Langfristig verankert
Bei der Einführung eines Risikomanagementprozesses finden es Mitarbeiterinnen und Mitarbeiter oft spannend, mitzuwirken und bei der Erarbeitung der Risikoexposition der Firma ihre Meinung einzubringen. Trotzdem verliert Risikomanagement über die Jahre an Bedeutung. Der Elan geht verloren. Was ist zu tun, um den Prozess langfristig weiterzuentwickeln?
Die Beratungsfirma i-Risk hat in den letzten Jahren über 100 Firmen bei der Ein- und Weiterführung von Risikomanagement begleitet. Mit diesen Erfahrungen kann man die entscheidenden Einflüsse zur erfolgreichen Verankerung von Risikomanagement in drei Kategorien einteilen, die zeitlich in drei Phasen ablaufen:
- Risikomanagement bei der Einführung
- Risikomanagement im ersten Jahr
- Risikomanagement in den Folgejahren
Einführung – Risikoregister anlegen
Zu Beginn des Risikomanagementprozesses sollte die Führung des Unternehmens die Rahmenbedingungen klar definieren. Diese sollten auf die Firmengrösse und -struktur angepasst sein, um mit den bestehenden Ressourcen Risikomanagement langfristig weiterführen zu können. Dabei spielt auch die Branche und die Natur von potenziellen Gefahren eine Rolle. Drei Faktoren stehen beim Aufsetzen der Anfangsparameter in enger Verbindung zueinander:
- Die Skala des Schadensausmasses zur Bewertung von Risiken
- Die Flughöhe der Risikobetrachtung
- Die Anzahl der bewerteten Risiken
Die Untergrenze der Skala des Schadensausmasses zur Bewertung von Risiken definiert die Anzahl Risiken, die im System erfasst werden. Liegt der Schwellenwert beispielsweise bei CHF 300’000, werden mehr Risiken aufgenommen als bei CHF 500’000. Die Flughöhe der Risikobetrachtung bestimmt die Granularität der Risiken: Beispielsweise kann ein Ausfall der gesamten Produktion oder, tiefer angesiedelt, jede Produktionsanlage einzeln, als Risiko aufgeführt werden. Eine einheitliche Granularität der gesamten Risikoliste vereinfacht den Vergleich der Risiken untereinander. Demnach wird die Anzahl Risiken im Risikoregister zum einen davon beeinflusst, wie die Bewertungsskala definiert ist, und zum anderen durch die gewählte Flughöhe. Beide Faktoren sollten über die Jahre möglichst konstant gehalten werden, damit man den langfristigen Verlauf der Risiken erfassen kann.
In der Praxis hat sich gezeigt, dass es am effzientesten ist, wenige Risiken in das Risikoregister aufzunehmen, diese jedoch vertieft zu betrachten. Bei den meisten Schweizer KMU bewegt sich die Anzahl Risiken um die 20. Durch den Fo
Weniger, aber dafür vertieft
kus auf die grössten Bedrohungen kann die Qualität der Risikobetrachtung im Einzelnen sichergestellt werden. Wählt man bewusst eine tiefere Flughöhe zur Risikoidentifikation, werden automatisch mehr Risiken betrachtet. Dabei passiert es häufig, dass diese bereits in anderen Managementsystemen erfasst sind und daher doppelt geführt werden, was Ineffizienzen mit sich bringt.
Ein weiterer Schlüsselpunkt eines effizienten Risikomanagements ist, jedes Risiko als Szenario zu formulieren und jeweils einen Verantwortlichen aus der Belegschaft zu benennen. Diese Risikoeigner unterrichten den Risiko-manager über Veränderungen und sind stets über den Status der risikoreduzierenden Massnahmen informiert. Bei einer Auswahl von ungefähr 20 Risiken ist die Flughöhe auf einer Ebene, auf der je-des Geschäftsleitungsmitglied zu sämtlichen Themen Stellung nehmen kann und alle Risiken in einem einzigen halbtägigen Workshop bewertet werden können. Damit wird eine objektive Einordnung der Risiken erreicht.
Im ersten Jahr – Wirkung sichern
Zum Abschluss der Einführung eines Risikomanagementprozesses wird die Risikopolitik definiert und verabschiedet, die das gesetzesmässig vorgeschriebene System längerfristig festlegt. Es empfiehlt sich, ein Dokument von ungefähr zehn Seiten aufzusetzen, in welchem hauptsächlich drei Punkte beschrieben werden:
- Die Periodizität der Risikobewertung
- Die Periodizität der Massnahmenüberwachung
- Der Risikomanagementprozess inklusive Verantwortlichkeiten
In den meisten Schweizer KMU wird die Risikoanalyse einmal jährlich durchgeführt und die Überwachung der Massnahmen findet quartalsweise statt. Viele Unternehmen tendieren dazu, die Frequenz zu erhöhen, um die Aktualität der enthaltenen Informationen zu steigern. Wichtig ist jedoch, die Frequenz der Massnahmenüberwachung höher als diejenige der Risikobewertung zu halten, denn nur so kann Risikomanagement seine ganze Wirkung erzielen. Durch die Umsetzung der definierten Massnahmen können Geld gespart und Konkurrenzvorteile ausgebaut werden. Unternehmen verwenden oft ein Ampelsystem zur Massnahmenüberwachung. In den Quartalssitzungen, in welchen die Massnahmen besprochen werden, liegt der Fokus dann auf den gelben und roten Massnahmen, die im Verzug sind.
