Erfolgsfaktoren für Konzerne

Der Risikomanagementprozess wurde vom Schweizer Konzern gemeinsam mit i-Risk auf zwei Ebenen durchgeführt. In einem ersten Schritt wurden die fünf Business Units des Unternehmens einzeln betrachtet. Anschliessend wurden die Resultate der Business Units konsolidiert, und auf Konzernebene erfolgte eine übergeordnete Analyse. Auf beiden Ebenen verlief der Prozess von der Risiko- zur Massnahmenanalyse. Zuletzt fand über den gesamten Konzern hinweg eine Integration und Dokumentation der Risiken statt.

Analyse von Risiken und Massnahmen

Bei der Risikoanalyse wurden die Risiken mittels Einzelinterviews mit den Geschäftsleitungsmitgliedern identifiziert und anschliessend zu einem Risikokatalog zusammengefasst. Die Risikobewertung fand in einem Gruppen- Workshop mit der Geschäftsleitung statt. Jeder Teilnehmer bewertete dabei die Risiken bezüglich Scha-

Workshops mit den Chefs

densausmass, Eintretenswahrscheinlichkeit und Reputationseinfluss. Die Bewertung verlief sequentiell, indem zuerst die individuellen Bewertungen der Schadensausmasse jedes Risikos gemittelt wurden. Die individuellen Bewertungen wurden bei grosser Abweichung zueinander besprochen und nötigenfalls angepasst. Anschliessend bewerteten die Teilnehmer zu jedem Risiko die Eintretenswahrscheinlichkeit mit dem vorab bestimmten Schadensausmass und schlussendlich den Reputationseinfluss des Ereignisses. Des Weiteren wurde jedes Risiko einem Risikoeigner sowie einem Bereich zugeordnet. Bei der folgenden Massnahmenanalyse waren in einem ersten Schritt die jeweiligen Risikoeigner involviert. Bei ihren Risiken verfassten sie einen Vorschlag zur Bewältigungsstrategie. Darin wird erwähnt, ob das Risiko akzeptiert oder reduziert werden soll. Im gleichen Schritt wurden die zentralen bestehenden und vorgeschlagenen neuen Massnahmen aufgenommen und mit Start, Ende, internem Aufwand, externen Kosten sowie Verantwortung definiert. Zur Definition und Planung von neuen Massnahmen fand wiederum ein Gruppen-Workshop mit der Geschäftsleitung statt.

Nach der Durchführung der Analysen in allen fünf Business Units und der Konsolidierung auf Konzernebene wurde die Weiterführung des Prozesses sichergestellt. Im Schritt der Integration und Dokumentation wurde dabei eine Risikopolitik, ein Risikobericht und eine Prozessbeschreibung mit Verantwortlichkeiten verfasst sowie das Massnahmencontrolling definiert und eingeführt.

Einheitliche Risiken mit Bow-Tie-Methodik

Damit das Risikomanagementsystem im gesamten Konzern auch zukünftig effizient durchgeführt werden kann, ist auf eine einheitliche Risikobenennung und -beschreibung zu achten. Bei der Risikoidentifikation wurde dabei in den Interviews sukzessive ein Risikokataster aufgebaut. Dieser wurde dann mit Risiken aus Benchmarks von anderen Unternehmen der Branche komplettiert und dient als Checkliste innerhalb der Firma. Auch wenn innerhalb des Unternehmens verschiedene Business Units mit vielfältigen Risiken vorhanden sind, stellt eine gewisse Harmonisierung der Risiken eine deutliche Aufwandreduktion bei der Konsolidierung innerhalb der Firma dar.

