Zunächst einmal sind der Aufbau, die Verankerung und die Stärkung der Risiko-Kultur — analog der Entwicklung einer adäquaten Unternehmenskultur — permanente Prozesse, die wohl niemals abgeschlossen sein werden. Dementsprechend reicht es bei weitem nicht aus, die Ziele und Grundlagen eines ganzheitlichen Chancen- und Risiko-Managements einmalig gegenüber den Mitarbeitern zu kommunizieren. Vielmehr müssen diese Prinzipien wieder und wieder betont werden, um auch tatsächlich eine nachhaltige Wirkung entfalten zu können. Im Gegensatz zum Wunschdenken vieler Unternehmen, dass sich die so genannte „Risk Awareness“ im Laufe der Zeit quasi automatisch herausbildet und im Denken und Handeln der Mitarbeiter, verankert wird, zeigt die Erfahrung, dass in der Praxis ganz konkrete Prozesse und Handlungsanweisungen erforderlich sind, um dieses Ziel zu erreichen. Prozesse und Handlungsanweisungen, deren Umsetzung (oder Ignoranz) konsequenterweise auch in die Leistungsbeurteilung des jeweiligen Mitarbeiters mit einfließen sollten. Eine wesentliche Komponente hierbei sind natürlich adäquate Ausbildungs- und Trainingsprogramme. Diese sollten allerdings nicht nur „hartes“ Risiko-Management-Know-how, wie beispielsweise die wirkungsvolle Einrichtung einer Firewall zur Abwehr von Hackerangriffen und Computerviren, die Anwendung statistischer und finanzmathematischer Methoden zur Prognose des Kreditausfallrisikos oder ähnliches Faktenwissen, beinhalten. Mindestens ebenso große Aufmerksamkeit sollte vielmehr darauf gelegt werden, die Fähigkeiten der Mitarbeiter zum ganzheitlichen, interdisziplinären Denken und Handeln zu fördern. Schließlich werden sie erst durch den berühmten „Blick über den Tellerrand“ in die Lage versetzt, Risiken nicht nur in ihrem eigenen Bereich zu suchen (und hoffentlich auch zu finden), sondern können gleichzeitig auch einschätzen, ob bzw. inwieweit diese auch Auswirkungen in anderen Abteilungen und Unternehmensfunktionen entfalten.
Risiko-Management ist ein wertschöpfender Prozess
In vielen Unternehmen wird vor allem die negative Seite des Risikos betrachtet. Doch es gilt nach wie vor der Satz: „Risk is the sugar and salt of life“. Um eine angemessene Risiko-Kultur zu etablieren, ist es daher zu allererst erforderlich, auch die „süße“ Seite des Risikos deutlich zu machen. Schließlich gäbe es ohne Risiken auch keinerlei Chancen und der verantwortungsvolle Umgang mit Risiken stellt in Wirklichkeit einen wesentlichen Werttreiber für das Unternehmen und damit auch für alle seine Stakeholder dar. Wenn die Mitarbeiter erst einmal verstanden haben, welch überragende Bedeutung dem Risiko-Management im heutigen Wettbewerbsumfeld zukommt, werden sie mit Sicherheit auch eher bereit sein, mit den verantwortlichen Risiko-Managern zu kooperieren und ihnen die benötigten Informationen zur Verfügung zu stellen. Dieser Prozess kann ebenfalls durch ein geeignetes Anreizsystem beschleunigt und verbessert werden. Effektives und effizientes Risiko- Management stellt allerdings nicht nur für das Unternehmen insgesamt einen wertschöpfenden Prozess dar, sondern muss sich auch für den einzelnen Mitarbeiter oder zumindest die einzelne Abteilung auszahlen. Was spricht dagegen, wenn ein Unternehmen einen Teil der Kosteneinsparungen, die es durch das risikobewusste Verhalten seiner Mitarbeiter realisieren kann, auch an diese weitergibt? Anstatt die Vergütung eines Mitarbeiters bzw. Abteilungsleiters oder das Budget eines Unternehmensbereichs ausschließlich am Ergebnis festzumachen, sollte auch überlegt werden, welche Risiken zur Erreichung dieses Ergebnisses eingegangen werden müssen. Insgesamt kann ein Vergütungssystem (oder zumindest einige seiner Komponenten) durchaus in einer Art und Weise strukturiert werden, so dass es sich nicht an der absoluten, sondern an der risikoadjustierten Performance des Einzelnen bzw. der gesamten Abteilung orientiert. Auf diese Weise werden der vernünftige Umgang mit Risiken belohnt und das Eingehen oder die Inkaufnahme von (aus Sicht des Gesamtunternehmens) unerwünschten oder inakzeptablen Risiken gleichzeitig sanktioniert, selbst wenn letztere Strategie auf Grund glücklicher Umstände letztlich doch zu den gewünschten Erfolgen führen sollte. In der Praxis lässt sich eine solche „Bestrafung“ beispielsweise dadurch erreichen, dass bei fortgesetzter Missachtung von Sicherheits-Bestimmungen oder internen Vorgaben bzw. Policies (etwa der Verzicht auf die erforderlichen Schulungen zum Thema Bonitätsprüfung oder der Aufbau einer unzureichenden technischen Infrastruktur, um das Budget der Abteilung zu schonen) adäquate finanzielle Sanktionen folgen. Erfahrungsgemäß müssen derartige Konsequenzen aber auch rigoros durchgesetzt werden, damit das Thema „Risiko-Management“ wirklich ernst genommen wird. Eine gute Risiko-Kultur ist immer auch eine „wehrhafte“ Risiko-Kultur.