Alain Rees · 10-07-2026 · 7 min leestijd
Es gibt einen Aufsatz, den jeder Risikomanager einmal gelesen haben sollte, und sei es nur, um sich darüber zu ärgern. 2009 veröffentlichte Michael Power, Professor an der London School of Economics, einen Essay mit dem bissigen Titel „The risk management of nothing“, das Risikomanagement des Nichts. Seine These lautet, dass das moderne Risikomanagement mitten in der Finanzkrise daran gescheitert war, Risiken zu beherrschen, weil es angefangen hatte, etwas anderes zu tun, nämlich Rechenschaft zu produzieren. Wer ein ISMS oder eine GRC-Plattform verkauft, so wie ich, sollte diese Kritik nicht abtun, sondern sich mitten durch sie hindurcharbeiten. Denn Power hat mit dem Problem recht, und die Forschung der Folgejahre zeigt ziemlich genau, wo die Grenze verläuft zwischen einem Risikomanagement, das schützt, und einem, das nur beruhigt.
Dieser Beitrag ist eine der Vertiefungen zu dem Modell hinter Kantyra und berührt alle vier Phasen, denn die Frage, ob das System funktioniert, geht jeder Phase voraus.
Powers Analyse besteht aus drei Schichten. Die erste Schicht ist, dass das Risikomanagement in der Praxis der Logik der Prüfspur zu gehorchen begonnen hat. Nicht die Frage, ob wir dieses Risiko verstehen, steuert die Arbeit, sondern die Frage, ob wir zeigen können, dass wir einen Prozess befolgt haben. Die zweite Schicht beschrieb er bereits 2004. Organisationen und Fachleute beschäftigen sich zunehmend mit dem, was er sekundäres Risikomanagement nennt, dem Absichern des eigenen Reputationsrisikos. Das Risikoregister wird dann zu einer Verteidigungsakte, denn sollte etwas schiefgehen, können wir belegen, dass wir den Prozess befolgt haben. Die dritte Schicht ist seine Kritik am Begriff der Risikobereitschaft, der im Vorstand zu einem statischen Dokument mit Prozentzahlen verkümmert ist, obwohl er ein lebendiger organisatorischer Prozess sein sollte. Terje Aven zerlegte den Begriff später formal und kam zum selben Urteil. Die Definitionen in den gängigen Rahmenwerken sind mehrdeutig und werfen Akzeptanz, Bereitschaft und Ziele durcheinander.
Wer den Grundlagenbeitrag gelesen hat, erkennt hier die Institutionentheorie. Meyer und Rowan beschrieben schon 1977, wie Organisationen formale Strukturen als Ritual einführen, um Legitimität zu erlangen, und diese Strukturen anschließend vom eigentlichen Arbeiten entkoppeln. Powers Risikomanagement des Nichts ist genau diese Entkopplung, angewandt auf Risiko.
Man würde erwarten, dass diese Frage nach zwanzig Jahren Enterprise Risk Management längst umfassend beantwortet ist. Das ist enttäuschend, und das ist selbst ein Befund. Bromiley und Kollegen kamen in ihrer Übersicht der Managementliteratur zu dem Schluss, dass die Belege dünn sind. Forscher messen das Vorhandensein von Risikomanagement mit schwachen Näherungen, etwa mit der Frage, ob ein Chief Risk Officer ernannt wurde, und die Ergebnisse zu den Leistungseffekten sind gemischt. Die Kernannahmen des ERM, etwa die Vorstellung, dass sich alle Risiken einer Organisation aufsummieren und quantifizieren lassen, sind ihnen zufolge weitgehend ungeprüft.
Die Studien, die es gibt, zeichnen ein einheitliches Muster. Gordon, Loeb und Tseng fanden, dass Risikomanagement nur dann mit besseren Leistungen einhergeht, wenn die Ausgestaltung zur Organisation passt, also zu ihrem Umfeld, ihrer Größe, Komplexität und Aufsicht. Eine generische Ausgestaltung bringt nichts. McShane und Kollegen fanden bei Versicherern, dass der Unternehmenswert mit der Qualität des gewöhnlichen, fachkundigen Risikomanagements je Bereich steigt, dass der Schritt zur höchsten, ganzheitlichen ERM-Ebene jedoch keinen nachweisbaren Mehrwert brachte. Und Aven zeigte in seiner Übersicht der wissenschaftlichen Grundlagen, dass wahrscheinlichkeitsbasierte Risikobeschreibungen strukturell unterschätzen, wie wichtig die Stärke des zugrunde liegenden Wissens ist, ein Punkt, der auch in dem Beitrag über die Risikomatrix wiederkehrte.
Die Bilanz ist differenzierter, als sowohl die Broschüren als auch die Zyniker es darstellen. Risikomanagement, das zur Organisation passt und fachkundig ausgeführt wird, hängt mit besseren Ergebnissen zusammen. Risikomanagement als generisches Konstrukt, pro forma aufgezogen, zeigt keine Wirkung. Das Instrument ist nicht leer; leer ist die rituelle Anwendung.