Bei der Erstellung des Risikokatasters ist auf den Aufbau von Risikoszenarien Wert zu legen. Dabei wurde im vorliegenden Fall die Bow-Tie-Methodik herangezogen, welche eine Strukturierung der Risiken in Ursache-Ereignis-Auswirkungen schafft. Ein Ereignis wird bezüglich seiner möglichen Ursachen und Auswirkungen analysiert. Anschliessend werden zu den wahrscheinlichsten Ursachen und Auswirkungen Risikoszenarien formuliert, welche jeweils eine Kette von Ursache-Ereignis-Auswirkungen darstellen. Diese Strukturierung bringt Vorteile im gesamten Risikomanagementprozess. Die Risikobewertung wird erleichtert und gewinnt an Genauigkeit, indem bei der Ursache die Wahrscheinlichkeit des Eintretens eines Ereignisses und bei der Wirkung das Schadensausmass und der Reputationseinfluss des Ereignisses bewertet werden.

Bei den Massnahmen wird durch die Bow-Tie-Methodik eine Trennung von ursachenbezogenen und wirkungsbezogenen Massnahmen erreicht. Somit kann für das jeweilige Risiko die geeignete Risikobe

Risiken präzise bewerten

wältigungsstrategie definiert und eingeführt werden. Ursachenbezogene Massnahmen wie bauliche und Prozessmassnahmen reduzieren die Eintretenswahrscheinlich-keit und das Schadensausmass beim Risikoeintritt. Wirkungsbezogene Massnahmen wie Versicherungen und Krisenmanagement sind in der Regel günstiger, reduzieren jedoch nur den Schaden des Ereignisses, nicht die Eintretenswahrscheinlichkeit (Grafik 1).

Der Reputationsfaktor

Durch die Zusammensetzung des Konzerns aus verschiedenen Business Units werden gleichzeitig unterschiedliche Marken mit dem Unternehmen verbunden. Um am Markt erfolgreich agieren zu können, ist das Unternehmen auf ein ausgezeichnetes Image dieser Marken angewiesen. Der Einbezug des nachhaltigen Schadens durch Betrachtung der Reputation als Bewertungsgrösse ist im Risikomanagement immer stärker verankert und hilft, Risiken genauer zu bewerten und zu kategorisieren. Dabei können Risiken mit geringer Aussenwirkung und kleinem nachhaltigem Schaden, wie ein kurz-fristiger Währungsverlust, von Risiken mit grosser Aussenwirkung und hohem nachhaltigem Schaden, wie eine Gewässerverunreinigung, unterschieden werden. Insbesondere um strategische langfristige Risiken stärker zu gewichten, ist der Einbezug der Reputation zentral. Im Risikomanagementsystem des Schweizer Konzerns wurde daher neben der klassischen Risikomatrix, welche sich aus der Bewertung der einjährigen Eintretenswahrscheinlichkeit und dem Schadensausmass zusammensetzt, eine Reputationsmatrix aufgestellt. In der Reputationsmatrix wird der Erwartungswert jedes Risikos (Produkt aus Eintretenswahrscheinlichkeit und Schadensausmass) dem Reputationseinsfluss gegenübergestellt. In der oberen rechten Ecke werden Risiken erster Priorität abgebildet, welche sowohl einen hohen kurzfristigen Erwartungswert wie einen hohen langfristigen Reputationseinfluss beinhalten. Risiken zweiter Priorität haben entweder einen hohen Erwartungswert oder einen hohen Reputationseinfluss.

Die Bewertung des Reputationseinflusses wird immer qualitativ vorgenommen. Eine Skala von eins bis sechs ist hierbei zu bevorzugen, da der Mensch mit sechs Abstufungen intuitiv umzugehen versteht.

Sicht auf Konzern- und Business-Unit-Ebene

Im vorliegenden Fall vereint der Konzern fünf verschiedene Business Units. Um auf Konzern- und

Szenarienstrukturieren

Business-Unit-Ebene die zentralen Risiken abzubilden und miteinander vergleichen zu können, wurden zwei verschiedene Matrizen zur Bewertung der Risiken verwendet. Auf Konzernebene wurde eine 6×6-Risikomatrix, auf Business- Unit-Ebene eine 6×8-Risikomatrix herangezogen. Bei den drei Bewertungsparametern Eintretenswahrscheinlichkeit, Reputationseinfluss und Schadensausmass unterscheiden sich die Skalen dabei im Schadensausmass. Auf Business-Unit- Ebene wurden zwei Stufen mehr verwendet, um die nötige Tiefe zu erreichen. Auf Konzernebene wurden Risiken erst ab einem Schwellenwert konsolidiert. Um den Schwellenwert zu ermitteln, werden die Risiken quantitativ bewertet.

