Mehrwert für KMU !

In vielen Firmen wird Risikomanagement nur als notwendige, aber letztlich unnütze Erfüllung der gesetzlichen Anforderungen gesehen. In einem früheren Artikel wurde bereits den möglichen Gründen nachgegangen.

Im folgenden Artikel werden nun Lösungsansätze erläutert, wie KMU von angemessenem, kosteneffizientem Risikomanagement profitieren können, welches über die rein gesetzlich geforderte Finanzsicherung hinausgeht. Mit diesen teils unkonventionellen Empfehlungen gehen wir bewusst in eine andere Richtung, weg von den üblichen Prozess- und Tool- dominierten Ansätzen.

Zielsetzungen?

Zuallererst sollten diese quintessenziellen Fragen beantwortet werden: Welche Erwartungen hat eine KMU an ein effektives und nützliches Risikomanagement? Wobei selbstverständlich vorausgesetzt wird, dass die gesetzlichen und branchenspezifischen Vorschriften erfüllt werden müssen. Die zentralen Zielsetzungen des Integralen Risikomanagements heissen:

• Sichern des langfristigen Bestehens und der positiven Entwicklung des Unternehmens,
• Verhindern von DownRating und Liquiditätsengpässen,
• integrale und einheitliche Erfassung und Bewertung der wirklich relevanten Risiken für das gesamte Unternehmen,
• zeitnahes Erstellen aller, unterschiedlichen Berichtformen, für ein bedürfnisgerechtes Reporting zu den verschiedenen Risk Owner und Stakeholder.

Als zusätzliche Vorteile wären noch folgende Punkte zu nennen:

• aktive Unterstützung für intelligente Entscheidungsfindung bieten, sei diese strategischer, finanzieller oder operationeller Art und,
• Förderung von erfolgsversprechenden Innovationen und Projekten.

Hier steht die wichtige Einsicht im Vordergrund, dass Finanzrisiken bei vielen Unternehmen oft nur die Auswirkungen von strategischen, operationellen und technischen Risiken sind. Oder anders gesagt – die Ursachen für die meisten finanziellen Probleme liegen fast immer in vorausgegangenen, fehlerhaften Entscheidungen im Bereich der strategischen Entwicklung und der operativen Umsetzung [1]. Dabei liegt es uns fern, Finanzrisiken zu negieren, aber effektives Risikomanagement darf dort nicht aufhören. Um einen ausgeprägten Nutzen zu erhalten, muss es die vielen anderen Aspekte auch einbeziehen, und letztlich müssen Erkenntnisse aus dem Risikomanagement bereits in frühe Entscheidungsfindungen einfliessen.

Anforderungen?

Die zweite wichtige Frage, bevor man ein Risikomanagement einführt, betrifft die notwendigen Anforderungen. Einer KMU stehen in der Regel nur beschränkte Ressourcen und ungenügende Fachkompetenz zur Verfügung. Zudem muss sie sich auf ihr «daily business» fokussieren. Daraus leiten sich die folgenden Anforderungen an ein effizientes Risikomanagement ab:

Der Prozess muss:

•  der bestehenden Unternehmens- und Prozesskultur entsprechen,
• den funktionsspezifisch unterschiedlichen Bedürfnissen gerecht werden,
• weitgehend der bereits vorhandenen Dokumentensystematik angepasst werden können,
• nur einen, übersichtlichen, übers Jahr fortlaufenden Prozess umfassen,
• wahlweise mit internen oder externen Ressourcen handelbar sein,
• auf jeder Ebene/in jeder Funktion zeiteffizient und 
• insgesamt kostengünstig sein.

Das Reporting soll:

• übersichtlich, einfach und für die unterschiedlichen Empfänger verständlich sein, 
• klar visualisiert werden können,
• bei Bedarf in «realtime» nachgeführt werden können,
• den vorgegebenen Berichtformen übergeordneter, organisatorischer Einheiten entsprechen 
• und natürlich den gesetzlich, behördlich geforderten Ansprüchen genügen.

Daraus resultiert die auffallendste Eigenschaft eines effektiven Risikomanagements. Es muss flexibel sein! Dadurch vermeidet man, dass jede Funktion im Unternehmen ihren Anforderungen und Bedürfnissen gehorchend ein ei

Soll der Risikomanagementprozess in das bestehende Prozessund Dokumenten- Management-System integriert werden?

genes, sehr spezialisiertes Risikomanagementsystem implementiert, welches dann meistens auf einem nur in ihrem Bereich anerkannten Standard basiert. Man reduziert so die Problematik, dass mehrere nicht kongruente Insellösungen mit parallel laufenden Prozessen und unverhältnismässig grossem Aufwand existieren. Deshalb sind in der Praxis Funktionen und Abteilungen in das in  tegrale Risikomanagement einzubinden, deren Anforderungen sich bezüglich genutzter Risikoanalysenmethode oder Berichtsform unterscheiden.

