50 Jahre interdisziplinäres Risk Management

Wir schreiben 2015. Technologiesprünge nehmen rapide zu, Produkte und Produktionslinien wirken vielschichtiger, die digitale Vernetzung nimmt zu, konsequenterweise beherrschen Wertekonzentrationen und strengere Gesetzgebungen auch Schweizer Unternehmen. Man könnte meinen, die heutige Gesellschaft sieht Risiken als konstante Bedrohung. Viel besser wäre es doch, eine unbedarfte Unternehmenskultur zu schaffen, die es ermöglicht, Risiken und deren Veränderungen, Normen und Schutzmassnahmen klar und transparent, wenn nicht kontinuierlich handhaben zu können.

Um Risiken einheitlicher zu beurteilen und zu kontrollieren, entwickelten mitunter auch in der Schweiz tätige Betriebswissenschafter erste Strukturen und Gesetze bezüglich Risikomanagement. Prof. Dr. Bruno Brühwiler, ein vielgereister Experte und Geschäftsführer bei Euro Risk Ltd., der massgeblich an der Entstehung nationaler und internationaler Standards beteiligt ist, gegenüber Management & Qualität: «Die Wirtschaft stiess aufs Thema beidseits des Pazifiks. Allerdings gab es vor 50 Jahren kein flächendeckendes Risikomanagement – bis auf Raumfahrt-, Katastrophenoder Reaktorstudien. Die Wissenschaft an sich erhielt erst Aufwind über grosse multinationale Unternehmen, die meistens eine Insurance & Risk Management Abteilung zu führen hatten».

In dieser ersten Welle in den 1970ern definierten Unternehmen wie Swiss RE, Zürich oder Winterthur Versicherung erste RiskManagement- Ansätze, die auch heute noch «nachhallen». Inzwischen lernt jeder Ökonom, dass ein Bedürfnis nach Risikoabsenz nicht einfach mittels eines Versicherungsvertrags auszulagern ist. Prof. Dr. Brühwiler: «Versicherungen gegen Risiken machen Sinn, solange Kostenfaktoren nicht überstiegen und Kausalzusammenhänge ignoriert werden».

Vielen Managern und Angestellten fehlt es jedoch nach wie vor an Achtsamkeit für meist dynamische Störpotenziale oder an einer methodischen Auseinandersetzung mit Risk Management.

Professionelles Risk Management

Risk Management (RM), mitunter ein Element eines grösseren Regelwerks, bildet zu jeder Zeit eine konstante Leitplanke – sodass sie beispielsweise das Krisenmanagement unter der ISO 22301 (Business Continuity Management) nicht nur auf eigentliche Schadenereignisse ausrichtet, sondern auch Prozesse und Lücken bei vor- und nachgelagerten Rettungsketten aufzeigt. Tatsächlich ordnet RM – nicht zuletzt durch technische Neuentwicklungen und weitgreifende Führungsaufgaben – immer komplexer werdende Arbeits-, respektive sensible Produktewelten.

«Allerdings», so Prof. Dr. Brühwiler, «rückte Risikomanagement leider erst wieder wegen der Finanzkrisen in den Mittelpunkt der Öffentlichkeit.»

Problematisch vage ist und bleibt jedoch die eigentliche Definition, welcher Massstab für die Gefährdung (und auch für die Rettung) des Unternehmensbestandes anzusetzen ist. Gegen die abstrakte Gefährdung und einen totalen Finanzverlust einer Firma äussert sich seit dem 1. 5. 1998 das Deutsche Aktiengesetz AktG lediglich im Paragraph 91 Abs. 2, dass «der Vorstand ein Überwachungssystem einzurichten hat, um bestandsgefährdende Risiken frühzeitig zu erkennen.» In der Schweiz fordert der OR-Artikel 663b, «Angaben über die Durchführung einer Risikobeurteilung» (siehe Infobox).

Eine Maxime müssten Manager und Managerinnen spätestens in der Praxis eingestehen: «Verantwortung ist nie delegierbar.»

Auf der einen Seite können solche Gesetze massive Archivierungsaufgaben noch so kleiner Firmen mit sich bringen. Auf der anderen Seite wird ein Unternehmensleiter, der keine stringente Übersicht über die Gefährdungen seines Unternehmens hat, mit ziemlicher Sicherheit verheerende Entscheidungen treffen. Daher müssen gestern, heute und auch morgen RM-Spezialisten diejenigen Situationen überblicken und einschätzen können, die für die Zielerreichung eines Projekts weniger gefährlich sind, die jedoch ebenso Erfolgsergebnisse vermindern können.

