Vom Praktiker zum Pionier: Alex Sidorenko auf seinem Weg zum führenden Risikomanagement-Experten Europas

Ein Exklusivinterview mit Alex Sidorenko, FERMA Risk Manager of the Year 2021, RIMS International Honoree 2021 und Gründer der RISK-ACADEMY.

Der zufällige Anfang

Alex, Sie wurden als Europas einflussreichster Risikomanagement-Experte ausgezeichnet. Wie hat Ihre Reise im Risikomanagement begonnen?

Meine Reise begann im akademischen Bereich: ich war Teil des ersten Bachelor-Studiengangs für Risikomanagement in Australien. Von dort aus kam ich zu Deloitte, wo ich an der Erstellung eines Risikomanagement-Leitfadens für kleine und mittlere Unternehmen für die ASX mitwirkte. Ich erinnere mich noch gut daran, dass mein Partner meine Arbeit als «zu akademisch und theoretisch» bezeichnete. Zwanzig Jahre später habe ich endlich verstanden, was er gemeint hat. Ich habe mehr Augenwischerei betrieben, die als Risikomanagement getarnt war.

Während dieser ersten Jahre als Berater wurde ich immer unruhiger angesichts dessen, was als Risikomanagement verkauft wurde. 2008 hatte ich meinen ersten richtigen Streit mit einem Partner darüber, wie absurd Risikomatrizen grundsätzlich sind. Schon damals erkannte ich, dass diese Tools eine Illusion von Risikominderung erzeugten, ohne einen echten Mehrwert für die Entscheidungsfindung zu bieten.

Als ich zu PwC in Europa wechselte, trat ich der Arbeitsgruppe bei, die die globale Risikomanagementmethodik und das Vertriebshandbuch aktualisierte. Ich stellte die Methodik so unerbittlich in Frage, dass ein Partner – der Projektleiter – schliesslich fragte: «Sollen wir das nicht lieber lassen?» Ich hatte damals nicht den Mut, ihm zu sagen, dass er das Projekt einstellen sollte, aber ich hätte es tun sollen.

Das echte Erwachen kam, als ich in interne Risikofunktionen wechselte. Ich habe hautnah miterlebt, wie alle «Best Practices» der Big Four bei der Anwendung in der realen Planung, Budgetierung und Entscheidungsfindung völlig versagt haben. Die Diskrepanz war eklatant: Wir hatten schöne Rahmenwerke und Matrizen, aber sie trugen nichts zur tatsächlichen Geschäftsleistung bei. Damals habe ich mir geschworen: Ich werde nie wieder Risikomanagement als reine Augenwischerei betreiben. Das bezeichne ich heute als Risikomanagement 1 oder RM1, um es einfach zu halten.

Sich von der Masse abheben

Was waren einige wichtige Meilensteine oder Wendepunkte, die Sie von einem Praktiker zu einem Vordenker und globalen Influencer gemacht haben?

Bis 2012 hatte ich mich als Risikochef eines Staatsfonds stetig in Richtung quantitative Risikoanalyse und risikobasierte Entscheidungsfindung bewegt. Ich habe wiederholt bewiesen, dass qualitatives Risikomanagement das Management täuscht und zu falschen Schlussfolgerungen führt. Glücklicherweise war das Management klug genug, dies zu erkennen, und entschied sich, die ERM-Ergebnisse weitgehend zu ignorieren.

Ich finde es amüsant, wenn Risikoprofis sich darüber beschweren, dass das Management ihre Arbeit ignoriert. Ich war eigentlich froh, dass das Management ERM ignorierte, denn hätte es diesen Unsinn ernst genommen, hätten die Unternehmen enorme Summen verloren.

Ich brauchte eine Plattform, um diese Praktiken offen in Frage zu stellen. Also startete ich RISK-ACADEMY als Hobbyprojekt und begann, die Orthodoxie von ERM durch Videos, Blogs und Konferenzen offen zu hinterfragen. Ich veröffentlichte Fallstudien aus meiner tatsächlichen Arbeit, die zeigten, wie traditionelle Tools systematisch inkonsistente und irreführende Ergebnisse liefern, die oft zu schlechteren Entscheidungen bei der Ressourcenzuteilung führen. Noch wichtiger war, dass ich bessere Alternativen aufzeigte.

