Professor Emeritus of Security Technology at ETH
Former Director of the Laboratory for Security Analysis.
Risikomanagement mit Anpassungsbedarf
Risikomanagement erstreckt sich auf die Beurteilung (Identifikation, Analyse und Bewertung), Bewältigung und Kommunikation von Risiken, vorausgesetzt, dass sie erkannt und ernst genommen werden. Dabei handelt es sich um einen fortlaufenden Prozess, der traditionell in Unternehmen oder Behörden stattfindet und standardisiert ist (ISO 31000). Dasselbe Risiko kann von verschiedenen Risikoträgern unterschiedlich aufgenommen oder gar ausgeblendet werden, was sich negativ auf die nachfolgenden Phasen des Risikomanagements auswirkt.
Risiko als zentraler Begriff erstreckt sich auf Chance und Wagnis. Im technischen Bereich steht die Negativkonnotation im Vordergrund, Risiko beinhaltet dann die Eintrittswahrscheinlichkeit von Störereignissen und deren Folgen als Elemente, die oft multiplikativ zu einer Risiko-zahl verknüpft oder getrennt in Diagrammen dargestellt werden. Zunehmend werden auch involvierte Unsicherheiten ausgewiesen. Dieses mathematisch gefasste, sog. objektive Risiko unterscheidet sich von dem wahrgenommenen, sog. dem subjektiven Risiko, bei dem psychologische Aspekte eine grosse Rolle spielen und das je nach Perspektive, Charakteristik, Nutzen und Schadenshöhe sehr unterschiedlich sein kann. Als Arten unterscheidet man u.a. politische, technische, ökonomische/finanzielle und logistische (supply chain) Risiken, die bisher meist einzeln, voneinander getrennt betrachtet wurden.
Als “supply chain” (Liefer- oder Versorgungskette) versteht man ein System zur Umwandlung natürlicher Ressourcen, von Rohmaterial und halbfertigen Produkten zu einem Endprodukt und dessen Transport und Auslieferung an Endverbraucher. An den Vorgängen sind oft Firmen/ Akteure komplett unterschiedlicher Ausrichtung, Interessen und Kulturen beteiligt; sie sind jeweils bestrebt, innerhalb ihres Betätigungsfeldes die Einkünfte zu maximieren und haben kaum Kenntnisse über die anderen Beteiligten oder gar Interesse an der gesamten «supply chain» mit ihren Vernetzungen, die nicht nur im Bereich physischer Produkte, sondern auch im Dienstleistungssektor anzutreffen sind.
Heutige «supply chains» haben sich zu komplexen Systemen entwickelt, getrieben von Globalisierung und ermöglicht durch Digitalisierung, in dem Bestreben, hochwertige Produkte und hocheffektive Services zu geringsten Kosten bereitzustellen. Dieses ist einhergegangen mit der Suche nach produktivsten Standorten und Niedriglohnländern und einer “just-in-time” Strategie zur Vermeidung unnötiger kostspieliger Lager- und Vorratshaltung. Entstanden ist ein hochgradig vermaschtes globales Netzwerk mit einer Vielzahl von Akteuren, Organisationen, unüberschaubaren Materialflüssen, Transportfirmen und -routen; sie vereinen in sich unter-schiedlichen politische, soziale und kulturelle Bedingungen. «Supply chains» in verschiedenen Bereichen auszumachen, so im Pharma- und Nahrungsmittelsektor, im Automobilbau und in der Textilindustrie, bei der Herstellung elektrischer und elektronischer Geräte/Elemente, bei Informations- und Datendiensten, bei Finanztransaktionen etc.
Grosse Erfolge für viele Volkswirtschaften und Verbraucher sind unbestritten, aber wir haben einige gravierende Störungen/Unterbrechungen erlebt, deren Häufigkeit und Schadensaus-mass noch zunehmen könnten und uns zum Umdenken zwingen:
- Unterbrechung der Versorgung mit Rohmaterialien und Chips sowie pharmazeutischen Produkten/Medikamenten, verursacht durch COVID-19 Pandemie, mit völlig unerwartetem Beginn im Jahr 2020.
- Blockage des Suez Kanal (eines der wichtigsten Nadelöhre des Welthandels neben dem Panama Kanal, der Meerenge von Singapur und Hormuz und dem Roten Meer) durch das Riesencontainer-schiff «Ever Given» im März 2021 mit grossen Auswirkungen auf die Versorgungslage in vielen Sektoren, vor allem in einigen Europäischen Ländern.