Spätestens, seit gravierende Ereignisse wie zum Beispiel das Swissair Grounding die Schweizer Wirt- schaft tangieren, werden auch Ad- Hoc Risikomanagement Guidelines an Universitäten vermittelt. Eine Maxime müssten Manager und Managerinnen spätestens in der Praxis eingestehen: «Verantwortung ist nie delegierbar». Unternehmensfloskeln haben allmählich ausgedient, auch wenn einem Manager viele Entscheidungen noch so abstrus, mögliche Ereignisse noch so fern scheinen.

Anforderungen an Unternehmen

Die SAQ (Swiss Association for Quality) wurde 1965 gegründet. Der Verband mit heute rund 1800 Mitgliedern, wovon 80 Prozent Firmen bilden, ist mehr als ein Katalysator in Sachen Ebenbürtigkeit von international angewandten ISO-Normen. Die SAQ dreht sich seit 50 Jahren um die Zertifizierung und Auditierung professionell geführter Betriebe. Hieraus entstand 1983 die SQS (Schweizerische Vereinigung für Qualitäts- und Managementsysteme).

«Vielleicht wurde in der Vergangenheit RM oft mit Quality Management, Prozessoptimierung und Versicherungstechnik verwechselt », meint Prof. Dr. Brühwiler, Dozent und Präsident bei Euro Risk Ltd. In den letzten paar Jahren zeige sich jedoch ein klarer Trend in Richtung der integralen Beurteilung von Gefährdungen. Schulungen und Veranstaltungen der SAQ helfen Managen ihrer Aufgabe gerecht zu werden, mitunter die Unternehmenssicherung mit der Erwartungshaltung der Mitarbeiter – (möglicherweise mit Aktionären) über Normen und optimale Guidelines zu koordinieren.

Eine unternehmensspezifische Planung integriert weitere Ressorts um den eigentlichen Finanzbereich. «Sie betreibt RM nicht einfach durch Modelle», sagt Prof. Dr. Brühwiler. Dies ist ebenso die Meinung von Bettina Hübscher, der Dozentin und Projektleiterin für RM an der Hochschule Luzern, HSLU. Für die Unternehmensentwicklung sei es wichtiger – bei all den konzipierten Konformitätserklärungen, Richtlinien zur Produktesicherheit, Störfallverordnungen, Notfall-, Krisenund Kontinuitäts- Management- Systemen – wirklich auftretende Risiken und Chancen werten, gewichten und abfedern zu können.

Bettina Hübscher: «Die HSLU setzt deshalb immer nebst nachhaltigen Strategiemassnahmen auf kurzfristige Ad-hoc-Massnahmen. Sie funktionieren aber nur, wenn das RM mit dem CC abgestimmt wird, es von der Unternehmensspitze bis zu jedem Mitarbeiter gelebt und regelmässig geübt wird (Analyse mit Synthese, Übungen/Schulungen kombinieren) ».

Eine gute «Corporate Governance » wird von Risk- und Compliance- Massnahmen begleitet. Für die HSLU-Dozentin Bettina Hübscher besteht sie aus den mindestens sechs nachfolgend wichtigen Aspekten. Zentral dabei sei «eine gesamtheitliche Betrachtung der Unternehmung und dem Einbezug der Unternehmenskultur ».

• Wahren der Interessen verschiedener Gruppen
• funktionsfähige Unternehmensleitung
• zielgerichtete Zusammenarbeit der Unternehmensleitung und -überwachung
• Transparenz in der Unternehmenskommunikation
• angemessener Umgang mit Risiken
• Managemententscheidungen sind auf langfristige Wertschöpfung ausgerichtet

Wird keine funktionierende «Corporate Culture» geschaffen, entstehen definitiv weitere Risiken. Um auf Ereignisse nicht nur reaktiv, überstürzt oder improvisiert einzugehen, sollten RM-Prozesse in die Unternehmensführung integriert werden. Hierbei können die von Prof. Dr. Brühwiler mitdefinierten Standards wie ISO 31000 (Risk Management – Principles and Guidelines) sowie die ONR 49000, Risikomanagement für Organisationen und Systeme, Anwendung der ISO 31000 in der Praxis, als wichtige Gewerke in der Professionalisierung dienen. Letztere Norm befindet sich zurzeit unter den Top 5 der professionell angewendeten ISO-Standards.

Die OECD erklärte sie als «de facto world standard». Es entspricht jedenfalls einer Erweiterung und Aufwertung des klassischen Risikomanagements im Enterprise Risk Management. Hierauf basierend richten Unternehmen vermehrt Positionen für Chief Risk Officer ein.

Lesen Sie mehr im Teil 2 über Meilensteine, respektive Normen, auf dem Weg zum Integrierten Risikomanagement in der nächsten Ausgabe von Management & Qualität, die im Juni 2015 erscheint.