Ich führte A/B-Tests mit verschiedenen Ansätzen durch und beschränkte mich schliesslich auf Methoden und Ideen, die ERM-Praktiken durchweg übertrafen. Im Laufe der Jahre wurden die Leistungsunterschiede deutlich: So konnten beispielsweise die Versicherungskosten um 60 Prozent gesenkt und gleichzeitig die Deckungsgrenzen verdreifacht, die Qualität der Policen verbessert und die Selbstbehalte gesenkt werden, um diese Einsparungen dann in bessere Brand- und Elektrosicherheitssysteme zu investieren. Oder es gelang, Gesetzesänderungen durchzusetzen, weil die Risikoanalyse zeigte, dass dies eine viel wirksamere Risikominderung war als die Dutzenden von «Risikominderungsmassnahmen», die im Risikoregister des Managements standen.

Der Vorteil des Konträren

Viele Menschen betrachten Risikomanagement als hochtechnisch. Welche persönlichen Eigenschaften oder Denkweisen haben Ihnen geholfen, sich in diesem Bereich zu profilieren?

Risikomanagement ist hochtechnisch, aber weder neu noch einzigartig. Die von uns verwendeten Instrumente stammen aus etablierten Disziplinen, wie Entscheidungswissenschaften, Wahrscheinlichkeitstheorie und Verhaltensökonomie. Jede davon verfügt über jahrzehntelange Forschung, Lehrbücher und Fachgemeinschaften.

Ich habe mich direkt an diese Quelldisziplinen gewandt, anstatt mich auf die traditionelle Literatur zum Risikomanagement zu beschränken. Ich habe unter anderem Daniel Kahneman und Amos Tversky, Paul Slovic, Dan Ariely für Verhaltensökonomie und Ralph Keeney und Howard Raiffa für Entscheidungsfindung unter Unsicherheit studiert.

Diese Grundlage hat mir gezeigt, warum traditionelle Praktiken versagen. Sie verstossen gegen grundlegende Prinzipien dieser Disziplinen. Risikomatrizen widersprechen der Messtheorie, qualitative Bewertungen ignorieren kognitive Verzerrungen.

Auf den Schultern von Riesen

Wer waren Ihre grössten Inspirationsquellen oder Mentoren auf Ihrem Weg und wie haben sie Ihren Ansatz geprägt?

Nassim Talebs «Fooled by Randomness» war transformativ. Es hat mir gezeigt, wie wir systematisch die Rolle des Zufalls unterschätzen und unsere Fähigkeit, Ergebnisse vorherzusagen, überschätzen. Seine Arbeit hat aufgezeigt, warum traditionelles Risikomanagement oft gefährliche Kontrollillusionen schafft.

Douglas Hubbards «The Failure of Risk Management» lieferte die mathematische Grundlage für das Verständnis, warum herkömmliche Ansätze nicht funktionieren. Er zeigte, dass die meisten Risikomanagementpraktiken Unternehmen tatsächlich weniger über ihre tatsächlichen Risiken informieren, nicht mehr.

Sam Savages «The Flaw of Averages» revolutionierte meine Sichtweise auf Unsicherheit. Seine Erkenntnis, dass «Pläne, die auf durchschnittlichen Annahmen basieren, im Durchschnitt falsch sind», erklärte, warum so viele Geschäftsentscheidungen trotz ausgefeilter, aber deterministischer Analysen scheitern.

Carl Spetzlers Arbeit zur Entscheidungsqualität gab mir den Rahmen, um Risikoanalysen direkt mit Geschäftsentscheidungen, Planung und Budgetierung zu verknüpfen. Seine Betonung der Klarheit von Zielen und kreativen Alternativen prägte unseren Ansatz für ein entscheidungsorientiertes Risikomanagement.

Gerd Gigerenzers «Risk Savvy» hat mir gezeigt, wie Missverständnisse statistischer Risiken jeden Tag Leben und Geld kosten. Seine Forschungen darüber, wie Menschen Risikoinformationen tatsächlich verarbeiten, haben unsere Kommunikationsstrategien mit Führungskräften und Vorständen geprägt.

Die Philosophie-Revolution

Was unterscheidet Ihre Philosophie des Risikomanagements vom traditionellen, compliance-orientierten Modell?

Das traditionelle Risikomanagement schafft eine künstliche Trennung zwischen Risikoanalyse und Entscheidungsfindung. Es behandelt das Risikomanagement als separate Funktion, die Berichte für Vorstände und Aufsichtsbehörden erstellt. Ich nenne dies RM1: Risikomanagement für externe Stakeholder.

Meine Philosophie, RM2, integriert die Risikoanalyse direkt in bestehende Geschäftsprozesse. Anstatt zu fragen «Was sind unsere Risiken?», möchte ich Sie fragen «Welche Unsicherheiten könnten diese bestimmte Entscheidung beeinflussen und wie sollte dies unsere Wahl beeinflussen?»