- Unterbrechung der Versorgung mit Textilien nach dem Einsturz eines primitiven Gebäudes einer Nähereifabrik in Bangladesh (2013) – mit etwa 1000 Todesopfern.
Diese Unterbrechungen und aufgedeckten Verletzbarkeiten mahnen uns, das Risikomanagement-Konzept verstärkt auf Risiken von gesellschaftlicher Relevanz, einhergehend mit einer möglichen Gefährdung der Versorgungssicherheit, auszudehnen und sie voll in ihrer Bedeutung und Komplexität zu begreifen. Für die Risikoidentifikation und Analyse möglicher Gefährdungen stehen neben der «Imagination», Expertenbefragung und Auswertung von Vorkommnissen eine Vielzahl unterschiedlicher analytische Hilfsmittel zur Verfügung, wie die probabilistische Sicherheitsanalyse (PSA) sowie Szenario und System Analyse Techniken (FMEA, HazOp, STPA). Zur Darstellung der Ergebnisse und zu ihrer Kommunikation bieten sich die in vielen Sektoren gebräuchliche Risikomatrix oder Diagramme an, jeweils mit der Eintrittswahrscheinlichkeit und dem Schadensausmass als Achsen, die Nationale Risikoanalyse Katastrophen und Notlagen Schweiz 2020 mag als Meilenstein der Orientierung dienen. Zur Bewertung der Ergebnisse sind Risikokenngrössen und Akzeptanzkriterien zu vereinbaren, die das jeweilige aggregierte Risiko in einen gesellschaftlichen Kontext stellen sollten (Technik der vergleichenden Risikobewertung).
Massnahmen zur Risikobewältigung/-reduzierung sollten Kosten-Nutzen Betrachtungen zulassen (ALARA/P Prinzip). Sie sollten dementsprechend nicht nur dem heute geltenden, eng gefassten Primat der unmittelbaren Kosten oder Wirtschaftlichkeit folgen und dabei – wie oft festzustellen – Grundregeln der Sicherheitstechnik – wie Redundanz, Diversität und Lagerhaltung ignorieren. Dem Verstoss gegen gebotene staatliche Souveränität ist Einhalt zu gebieten. Im Einzelfall müssen höhere direkte Kosten in Kauf genommen werden, die aber durch vermiedene Kosten infolge von Unterbrüchen mehr als aufgewogen werden. Dies gilt für Bereiche der Landesversorgung, insbesondere kritische «supply chains», und kritische Infrastrukturen. Bspw. hätte ein Verzicht auf ein redundantes System zur Gotthardpassage in Form des « zu teuren» Erhalts der Bergstrecke den volkswirtschaftlichen Schaden des Unfalls im Basistunnel weiter dramatisch verschärft.
Ein erfolgreiches Risikomanagement setzt ein entsprechendes Risikobewusstsein und fortwährende Risikokontrolle voraus. Dafür sind klare Verantwortlichkeiten und übergeordnete Stellen vonnöten – in Unternehmen etwa der Chief Risik Officer, bei Staaten der Koordinator zuständiger Ämter. Man sollte sich vor einem blinden Vertrauen in die Allmacht technischer Perfektion und finanzieller Mittel zur Schadensregulierung hüten. Einige weisen darauf hin, dass die Skalierbarkeit der traditionellen Schritte des Risikomanagements an seine Grenzen stösst und komplementäre Massnahmen und Konzepte nötig sind. Dazu zählt die Stärkung der Resilienz eines Systems, so auch die systemrelevanter «supply chains». Sie sollten auf Störungen (Schocks) aller Art «verzeihend» reagieren, also nicht kollabieren, sondern nach einem möglichst eingeschränkten Funktionsverlust zur ursprünglichen Leistung (performance) zeitnah zurückkehren. Das Resilienz-Konzept scheint zudem für einen besseren Umgang mit Unsicherheiten und Veränderungen geeignet zu sein, da es weniger auf die Identifizierung und Bewältigung spezifischer Risiken ausgerichtet ist, sondern uns mehr über das charakteristische Verhalten eines Systems nach Schocks informiert und die Planung von Gegenmassnahmen ex ante und situativ erlaubt.