Ein weiterer Aspekt ist die mögliche Integration in bereits bestehende Prozesse. Es ist eine Tatsache, dass die Existenz und das Funktionieren eines Risikomanagements in einem Unternehmen durch die Revision bestätigt werden muss [Art. 961c OR], sofern es die Kriterien für eine ordentliche Revision erfüllt (börsenkotierte AG, > 40 Mio. Umsatz, > 250 Mitarbeiter) [2]. Zurzeit verlangt aber keine Norm explizit eine Auditierung resp. Zertifizierung des Risikomanagementsystems.

Es macht daher Sinn, den Risikomanagementprozess getrennt von zu auditierenden Systemen, wie beispielsweise GMP, ISO 9001 etc. zu führen. Gemäss den gängigen Standards (ISO 31000, ONR 49000ff., COSO ERM) ist das Vorhandensein eines ManagementSystems allerdings erforderlich [3]. So sind Dokumentation, Ausbildung, time und event driven Reviews sowie kontinuierliche Verbesserung auch im Risikomanagement gefordert.

Unsere Empfehlung ist daher, für Risikomanagement-Aufgaben das bereits bestehende System zu nutzen, aber dieses formell getrennt zu verwalten, quasi in einem anderen «Gefäss». Als Beispiel sei hier die effiziente Nutzung des IKS als Riskcontrolling auch für nicht finanzrelevante Prozesse erwähnt, insbesonderse zur kontinuierlichen Überwachung von strategischen Projekten und Real-time-Alarmierung bei Prozessabweichungen. Dies deshalb, weil IKS bereits viele der dafür notwendigen Aufgaben erfüllt. Siehe Tabelle 3, Aufgaben von IKS.

Aus diversen Gründen wird dem Risikomanagement die Anerkennung abgesprochen. Dies vor allem aufgrund folgender Voraussetzungen: Man hat gegebenenfalls zu viel Zeit für die Prozesse investiert und lässt die Erfolgsmeldung deswegen weg. Fehlendes Feedback führt aber dazu, dass man nicht als Teil des Erfolgs wahrgenommen wird. Ein anderer Aspekt ist die fehlende Messbarkeit, die dem Risikomanagement unterstellt wird. Das ist häufig durch fehlende Daten vor der Einführung des Systems begründet.

Positive Effekte

Man muss sich deshalb rechtzeitig die Frage nach risikorelevanten KPIs (Key Performance Indices) oder konkreten RPIs (Risk Performance Indices) stellen. Auch für das Risikomanagement sollte man klare RPI›s definieren und KPI›s festlegen, welche damit beeinfluisst werden wollen. Wenn das Risikomanagement integral umgesetzt und gut kommuniziert werden kann, so zeigt es bereits kurzfristig positive Seiten wie:

• Erhöhte Zufriedenheit der Risikoberichtsempfänger > besseres individuelles Verständnis
• Bessere Identifikation mit den Risiken > erhöhtes Feedback, Umsetzung von Massnahmen
• Einfachere Kontrolle, schnellere Reaktion > zeitnahe Meldung von Abweichungen
• Reduzierter Aufwand für Risikomelder und Risk Owner > Effizienterer Prozess

Ein erfolgreiches, integrales Risikomanagement zeigt mittelfristig auch Verbesserungen in:

• Erhöhte Sicherheit bessere Motivation > Liefersicherheit – Kundenzufriedenheit
• Qualitativ bessere Entscheide > optimalere Chancenwahrnehmung
• Erhöhtes Risikobewusstsein > Ausbildung einer unternehmenseigenen Risikokultur
• Positive Reputation bei Stakeholder, Community und Aktionären

Somit sollte schliesslich die Zielerreichung des Risikomanagements auch langfristig ermöglicht werden, wenn KPIs berücksichtigt werden. Siehe Tabelle 2, welche KPIs es sein können.

Eine wichtige Voraussetzung hierzu: Die gewünschten KPIs müssen vor Einführung des Risikomanagements definiert werden – zwecks Tendenzerkennung bereits zuvor über einen längeren Zeitabschnitt erfasst worden sein.

Ein effektives, integrales Risikomanagement hat für eine KMU einen wesentlichen Einfluss auf dessen Erfolg. Insbesonderse mittelfristige und langfristige Resultate können mit einem effektiven Risikomanagement positiv gesteuert werden.

Die anfänglich gestellte zentrale Frage nach einem unmittelbaren Nutzen von Risikomanagement kann somit deutlich befürwortet werden.