Der grundlegende Unterschied liegt im Timing: RM2 analysiert Risiken VOR der Entscheidungsfindung, nicht danach. Ob Sie nun einfache Szenarioanalysen für Routineentscheidungen oder ausgefeilte Monte-Carlo-Modelle für komplexe Investitionen verwenden, das Prinzip bleibt dasselbe: Berücksichtigen Sie Unsicherheiten, wenn es darauf ankommt.

Eine komfortable Branche auf den Kopf stellen

Sie haben oft etablierte Standards im Risikomanagement in Frage gestellt. Warum war Ihrer Meinung nach eine Umwälzung in der Branche notwendig?

Die Risikomanagementbranche hatte sich mit Ansätzen arrangiert, die logisch erschienen, aber keine Verbesserung des Geschäftsergebnisses brachten. Die Beschleunigung der Berechnung qualitativer Risikobewertungen sieht clever aus, birgt jedoch gefährliche mathematische Fehler und kognitive Verzerrungen. Die meisten Risikomatrizen verstossen gegen grundlegende Prinzipien der Messtheorie. Sie können Risiken nicht konsistent bewerten, reagieren empfindlich auf willkürliche Labeling-Entscheidungen und führen oft zu einer schlechteren Ressourcenallokation als eine zufällige Auswahl. Dennoch sind sie nach wie vor das dominierende Instrument im Unternehmensrisikomanagement.

Die Branche brauchte eine Disruption, weil sie ihren grundlegenden Zweck verfehlte, Unternehmen dabei zu helfen, unter Unsicherheit bessere Entscheidungen zu treffen.

Theorie und Praxis in Einklang bringen

Wie lassen sich Theorie, Regulierung und die praktischen Realitäten des Risikomanagements in Unternehmen in Einklang bringen?

Die wichtigste Erkenntnis, die ich aus meiner Arbeit mitnehme, ist die Erkenntnis, dass verschiedene Stakeholder völlig unterschiedliche Dinge wollen. Regulierungsbehörden und Wirtschaftsprüfer benötigen Compliance-Dokumentation (RM1), während Entscheidungsträger eine Unsicherheitsanalyse benötigen, die ihnen hilft, Entscheidungen zu treffen und Kompromisse zu finden (RM2). Der praktische Ansatz besteht darin, die RM1-Anforderungen effizient zu erfüllen und KI wo immer möglich einzusetzen, was in der Regel 1–2 Wochen pro Jahr in Anspruch nimmt, um dann die Ressourcen auf RM2-Aktivitäten zu konzentrieren, die einen tatsächlichen Geschäftswert schaffen. Mit einem einfachen Risikoregister können Sie die regulatorischen Anforderungen erfüllen und gleichzeitig eine ausgefeilte Entscheidungsanalyse für strategische Entscheidungen implementieren.

Der Fehler besteht darin, zu versuchen, mit einem Ansatz beide Ziele zu erreichen. Ein complianceorientiertes Risikomanagement verbessert selten die Entscheidungen, und eine entscheidungsorientierte Risikoanalyse erfüllt selten die regulatorischen Erwartungen.

Die hartnäckigen Probleme

Was sind die häufigsten Fehler, die Unternehmen immer noch in Bezug auf Risiken machen?

Der grösste Fehler besteht darin, das Risikomanagement als separate Funktion und nicht als integralen Bestandteil der Entscheidungsfindung zu betrachten. Unternehmen wenden enorme Anstrengungen auf, um Risiken zu identifizieren und zu dokumentieren, verbinden diese Analyse jedoch nie mit konkreten Geschäftsentscheidungen. Wen interessiert es, ob wir zwei rote oder sechs gelbe Risiken haben? Sagen Sie mir, wie viel Notfallreserve ich in das Budget für das nächste Jahr einplanen muss und mit welcher Konfidenz.

Zweitens wird zu sehr auf subjektive qualitative Bewertungen gesetzt. Wenn Führungskräfte Risiken als «hoch“» «mittel» oder «niedrig» einstufen, führen sie systematische Verzerrungen und Inkonsistenzen ein, die die Ressourcenzuweisung oft verschlechtern statt verbessern.

Drittens wird Risikobereitschaft mit Risikoberichterstattung verwechselt. Viele Unternehmen und alle Anbieter von GRC-Software sind hervorragend darin, farbenfrohe Dashboards und Zusammenfassungen für Führungskräfte zu erstellen, haben aber Schwierigkeiten, konkrete Entscheidungen zu benennen, die durch ihre Risikoanalyse verbessert wurden.