Sowohl bei der Eintretenswahrscheinlichkeit wie auch beim Schadensausmass wird dabei eine logarithmische Skala herangezogen. Zum einen ermöglicht dies, eine grössere Spannbreite von Risiken darzustellen, und zum anderen ist die menschliche Wahrnehmung logarithmisch und nicht linear. Erfahrungen zeigen, dass bei einer linearen Einteilung die Risiken auf der Risikomatrix kaum stimmen. Sobald eine logarithmische Einteilung gewählt wird, können die in den Prozess involvierten Personen Risiken viel besser einschätzen. Beim Schweizer Konzern wurde sowohl für das Schadensausmass als auch für die Eintretenswahrscheinlichkeit jeweils eine Skala mit einem Zweierlogarithmus gewählt. Daher befinden sich in der Darstellung der Risikomatrix gleichwertige Risiken auf parallelen Äquivalenzgeraden von rechts oben nach links unten (Grafik 2).

Konsolidierung nach höchstem Erwartungswert

Zur Konsolidierung der Risiken gibt es vier verschiedene Ansätze, die gegebenenfalls kombiniert oder angepasst angewendet werden können:

•  Schwellenwertdefinition: Bei diesem Vorgehen werden Risiken, deren Erwartungswert (Multiplikation von Schadensausmass und Eintretenswahrscheinlichkeit) eine gewisse Grenze überschreitet, in Betracht gezogen.
• Kategorisierung: Eine Kategorisierung der Risiken setzt voraus, dass bei der Identifikation der Risiken jeweils festgelegt wurde, für welche Stufe das Risiko relevant ist (zum Beispiel Team, Abteilung, Bereich, gesamte Firma, Verwaltungsrat). Nur Risiken der jeweiligen Kategorie werden anschliessend in Betracht gezogen.
• Szenario-Konsolidierung: Bei diesem Ansatz werden Risiken mit derselben Ursache zu neuen Risikoszenarien zusammengefasst, um so eine Gruppierung und Reduktion der Risiken zu erreichen. Anschliessend werden die erstellten Risikoszenarien auf einer höheren Ebene neu bewertet. 
• Simulation: Hierbei werden tausende von Simulationen anhand von quantitativen Modellen durchlaufen. Zur Erstellung des Modells werden historische Daten und Experteneinschätzungen miteinbezogen.

Die Konsolidierung der Risiken auf Konzernebene im vorliegenden Beispiel startete bereits bei der Risikoidentifikation auf Business- Unit-Ebene, indem Risiken möglichst gleich beschrieben wurden. Anschliessend wurde der Filter des konzernrelevanten Schadensausmasses angewendet. Bei den verbleibenden Risiken wurde bei den gleich beschriebenen jeweils das Risiko mit dem höchsten Erwartungswert in die Konzernmatrix übertragen. Die so aus den Business Units konsolidierten Risiken wurden mit konzernweiten übergeordneten Risiken ergänzt. Dem

GemeinsameErwartungswerte

nach wurde hier die Konsolidierung nach Schwellenwertdefinition mit einer Ergänzung von übergeordneten Risiken angewendet.

Fazit

Risikomanagement hat sich in den letzten Jahren stark gewandelt. In vielen Unternehmen hat sich das Thema von einer pflichtweisen gesetzlichen Einführung hin zu einem strategischen Managementinstrument entwickelt. Einige wenige Faktoren entscheiden über den Erfolg oder Misserfolg des Risikomanagementsystems. Vor allem bei einem Konzern mit unterschiedlichen Business Units ist ein Prozess mit massgeschneiderter Identifikation, Bewertung und Konsolidierung der Risiken von zentraler Wichtigkeit. Nur wenn der Mehrwert und die Effizienz des Prozesses von der Geschäftsleitung erkannt und vertreten wird, kann Risikomanagement langfristig und wertsteigernd angewendet werden.