Risikoanalyse und Risikomanagement in der Energiewirtschaft

"Mehr als nur Ressourcenknappheit"
Sicherheit ist ein Grundbedürfnis welches jeder Mensch für sich anders empfindet. In diesem Zusammenhang jedoch zu sehen, dass persönliche Erfahrungen und Erlebnisse einen Einfluss auf das Risikobewusstsein und Verhaltensweise eines Menschen ausmachen. Dies bedeutet, dass derjenige bei dem schon dreimal eingebrochen wurde, sicherlich ein anderes Sicherheitsempfinden und Risikobewusstsein entwickelt hat als derjenige der in einer Gegend wohnt, in der die Nachbarn noch etwas mitbringen anstatt etwas wegzunehmen.
Insofern ist es wichtig in einem Unternehmen und in deren Sprachgebrauch, ein allgemein gültiges Verständnis und messbares Risikobewusstsein zu entwickeln. Beispiele von Personen oder Unternehmen die an diesen Herausforderungen gescheitert sind, gibt es leider über die Zeit gesehen genug. Traurige Berühmtheit in der Öffentlichkeit erlangten dabei der bereits viel zitierte Untergang der Titanic oder aber die Umweltkatastrophe im Golf von Mexiko.

Risiken ereilen uns jeden Tag persönlich, aber vor allem in den Unternehmen. Dieser Entwicklung sind wir uns bewusst und diejenigen unter uns, die bereits Risikomanagementsysteme implementiert haben, stellen dabei sicher fest, dass Risiken die sie vor zehn Jahren als strategische Ausrichtung erkannt haben, heute Einfluss auf die Rechtsprechung und Unternehmensorganisationen haben. Genannt sei in diesem Kontext unter anderem das Beispiel KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), welches als Gesetzessammlung 62 verschiedene Gesetzesänderungen in den Bereichen des Handelsgesetzes, Aktiengesetzes aber auch des Genossenschaftsgesetzes mit sich brachte. Von besonderer Bedeutung haben sich § 91/ Abs. 2 Aktiengesetzt sowie § 317 HGB Abs. 4 herausgestellt. Basierend auf diesen Paragraphen lässt sich ausmachen, dass die Vorschriften Ausstrahlungswirkung auf andere Unternehmungen und somit in der Rechtsprechung auch Anwendung auf GmbHs und anderer Kapitalgesellschaften finden. Den Unternehmen wird hier ein System zur Risikofrüherkennung und zur Risikoabwehr abverlangt.

Basel I und II sind eine Auswirkung aus medienwirksamen Unternehmensinsolvenzen wie Flowtext, Swissair, Holzmann, Kirch Gruppe oder der Fall Schneider. Alleine diese Beispiele verursachten Schäden in Milliardenhöhe und führten zu globalen Ausrichtungen und zur Liberalisierung des Aktienmarktes. Darüber hinaus wurde durch die Bank für internationalen Zahlungsausgleich den Geschäftsbanken vorgeschrieben, wie sie mit ihren Kreditkonditionen zu verfahren haben. Nicht nur Darlehenshöhe und Laufzeit waren länger relevant, sondern die Bonität. Simpel zusammengefasst heißt das, schlechte Bonität, höheres Risiko, höhere Zinsen - gute Bonität, geringes Risiko, niedrige Zinsen.

Als drittes sei die Entwicklung der Corporate Governance-Richtlinien, als ein Begriff der ein Bündelung von Prinzipien Rechten und Standards beinhaltet, genannt. Und auch hier werden die Rechte und Aufgaben der gesetzlichen Organe geregelt. Das betrifft Vorstand, Geschäftsführung und auch den Aufsichtsrat. In dieser Kombination reden wir hier über ein Wertemanagement oder auch ein Vertrauensmanagement

Betrachten wir diese Entwicklungen in einen Zwischenfazit dann haben wir Vorstand und Geschäftsführer, die in ihrem Geschäftsfeld das Prinzip des ordentlichen und gewissenhaften Kaufmanns walten lassen. Ergänzend dazu der Druck des Gesetzgebers, sich mit Risiken und deren Auswirkungen auseinanderzusetzten, wenn zwei der folgenden Kriterien erfüllt sind, ist das Unternehmen verpflichtet, unternehmensweit ein Risikomanagement zu implementieren.