Aufbau digitaler Autorität

Sie sind online stark vertreten und haben eine große Community aufgebaut. Wie haben Sie digitale Plattformen genutzt, um sich als Vordenker zu etablieren?

Die Strategie war einfach: Zuerst Wert bieten, dann Autorität aufbauen. Ich mag meine Arbeit, daher macht es mir tatsächlich Spass, Fallstudien darüber zu teilen, wie ich die Risikoanalyse in Investitionsentscheidungen, in die Beschaffung und den Versicherungskauf integriere.

Der RISK-ACADEMY-Blog und der YouTube-Kanal wurden zu meinen Plattformen, um konventionelle Weisheiten mit evidenzbasierten Argumenten in Frage zu stellen. Soziale Medien ermöglichten den direkten Austausch mit Fachleuten aus aller Welt. LinkedIn wurde besonders wichtig für den Austausch von Erkenntnissen und die Diskussion von Ideen mit Risikoprofis, die mit traditionellen Ansätzen ähnliche Frustrationen hatten. Dadurch wurde mir klar, dass viele Risikoprofis auf der ganzen Welt die gleichen Frustrationen hatten wie ich.

Risiken für Führungskräfte relevant machen

Welche Rolle spielt Kommunikation dabei, Risikomanagement für Führungskräfte und Vorstände relevant zu machen?

Kommunikation ist alles. Risikoprofis sprechen oft in Fachjargon, den Führungskräfte nicht in geschäftliche Auswirkungen übersetzen können. Wir sprechen von «Perzentilen und Konfidenzintervallen» während Führungskräfte wissen wollen: «Wie wirkt sich das auf unsere Quartalsergebnisse aus?»

Der grösste Erfolg war, die Risikoanalyse direkt mit den Entscheidungen zu verknüpfen, vor denen Führungskräfte tatsächlich stehen. Anstatt abstrakte Risikorelisten zu präsentieren, versuche ich zu zeigen, wie Unsicherheitsanalysen die Kapitalallokation, die strategische Planung und die Auswahl von Lieferanten oder Projekten verbessern können.

Ich erinnere mich, als einige Broker und Versicherer unser Risiko prüften und überzeugt waren, dass es sich lohnte, es für 4 Millionen Dollar zu übertragen. Wir haben die Berechnungen durchgeführt, unser Risikoprofil genau verstanden und es anderen Versicherern gut vermitteln können. Am Ende haben wir das Limit verdreifacht, die Konditionen verbessert, die Selbstbeteiligung nicht geändert und das Risiko für 1 Million Dollar übertragen: das ist eine jährliche Einsparung von 3 Millionen Dollar. Sowohl der Broker als auch der alte Versicherer wurden für immer auf die schwarze Liste gesetzt, weil sie das Risiko, das sie versicherten, nicht verstanden hatten.

Die unterschätzten Bedrohungen

Welche Risiken werden Ihrer Meinung nach derzeit von Unternehmen, Regierungen oder der Gesellschaft am meisten unterschätzt?

Das grösste unterschätzte Risiko ist das Risiko des Risikomanagements selbst. Unternehmen geben enorme Ressourcen für Risikomanagementaktivitäten aus, die eine Illusion der Kontrolle schaffen, sie aber in Wirklichkeit anfälliger machen.

Im weiteren Sinne unterschätzen wir meiner Meinung nach systemische Risiken, die aus dem Zusammenspiel scheinbar unabhängiger Faktoren entstehen. Klimawandel, KI-Disruption, Pandemien, GVO und geopolitische Instabilität wirken nicht isoliert, sondern verstärken sich gegenseitig auf eine Weise, die mit unseren traditionellen Risikomodellen nicht erfasst werden kann.

Die Zukunft

Wie wird sich die Rolle von Risikomanagern in den nächsten 5 bis 10 Jahren Ihrer Meinung nach entwickeln?

Risikomanager werden sich entweder zu Entscheidungsberatern entwickeln oder irrelevant werden. Die traditionelle Aufgabe der Risikodokumentation und Compliance-Berichterstattung wird durch KI und integrierte Softwareplattformen automatisiert.

Die Zukunft gehört Risikoprofis, die durch Unsicherheitsanalysen die Entscheidungsqualität verbessern können. Das bedeutet, dass sie Kompetenzen in Entscheidungswissenschaften, Verhaltensökonomie und quantitativer Modellierung entwickeln und gleichzeitig fundierte Fachkenntnisse beibehalten müssen.