Während des gesamten Risikomanagementprozesses sollte stets ein direkter Informationsfluss erfolgen: Es muss sichergestellt werden, dass Mitarbeiterinnen und Mitarbeiter Risiken direkt an den Risikomanager kommunizieren, damit dieser nötige Massnahmen einleiten kann. Insbesondere bei KMU ist deshalb die Einführung von zahlreichen Verantwortlichkeitsstufen im Prozess zu vermeiden. Bei einigen Firmen trifft man auf Mitarbeiter, welche die Risiken ih
DirekteKommunikation
rer Division zusammentragen, filtern und an den Risikomanager weiterleiten. Dies verunmöglicht jedoch die schnelle und direkte Kommunikation aller mit dem Risikomanager. Eine pragmatische Lösung, um die direkte Verbindung zum Risikomanager zu gewährleisten, ist das Einrichten eines Briefkastens zur Kommunikation von Risiken und Gefahren.
Risikomanagement in den Folgejahren
Im Mittelpunkt des Risikomanagementprozesses steht der Mensch. Insbesondere bei der Risikoanalyse ist dabei Kreativität gefragt. Er schlägt neu erkannte Risiken vor und bewertet diese. Um eine Repetition zu vermeiden, sollte das Management immer wieder andere Personen in den Prozess einbeziehen. Die Risikoexposition eines Unternehmens wird damit jedes Jahr von einer neuen Seite beleuchtet.
Bei einer jährlichen Risikoanalyse hat sich in der Praxis ein Dreijahreszyklus zur Anpassung der Risiken bewährt: 1.Jahr: Risikoidentifikation anhand von Interviews und Checklisten sowie Bewertung der Risiken in einem gemeinsamen Workshop.
2.Jahr: Hinzufügen, Löschen und Anpassen von Risiken sowie Bewertung der Risiken in einem gemeinsamen Workshop. Dabei werden vor allem die grössten Verschiebungen der Risiken analysiert.
3.Jahr: Betrachtung von Trends in der Branche und Ableitung neuer Risiken sowie Analyse von Verschiebungen der Risikobewertung (Grafik 1).
Risiken verändern sich
Im ersten Jahr wird auf der «grünen Wiese» begonnen, indem man die Risiken anhand von strukturierten Interviews neu aufnimmt und anschliessend bewertet. Die im System bereits vorhandenen Risiken oder auch die Branchenerfahrungen externer Berater bei der erstmaligen Durchführung werden dabei als Checklisten hinzugezogen. Im Bewertungsworkshop bewertet das Management die Risiken und definiert Prioritäten für die Massnahmenumsetzung.
Im zweiten Jahr liegt der Fokus auf den Verschiebungen der Risiken im Vergleich zum Vorjahr. Der Zeitaufwand für die Risikoidentifikation ist relativ gering, da sich die Situation in den meisten Branchen über ein Jahr wenig verändert. Anschliessend werden die Risiken vom Management neu bewertet und mit der Bewertung vom Vorjahr verglichen. Der Fokus liegt dabei auf den wesentlichen Verschiebungen, zu denen jeweils eine Begründung dokumentiert wird. Die Bewertung der Risiken ändert sich in der Regel dann wesentlich, wenn Massnahmen eingeführt wurden oder signifikante Markt- oder Organisationsveränderungen stattgefunden haben. Aufgrund der Betrachtung der Risikoveränderungen kann die Effizienz der eingeführten Massnahmen aufgezeigt und gemessen werden.
Im dritten Jahr integriert man Trends in die Analyse. In den ersten Jahren macht eine Sicht nach innen Sinn, um sich nicht stark auf externe Risiken zu konzentrieren und vor allem bei denjenigen Problemen anzusetzen, welche die Firma selber reduzieren kann. In den Folgejahren kann das Management den Blick mehr in die Zukunft und nach aussen richten. Der Einfluss von Makrotrends auf die Firma wird dabei analysiert. So kann man im dritten Jahr die Trends in der Branche analysieren und daraus für die Firma relevante Risiken identifizieren. Bei der Risikobewertung liegt der Fokus noch stärker als im Vorjahr auf den Veränderungen.
Fazit
Um Risikomanagement langfristig zu verankern und für die involvierten Personen möglichst bereichernd zu gestalten, sollten reine Wiederholungen vermieden werden. Sobald sich Repetition einschleicht, besteht die Gefahr, dass Risikomanagement zur Alibiübung verkommt. Nur erkannte Risiken können auch bearbeitet werden. Daher sollte der kreative Denkprozess durch neue Blickwinkel aufrechterhalten werden. Auch ist es von Vorteil, von Zeit zu Zeit verschiedene Akteure in den Prozess zu involvieren, um neue Meinungen aufzunehmen. Dabei sind Querdenker mehr als willkommen.