Welche Kriterien sind das im Einzelnen:

  • Die Bilanzsumme ist größer als 3,5 Millionen Euro
  • Der Umsatz ist größer als 6,78 Millionen Euro
  • Die Unternehmen haben mehr als 50 Mitarbeiter

Erfüllt das Unternehmen zwei dieser Kriterien, ist der Vorstand und die Geschäftsführung in der Handlungsverantwortung, ein Risikomanagementsystem ist einzusetzen.
Kommt das Unternehmen dieser Handlungsverantwortung nicht nach, liegt ein Organisationsverschulden vor, Vorstand und Geschäftsführung sind in der Haftung.

Für ein Unternehmen ist der Bereich der Handlungsverantwortung jedoch weit größer und mehr auszudehnen. Neben diesen Vorgaben gibt es noch die sogenannten Softfacts. Reputationsverlust, Glaubwürdigkeit in der Öffentlichkeit, Schwächen der Marktposition Fürsorge gegenüber Mitarbeitern, Verantwortung gegenüber Kunden, das Markenprofil als Unternehmenswert zu sehen, gehören dazu.

Für den Bereich der Energiewirtschaft z. B. ergibt sich durch die Zuordnung in den Bereich der Kritischen Infrastruktur KRITIS eine weitere Handlungsverantwortung. Diese Zuordnung erfolgt durch die Bundesregierung, welche verschiedene Unternehmen als wesentliche Ressource für die Grundversorgung der Bundesrepublik definiert hat.

Der Bereich Energiewirtschaft gehört dazu. Dieser Bereich ist angehalten und durch seine Sonderstellung verpflichtet, Risikoanalysen und ein Risikomanagement vorzuhalten.

Die Energiewirtschaft der Zukunft soll Ressourcen schonen, Umwelt und Klimaverträglichkeit sichern, Versorgungssicherheit gewährleisten sowie technische Risiken minimieren und dabei gleichzeitig wirtschaftlich und wettbewerbsfähig sein.

Möglichen Risiken der Energiewirtschaft, die während dieser Mission herausfordern oder gefährden, sind sicherlich risikobehaftete Geschäfte, Unrichtigkeiten in der Rechnungslegung oder Verstöße gegen gesetzliche Vorschriften. Diese werden in der Regel aus den Reihen der Wirtschaftsprüfer attestiert. Die gelebte Praxis ist aber auch, dass klassische Unternehmensrisiken (siehe Grafik) im Risikoportfolio nicht berücksichtigt werden.

Der Themenbereich operationelle Risiken enthält bei genauerer Betrachtung sehr leicht 100 - 150 verschiedene Risikodefinitionen die mehr oder weniger Einfluss auf die Risikostruktur und Risikostrategie haben. Technische Risiken oder der Bereich Risiken-Kriminalität haben eine hohe Bedeutung mit enormer Tragweite. Kriminalität als ein Risikobereich in einem Energieunternehmen erscheint auf den ersten Blick weit weg von der Energiewirtschaftspraxis, auf den zweiten Blick und mit der Zuordnung des Bereiches der Wirtschaftspionage in das Risikofeld der Kriminalität gewinnt es jedoch an Bedeutung.

Informationen aus öffentlichen Newslettern des Bundesamtes für Verfassungsschutz weisen darauf hin, dass die Energiewirtschaft als Schwerpunkt der russischen Wirtschaftsspionage geraten ist. Länder die insbesondere mit regenerativen und neuen Energieträgern arbeiten stehen im Fokus der russischen Aufklärungsaktivitäten.

