Schwierige Umsetzung

Risikomanagement gewinnt in Unternehmungen und Organisationen zunehmend an Bedeutung. Die Notwendigkeit eines aktiven, bewussten und eines den individuellen Erfordernissen angepassten Risikomanagements wird sichtbar (beispielsweise «Deepwater Horizon » und «Finanzkrise»). Gesetzliche Vorgaben und Regulierungen zwingen zu handeln. Neue Ansätze wie zum Beispiel das GRC (Governance, Risk & Compliance) suchen bereits die Integration der verschiedenen Risikomanagement-Disziplinen (Governance, EH&S, Finanzrisiken, Compliance, IKS-Risiken, usw.). GRC hat zum Ziel, das Risikomanagement bewusster zu verankern und damit mehr Wirkung zu generieren, Redundanzen zu verhindern und Synergien zwischen ähnlich gelagerten Management- Systemen zu nutzen.

ERM als Führungsinstrument

Die Risikomanagement-Systeme sollten grundsätzlich aus zwei Gründen umgesetzt werden: Erstens, um gesetzliche Vorgaben zu erfüllen (Sicherstellen der Gesetzeskonformität), und zweitens, um einen Mehrwert in der Unternehmung oder Organisation zu generieren.

Im Rahmen der Definition von Risikomanagement- Konzepten werden heute häufig komplizierte Umsetzungsmodelle vorgeschlagen, bei denen der Nutzen nur schwer erkennbar ist. Management-Systeme sind Dienstleistungsprodukte und

Nutzen nur schwer erkennbar

wie solche zu entwerfen und anzuwenden. Diese sollen mit Anwendung von praxistauglichen Ansätzen in den Unternehmens-Prozessen integriert werden. Sie sollen ressourcenschonend sein, indem sie das «Business» im Tagesgeschäft mit zweckmässigen Risikoinformationen unterstützen. Typischerweise sollen Risiko-Managementsysteme mit aggregierten Risikoübersichten und risikoadjustierten Massnahmenlösungen das Management bei Entscheidungsfragen unterstützen, in der Strategiefindung, der Unternehmensplanung, im Projektmanagement.

Weiter wird das Management mit immer neuen Management-Systemen eingedeckt. Eine Sättigung im Top-Management wie auch bei den jeweiligen Geschäftsprozess- Eignern ist gut spürbar. Ein echtes Commitment vom Management gegenüber ihrer Linie und den Belegschaften ist nur möglich, wenn die Führung Risikomanagement nicht einzig aus Gründen der Compliance, sondern als Führungsinstrument wahrnimmt und auch einen praktischen Nutzen erkennt. Ein Weiterentwicklung einer heute in den meisten Organisationen nicht hinreichenden Risikomanagementstruktur gelingt nur Top Down und unter der Mitwirkung der Geschäftsleitung (CEO) und des Verwaltungsrates. Nach praktischen Erfahrungen geht es vor allem um Denkanstösse in vier Bereichen:

1. Fehlende Verantwortlichkeiten / Committment

Warum in der Unternehmenswelt Risikomanagement auf höchster Stufe nicht oder nur rudimentär angewendet wird, hat diverse Gründe, unter anderem, dass Chancen im Vordergrund stehen und Verantwortlichkeiten des Top-Managements nach wie vor nicht oder ungenügend durchgesetzt werden. Sind es die verlockenden Chancen, die sich bieten, und die, ohne die Risikoseite zu berücksichtigen, noch wesentlich höher und erreichbarer erscheinen? Die Finanzbranche bestätigt genau das Bild, dass jegliche Risikomanagementprozesse (unter anderem auch interne Kontrollsysteme) bewusst nicht angewandt werden und dass das Top-Management im Nachhinein sich völlig naiv und blauäugig präsentiert. Eine Tatsache ist auch, dass Milliarden-Werte für die Aktionäre verlorengehen, die Öffentlichkeit einspringt und das Management die Verantwortung nicht genügend tragen muss.

Die schweizerische Gesetzesgrundlage zum Risikomanagement (siehe Kasten) ist sehr kurz und unklar formuliert, ein ausdrücklicher Hinweis fehlt, wie das Risikomanagement umzusetzen ist. Das «Wie» wird auch durch gängige Standards kaum beantwortet. Insbesondere fehlen klare «best practices» in den Haupt- Risikogebieten. Der Fokus sollte bei ERM-Systemen bei der Massnahmenplanung liegen und hier modellartige Lösungen entwickeln. Ein Grossteil der Top-Risiken ist branchenübergreifend und gleichartig. Massnahmenstandards würden hier einen wesentlichen Zusatznutzen erzeugen. Beispielsweise finden sich Risiken wie der Verlust von Schlüsselpersonen oder Einkaufsrisiken, um nur zwei Beispiele zu nennen, in vielen verschiedenartigen Branchen wieder. Die heutigen Trends wie das «Governance, Risk & Compliance» sind theoretischer Natur und besonders als Beratungsgrundlage gut geeignet, bringen aber nur wenig praktischen Zusatznutzen in der Praxis (Doppelspurigkeiten aufzuheben ist definitiv kein Schlüsseleffekt).

