheit, Brand- und Explosionsschutz.
• Software: Erhaltung der Funktionsfähigkeit eines Unternehmens durch regulatorische Maßnahmen (Organisationsstrukturen, geregelte Prozessabläufe, Prüfkreisläufe, etc.). Im weitesten Sinne alle organisatorische Verfahren, Prozesse und Methoden.
• Lifeware: Schutz von strategischen Zielen, aber auch von kulturellen und gesellschaftlichen Werten, unter Betrachtung des Faktors Mensch. Hierbei werden Kriterien, die sich aus dem Unternehmen ergeben (Sicherheitsmanagement, Sicherheitskultur, Risikophilosophie), ebenso berücksichtigt wie risikorelevante Einflüsse durch Mitarbeiter (Sicherheitsbedürfnis, Risikobewusstsein, Motivation).

Für eine integrierte Risikobeurteilung genügt es zudem nicht, die einzelnen Risikofaktoren isoliert zu betrachten. Es kommt auf das interaktive Zusammenspiel, und damit auf die komplexen Wechselwirkungen zwischen einzelnen Faktoren an, die das Risiko bestimmen. Am Ende wird der Faktor Mensch noch wichtiger.

Dr. Michael Buser, Geschäftsführer bei der Risk Experts-Risiko Engineering GmbH