Risiken sind also nicht immer nur die klassischen, wie wir sie auf den ersten Blick erkennen, sondern bedeuten auch die Möglichkeit des Eintretens eines unerwünschten Ereignisses. Das Beispiel zeigt einmal mehr wie wichtig ein dynamisches Risikomanagement ist. Eine kontinuierliche Betrachtung von Risiken im Sinne eines Kreislaufes bietet sich hier an und unterstützt die Nachhaltigkeit durch einen Turnus, in dem die jeweiligen Risiken immer wieder überprüft werden. Es entsteht ein aktives Frühwarnsystem um Risiken zu erkennen, was die Chance eröffnet, dem Risiko gezielt und bewusst zu begegnen. Der Begriff Risiko ist im Zusammenhang mit einer Chance zu sehen. Dieser sogenannte Risikokreislauf dient als Grundlage für ein Risiko und Chancenmanagement und findet sich auch in verschiedenen standardisierten Verfahren wieder. (AS/NSZ 4360, ONR 49000)

Risiken werden im Allgemeinen an zwei Parametern bemessen, der Eintrittswahrscheinlichkeit "Was kann passieren?" und dem Schadensausmaß. "Was darf passieren?". Durch diese Betrachtungsweise lassen sich Risiken gut visualisieren. Hierbei ist es von entscheidender Bedeutung für ein Gesamtbild der Unternehmensrisiken, eine dreidimensionale Betrachtungsweise anzulegen. Diese Betrachtungsweise ergibt sich durch  die Identifikation der Risiken über die Betrachtungsebenen (z. B. beginnend im Geschäftsfeld bis in die Konzernstruktur), der Betrachtungsbereiche (z. B. Produktionsbereiche, Projekte) und die Risikofaktoren (wie z. B. Geschäftsrisiken, Nachlässigkeit, Routine).

Ein Bild über die aktuelle Risikosituation des eigenen Unternehmens entsteht. Je nach Komplexität der Organisation im Unternehmen und der Größe des Unternehmens kommen schnell 100 - 150 Punkte an Risikodefinitionen zusammen. Es werden Risiken mit geringer Eintrittswahrscheinlichkeit und hohem Schadensausmaß aber auch Risiken mit geringem Schadensmaß und hoher Eintrittswahrscheinlichkeit gefunden, so dass im nächsten Schritt der Risikohandhabung eine Reduzierung des Risikos anzustreben ist.

Idealerweise folgt man dabei einer definierten Risikostrategie die bereits im Vorfeld festgelegt wurde. Bewährte, beschriebene und übliche Risikostrategien sind vermeiden, vermindern, überwälzen oder das Risiko selbst tragen.

Überwälzen als Strategie ist zum Beispiel ein klassisches Versicherungsthema - oder das Erstellen von AGBs. Anhand der Grafik zeigt sich "nichts tun" stellt ein "hohes Risiko" dar, "Vermeiden" ein niedriges Risiko.

Der wohl am häufigsten in der Praxis genutzte Weg, Risiken zu begegnen, ist ein Risiko durch organisatorische oder technische Maßnahmen zu vermindern. So ist es möglich, direkt an der Risikoursache anzusetzen und auf die Reduzierung einer Schadenseintrittswahrscheinlichkeit hinzuarbeiten. In diesem Zusammenhang stellen die meisten Unternehmen leider für sich fest, dass es an einer durchgängigen und ganzheitlichen Organisation zur Abarbeitung der Themen und Managementschwerpunkten fehlt. So ist es sicherlich auch zu erklären, dass es Rückversicherer gibt, die anhand von Datensammlungen nachgewiesen haben, dass Groß- und Größtschäden nie durch einzelne Fehler verursacht werden. Durch das Zusammenwirken von mindestens zwei Ereignissen, wobei jedes für sich harmlos erscheint und dieses unter Umständen schon immer vorhanden war, ihre Verknüpfung nicht vorhergesehen wurde und dieses nichts miteinander zu tun hatte. Hier handelte es sich nahezu immer um menschliches Versagen und somit ein Systemversagen.