Die jüngere Literatur macht die Diagnose konkret. Bart Heerma van Voss und Ira Helsloot, Letzterer Professor für die Steuerung von Sicherheit an der Radboud-Universität, untersuchten, warum Staaten systematisch zu wenig gegen seltene, disruptive Risiken unternehmen. Ihr schmerzhaftestes Beispiel ist die Pandemie. Nahezu alle Länder hatten sie vor 2020 säuberlich in ihren Risikoanalysen stehen, und nahezu kein Land traf die kostengünstigen Vorsorgemaßnahmen, die sich daraus ergaben. Das Risiko war bewertet, erfasst und berichtet, und es geschah nichts. Das ist das Ritual in seiner reinsten Form, mit der Analyse als Endpunkt statt als Anfang. Arjen Boin von der Universität Leiden wies mit Martin Lodge auf ein verwandtes Problem hin. Moderne Risiken verlaufen quer durch Sektoren und Grenzen, und ein System, das nur das eigene Register bewacht, verfehlt genau die Verflochtenheit, die Power meinte.
Damit lassen sich die Symptome benennen: ein Register voller Risiken, an denen keine Entscheidung und keine Maßnahme hängt, eine Risikobereitschaft, die in vier Jahren nicht angerührt wurde, Bewertungen, die für die Prüfung aktualisiert werden statt nach einem Vorfall, und, am heimtückischsten, ein System, in dem niemand jemals etwas findet, das der Geschäftsleitung ungelegen kommt. Van Asselt, damals Professorin in Maastricht, und Renn fassten in ihrer Arbeit zur Risk Governance zusammen, was dann fehlt. Bei unsicheren und umstrittenen Risiken ist das System erst dann etwas wert, wenn es Kommunikation, Beteiligung und aufeinanderprallende Werte organisiert, statt sie wegzurechnen.
Die Forschung verweist auf vier Merkmale, die den Unterschied ausmachen. Das erste Merkmal ist Passung. Richten Sie das System nach dem Maß Ihrer Organisation aus und nicht nach dem Maß des Rahmenwerks. Das zweite ist Entscheidungskraft. Jedes Risiko im Register verdient eine Entscheidung, nämlich behandeln, akzeptieren, übertragen oder vermeiden, mit einem Eigentümer und einer Frist, denn ein Register ohne Entscheidungen ist eine Verteidigungsakte. Das dritte ist Bewegung. Die Bewertung ändert sich, wenn die Wirklichkeit sich ändert, also nach Vorfällen, Übungen und Verschiebungen im Umfeld, und nicht nur in der jährlichen Runde. Das vierte ist Widerspruch. Ein gesundes System bringt regelmäßig unbequeme Ergebnisse hervor, und die Risikobereitschaft kehrt als Gespräch an den Vorstandstisch zurück, statt als Anlage in einem Ordner zu liegen.
Der Vollständigkeit halber weise ich darauf hin, dass Kantyra Risiken aus eben diesem Grund nicht als Liste behandelt, sondern als Knotenpunkt. Jedes Risiko ist mit Maßnahmen, Vorfällen, Assets, Lieferanten und Bewertungszeitpunkten verknüpft, sodass sichtbar wird, ob sich am Urteil etwas tut, und ein schwerwiegender Vorfall stellt die Neubewertung des betroffenen Risikos automatisch bereit. Powers Prüfstein, nämlich ob das System Verständnis hervorbringt oder nur Rechenschaft, bleibt dabei die richtige Frage, die Sie an Ihre eigene Ausgestaltung stellen sollten. Die ehrliche Konsequenz ist, dass auch die schönste Plattform das Ritual nicht verhindern kann; sie kann es nur sichtbar machen.
Wenn Sie eine Sache aus diesem Beitrag mitnehmen, dann sei es Powers Unterscheidung. Rechenschaft zu produzieren ist nicht dasselbe wie Risiken zu beherrschen, und das Zweite verlangt bisweilen, dass Sie die Logik des Ersten durchbrechen. Stellen Sie sich drei Fragen. Können Sie bei Ihren fünf größten Risiken die letzte Entscheidung benennen, die dazu getroffen wurde, mit Datum und Eigentümer? War Ihre Risikobereitschaft im vergangenen Jahr irgendwo in einer konkreten Entscheidung spürbar, etwa dadurch, dass Sie etwas bewusst nicht getan haben? Und wann hat Ihr Risikoprozess zuletzt etwas hervorgebracht, worüber der Vorstand erschrak? Wer dreimal Ja sagt, betreibt Risikomanagement. Wer dreimal Nein sagt, betreibt Beruhigung, und weiß nun immerhin, wo er anfangen muss.
Dieser Beitrag ist eine fundierte Synthese bestehender wissenschaftlicher Forschung und keine eigenständige, von Fachkollegen begutachtete Untersuchung. Wo ich deute oder interpretiere, verantworte ich diese Interpretation selbst.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMessen Sie als CISO, wo Ihre Organisation und Ihr CISO Office stehen, und erfahren Sie, wie Sie mit einer Scorecard steuern und rechtzeitig nachsteuern.
Wie Sie Schwachstellenmanagement als CISO steuern, von der Richtlinie bis zur Rechenschaft gegenüber der Geschäftsleitung.
So bauen Sie Penetrationstests strukturiert auf, von der Pentest-Richtlinie und dem Kalender bis zum Bericht und zur Nachverfolgung der Erkenntnisse.