Ich beobachte diese Veränderung bereits. Risikomanager, die ich schätze, nehmen bereits an strategischen Planungssitzungen teil, wirken an Kapitalallokationsentscheidungen mit, führen Due-Diligence-Prüfungen von Lieferanten durch und helfen bei der Bewertung grösserer Investitionen. Sie sind geschätzte Geschäftspartner und keine Compliance-Funktionäre.

Ratschlag für die nächste Generation

Welchen Rat würden Sie jungen Fachkräften geben, die in Ihre Fussstapfen treten und im Risikomanagement etwas bewegen möchten?

Konzentrieren Sie sich zunächst auf die Entscheidungsqualität und nicht auf die Risikodokumentation. Lernen Sie, wie Sie bestimmte Geschäftsentscheidungen durch Unsicherheitsanalysen verbessern können, anstatt traditionelle Risikomanagement-Frameworks zu beherrschen.

Zweitens: Entwickeln Sie quantitative Fähigkeiten, aber denken Sie daran, dass ausgefeilte Modellierungen nicht immer notwendig sind. Einfache Entscheidungsbäume bieten oft mehr Wert als komplexe Monte-Carlo-Simulationen, wenn sie mit tatsächlichen Entscheidungen verknüpft sind. Sam Savages Buch «Flaw of averages» ist hierfür sehr grundlegend. Die stochastische Gestaltung von Geschäftsplänen ist kein Nice-to-have, sondern eine Frage des Überlebens.

Drittens: Seien Sie bereit, konventionelle Weisheiten in Frage zu stellen, aber tun Sie dies mit Beweisen und Bescheidenheit. Ok, Bescheidenheit ist in meiner Welt kein Thema, aber Sie verstehen, was ich meine. Kritisieren Sie nicht einfach bestehende Ansätze, sondern zeigen Sie bessere Alternativen mit messbaren Ergebnissen auf. Ich habe tatsächlich aufgehört zu erklären, warum wir keine Heatmaps verwenden. Stattdessen verwende ich einfache Monte-Carlo-Modelle und tue so, als gäbe es Heatmaps nicht. Bisher hat sich noch niemand beschwert.

Denken Sie schliesslich daran, dass es beim Risikomanagement letztendlich darum geht, Menschen dabei zu helfen, bessere Entscheidungen zu treffen. Wenn Ihre Risikoanalyse nichts an den Entscheidungen anderer ändert und keine direkten und unmittelbaren Einsparungen bringt, schafft sie wahrscheinlich keinen Mehrwert.

Der Weg in die Zukunft

Was steht als Nächstes für Sie an? Gibt es neue Projekte oder Ambitionen?

Wir entwickeln KI-gestützte Risikotools, die Risiken schneller und umfassender analysieren können als herkömmliche Brainstorming-Sitzungen. Das Ziel ist es, ausgefeilte Risikoanalysen zu demokratisieren, damit auch kleinere Unternehmen Zugang zu entscheidungswissenschaftlichen Ansätzen erhalten. Ich habe mittlerweile über 20 KI-Agenten für das Risikomanagement entwickelt, die jeder unter https://riskacademy.ai/ testen kann.

Das ultimative Ziel ist die Schaffung einer globalen Gemeinschaft von entscheidungsorientierten Risikoexperten, die einen messbaren Geschäftswert nachweisen können. Wenn Risikomanager auf konkrete Entscheidungen verweisen können, die sie verbessert haben, und deren Auswirkungen quantifizieren können, wandelt sich der Beruf vom Kostenfaktor zum Wertschöpfer.

Die Zukunft des Risikomanagements liegt nicht in einer besseren Compliance oder einer ausgefeilteren Dokumentation, sondern in einer grundlegenden Verbesserung der Entscheidungsfindung von Unternehmen in unsicheren Situationen.

Buchen Sie Ihr Ticket für die Risk Awareness Week 25 vom 13. bis 17. Oktober.

Das Interview führte Binci Heeb, Chefredaktorin.

Alex Sidorenko ist Gründer der RISK-ACADEMY, Autor mehrerer Bücher zum Thema Risikomanagement und Entwickler des Risikomanagement-Assistenten RAW@AI. Seine Arbeit hat die Risikomanagementpraktiken in Unternehmen in Europa, Australien und dem Nahen Osten beeinflusst. Nehmen Sie Kontakt zu Alex auf und entdecken Sie Ressourcen zum entscheidungsorientierten Risikomanagement hier.

Lesen Sie auch: Intelligentere Risiken, stärkeres Geschäft: 5 datengestützte Strategien für die nächste Ära des Risikomanagements

---

---