Ein möglicher Lösungsansatz um dieser Art Systemversagen vorzubeugen ist der Auf- oder Umbau einer Organisationsform zu einem "Corporate Security Management System" ein System, mit dem die verantwortlichen die Risiken Ihres Unternehmens auf drei Säulen stellen.

Risikomanagement als eine Säule und Teilbereich dieses Managementsystems, bildet den bedeutendsten Teil des Managementsystems, da im richtigen Verständnis und richtigen Verfahrensweisen Schäden oder Gefahren erst gar nicht auftreten dürfen. Die Funktion ist auf Prävention angelegt. Die zweite Säule ist das Sicherheitsmanagement, das als operativer Teil die Alltagslast der Sicherheitsvorkehrung oder Abarbeitung von Maßnahmen zu tragen hat. Welche Last dies im Einzelnen ist, basiert aus den Erkenntnissen und Folgerungen des Risikomanagements. Die dritte Säule ist das Krisenmanagement. Geschulte Teams reagieren auf ein "Ereignis" mit den Zielen Schadensbegrenzung, Schutz von betroffenen oder der Vermeidung von Imageschäden. Das Krisenmanagement ist letztendlich die Reaktion auf Ereignisse, die im Vorfeld hätten eigentlich erledigt werden müssen.

Der Bereich des Risikomanagements ist der Teil der Arbeit zu dem eine Verpflichtung der Unternehmen besteht, Sicherheitsmanagement ist der Bereich, der zur Risikosteuerung gebraucht wird und das Krisenmanagement als "Feuerwehrsystem" gehört mittlerweile zur guten Praxis. Eine so verstandenes Corporate Security Management ist Dach eines Risiko-, aber vor allem auch Chancenmanagements. Es garantiert die Wettbewerbsfähigkeit, sichert die Kreditvergabe nach Basel II, schützt das Unternehmen und seine Organe vor zivilrechtlichen Schadensersatzforderungen, öffentlicher Inanspruchnahme durch behördliche Verfügung, strafrechtlicher bzw. ordnungsrechtlicher Verfolgung und senkt die Prozesskosten für die ganzheitliche Betreuung.

Uwe Gerstenberg
Uwe Gerstenberg, geboren 1961 in Berlin, schied 1987 als Offizier aus der Bundeswehr aus. Als Militärpolizist war er national und international im Einsatz und in den letzten Jahren seiner Dienstzeit in der Sicherungsgruppe des Bundesministeriums für Verteidigung beschäftigt. Uwe Gerstenberg ist seit nun mehr als 30 Jahren in der privaten Sicherheitswirtschaft in leitender Funktion tätig und war u. a. Sicherheitsverantwortlicher für eine internationale Unternehmensgruppe. Nach dem Wechsel in die Dienstleistungsbranche führte ihn sein beruflicher Werdegang in unterschiedliche Sicherheitsunternehmen als Niederlassungsleiter, Prokurist und Geschäftsführer. Als Mitgründer und Geschäftsführender Gesellschafter leitet er seit 1997 die consulting plus Unternehmensgruppe und ist zudem Geschäftsführer weiterer Tochterunternehmen. 2001 gründete er das damalige Institut für Terrorismusforschung & Sicherheitspolitik, dem heutigen Institut für Krisenprävention, IFTUS. Seit 2003 ist Uwe Gerstenberg u. a. Stiftungs- bzw. Kuratoriumsmitglied im Deutschen Forum für Kriminalprävention und war von 2009 bis 2014 Vizepräsident des Kuratoriums. Ferner ist er Mitglied im Security-Beirat der Messe Essen und im Anwenderrat für Compliance und Integrity. Er vertritt in diversen weiteren Fachverbänden die Interessen der Sicherheitswirtschaft. Uwe Gerstenberg ist Autor zahlreicher Buchbeiträge und Fachartikel.
Scroll to top