Risikomanagement in HR und Payroll : Vorsicht Falle(n)!
Risikomanagement soll nicht mehr nur gesetzlichen Anforderungen genügen, sondern zugleich Mehrwert generieren. Das verlangen Experten und setzen Risiko- und Chancenmanagement gleich. Doch funktioniert dies in der Praxis tatsächlich? Und in welcher Relation stehen dabei Aufwand und Nutzen?
Risiken lassen sich in der Personalabteilung grob in zwei Bereiche einteilen: Zum einen sind dies diejenigen, die mit Personen verbunden sind, also Kündigungs- oder Motivationsrisiken. Auf der anderen Seite stehen die systembedingten Risiken, die mit der IT zusammenhängen, insbesondere Datenschutz und Datensicherheit.
Diese Fülle an etwaigen Problemen möglichst vollständig zu erfassen, zu strukturieren, zu analysieren und schließlich zu minimieren, ist an sich schon eine umfassende Aufgabe, mit einfachen Checklisten können sich hier allenfalls kleine Betriebe behelfen. Deshalb klingt es erst einmal plausibel, wenn etwa die Unternehmensberatung Changeleaders GmbH aus Stuttgart in einem Whitepaper schreibt: „Aus Sicht der Stakeholder haben Personaler die künftigen HR-Risiken nicht im Griff.“ Das ist ein harter Satz, weiter heißt es dann: „Alle Experten sind sich darin einig, dass das Personalrisiko das bedeutendste Unternehmensrisiko der Zukunft ist.“ Ob dies tatsächlich alle Experten so sehen, mag zunächst dahingestellt sein, jedoch gilt gemeinhin eben der Faktor Mensch als das Problem, auch unter IT-Spezialisten, die Datenlecks und aktuelle Methoden der Cyberkriminalität analysieren.
ISO-Norm 31000:2018 als allgemeine Orientierung
Doch was bedeutet dies konkret im Unternehmen? Erschöpft sich die Risikoanalyse dadurch auf die Schaffung einer generellen Misstrauens- oder Wachsamkeitskultur? Die Antwort des Gesetzgebers ist zunächst einmal recht einfach: So legt die ISO-Norm 31000:2018 als allgemeiner Ansatz keine verbindlichen Anforderungen fest, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet AGs und weitere dem Aktienrecht unterworfene Unternehmen dagegen seit mehr als zwei Jahrzehnten dazu, ein Risikofrüherkennungssystem einzuführen.
Die Versicherungsgesellschaft Allianz AG befragt alljährlich Unternehmen zu den für sie bedeutendsten Risiken. Nummer eins waren 2020 weltweit erstmals Cybervorfälle, in Deutschland Betriebsunterbrechungen – Lieferkettenunterbrechungen inklusive. (Die Umfrage fand bereits vor Ausbruch der Pandemie statt.)
Cyberprobleme und Geschäftsunterbrechungen am bedeutsamsten
Nach dem IT-Bereich, zu dem Unternehmen kriminelle Aktionen, den Ausfall der Systeme, Datenschutzverletzungen und damit verbundene Geldbußen und Strafen zählten, folgten rechtliche Veränderungen wie Zölle, Wirtschaftssanktionen oder der Brexit. Erst an Nummer vier kommen Feuer und Explosionen, gefolgt von Marktentwicklungen und Naturkatastrophen. Weltweit rangieren der Klimawandel und die damit verbundenen Folgen auf Platz 7, in Deutschland kommt er in den Top 10 (noch) nicht vor.
Aufgrund dieser Befunde könnten sich HR-Verantwortliche jetzt beinahe entspannt zurücklehnen, wäre da nicht die immer stärker werdende Digitalisierung aller Aufgabenfelder – samt den damit verbundenen Risiken. HR-Risikomanagement im Bereich Payroll ist damit in erster Linie IT-Risikomanagement und von daher eine Gemeinschaftsaufgabe von HR und IT. Auch rechtliche Aspekte kommen für Payroller selbstverständlich permanent zum Tragen, insbesondere durch den unablässigen Wandel der rechtlichen Rahmenbedingungen, und zwar nicht erst seit neuen Kurzarbeiter- oder Krankenstandsregelungen. Diese beiden ganz handfesten Problemfelder in den Griff zu bekommen, ist sicherlich eine Sache, die HR sehr wohl versteht.
Zahlen der Deutschen Rentenversicherung bestätigen dies: So haben die Nachforderungen an Beiträgen zur Renten-, Arbeitslosen-, Kranken- und Pflegeversicherung aller Rentenversicherungsträger nach der turnusmäßigen Prüfung im Jahr 2019 mit Säumniszuschlägen 691 Millionen Euro betragen; auf der anderen Seite fanden die Prüfer rund 106 Millionen Euro, die zu viel abgeführt worden waren.
Im Vergleich zu den gesamten Einnahmen aus Pflichtbeiträgen, die im selben Jahr rund 222 Milliarden Euro betrugen, ergibt sich eine Gesamtfehlerquote von gerade einmal 0,36 Prozent. Ein vermeintlich tolerables Risiko, ganz ungeachtet der Tatsache, dass in dieser Zahl selbstverständlich auch die willentlich fehlerhaften Abrechnungen enthalten sind, Stichwort Schattenwirtschaft.
Originäre HR-Risikobereiche nach Consulting
Abgesehen von IT sowie Arbeits- und Sozialversicherungsrecht gibt es natürlich auch die klassischen Aufgabenfelder des HR-Risikomanagers. Die Unternehmensberatung Changeleaders beschreibt diese folgendermaßen:
- Engpassrisiko, das sich aus mangelnder Arbeitgeberattraktivität, unklarem Employer Branding oder nicht marktgerechter Vergütung ergeben kann,
- Austrittsrisiko aufgrund unzureichender Mitarbeiterbindung,
- Anpassungsrisiko, das durch inadäquat qualifizierte Mitarbeiter, fehlende Flexibilität oder stark ausgeprägtes Anspruchsdenken entsteht,
- Motivationsrisiko, das fehlende Chancengleichheit oder mangelnde kulturelle Vielfalt befördert,
- Integritätsrisiko, wenn Mitarbeitende nicht integer und loyal handeln.
All diese Risiken lassen sich messen und mit Kennzahlen versehen, gewichten und anschließend lassen sich bestimmte Gegenmaßnahmen ableiten, alles selbstverständlich auch IT-gestützt. Doch wie viel Aufwand man damit als Unternehmen betreiben möchte, ist letztlich eine Glaubensfrage. Die Unternehmensberater empfehlen im eigenen Geschäftsinteresse selbstverständlich, die Implementierung eines Personalrisikomanagementsystems – soweit keine eigene Risikomanagementexpertise im HR-Bereich vorhanden ist – durch erfahrene externe Spezialisten begleiten zu lassen.
Insbesondere das letzte der aufgezählten Risiken dürfte vergleichsweise schwer greifbar gemacht werden können und profitiert eventuell von Profis. Denn so vermeldet der IT-Branchenverband Bitkom e. V., dass im Bereich der Cyberkriminalität vor allem ehemalige Mitarbeiter diejenigen sind, die die Schäden verursachen. In einer Umfrage von November 2019 gab ein Drittel der von Cyberattacken betroffenen Unternehmen – und das sind drei von vier – an, dass sie von früheren Mitarbeitern vorsätzlich geschädigt wurden. Ein knappes Viertel sieht vormals Beschäftigte in der Verantwortung, ohne ihnen ein absichtliches Fehlverhalten zu unterstellen.
Alexandra Buba