Häufig fehlt ein echtes Commitment des Top-Managements. Meistens hat für den CEO eine gute Risi-koübersicht wenig Bedeutung, er wird ja an Gewinnmaximierung und nicht an Risikominimierung gemessen. Oft genügen für die Ansprüche einer Geschäftsleitung oder des Verwaltungsrates bereits die Existenz einer rudimentären Risikolandkarte, was gemäss gesetzlicher Grundlage in der Schweiz auch vollständig genügend ist (kein Wirtschaftsprüfer verlangt detailliertere Angaben).

Das Commitment der Geschäftsleitung hängt zu häufig von persönlichen Vorlieben und der Agenda des jeweiligen Geschäftsleitungs-Mitglieds ab. Mit dem Committment steht und fällt auch die Möglichkeit für den Risiko-Manager, sich innerhalb der Organisation erfolgreich zu bewegen.

2. Ungenügende ERMOrganisation

Das Risikomanagement wird heute in den Unternehmungen unterschiedlich tief und gründlich betrieben, häufig als isolierter Prozess, was schon in sich ein Widerspruch ist (Controllingansätze werden auch nicht losgelöst und nicht integriert betrieben).

Eine Risikobeurteilung wird generell in den Quartals- und Jahresberichten ein bis viermal pro Jahr durch die oberste Leitung vorgenommen. Ein kontinuierlicher integrierter Risikomanagementprozess mit Einbindung aller Hierarchieebenen und mit Adressierung von Verantwortlichkeiten ist meistens nicht vorhanden.

Erst die Integration und die Einbindung in strategische, operative und Unterstützungsprozesse sowie die Adressierung von Verantwortlich-

Mängel in der Ausbildung

keiten ermöglicht eine Gesamtrisikosicht, wie sie in einem ERM (Enterprise Risk Management) gefordert wird. Dazu sind natürlich auch die Expertendisziplinen wie Internes Kontrollsystem, Arbeitsund Gesundheitsschutz, Security, Business Continuity Management, Treasury, Krisenmanagement, Finanzrisikomanagement, Informationssicherheit usw. entsprechend zu integrieren.

Risikomanagement ist eine junge Disziplin, jedenfalls was die bewusste Umsetzung von Risikomanagement- Prozessen angeht. Demzufolge sind die Risikomanagement-Ansätze und die standardisierten Massnahmenpläne sehr heterogen. Trotz immer breiterer Anwendung von Risikomanagement sind generell ausgebildete Risikomanager noch eine Seltenheit. Die Ausbildung sollte von den aktuellen Praxisbedürfnissen und den vorhandenen Risikofeldern ausgehen und die Studierenden mit Standards und Managementmethoden (Risikomassnahmen) versorgen. Dies kann nur sichergestellt werden, wenn Grundlagenforschung und ein Fachaustausch von der Lehre zur Praxis betrieben wird. Heute fehlen in der Ausbildung Methoden, wie spezifische Risikokategorien über ihre Risikopotenziale gesteuert werden sollen. Ausnahmen, wo eine grosse Anzahl von gut qualifizierten Experten zur Verfügung steht, sind beispielsweise Gebiete wie IT-Security, Arbeitssicherheit, Brandschutz, Kredit- und Marktrisiken. Diese verstehen aber selten den Nutzen einer integrierten Lösung für das jeweilige Unternehmen/die Organisation.

Da verhinderte Risiken nicht messbar sind und auch Vergleiche von Risikozuständen vor oder nach Einführung von möglichen Massnahmen (Brutto-Netto-Vergleiche) jeder tieferen Prüfung nicht standhalten, können auch Risikomassnahmen und deren Wert nicht direkt gemessen werden. Mit der Unmöglichkeit, Wertsteigerung messen zu können, wird auch die Bereitstellung von Ressourcen auf Corporate Level nicht einfach durchgesetzt werden können.

Mehrwert kann nur erzeugt werden, wenn zu Hauptrisiken auch Massnahmenstandards und einfache

Tools nur eingeschränkt geeignet

praxistaugliche Methoden zur Verfügung gestellt werden. Dies aber ist Aufgabe der Hochschulen und nicht der Unternehmen.

3. Komplizierte Methoden mit wenig Mehrwert

Die Methoden des Risikomanagements zur Erfassung und vertieften Analyse von Risiken und deren Massnahmen sind zeitintensiv und nicht standardisiert. Diese Attribute überfordern nicht nur die Risikoma-nager, sondern meistens auch die Führungsgremien. Natürlich gibt es auch Ausnahmen, beispielsweise bestehen für Finanzrisiken ausgefeilte Risikomodelle. Diese Modelle, das haben in den vergangenen Jahren zahlreiche Ereignisse in der Finanzdienstleistungsindustrie signifikant aufgezeigt, sind jedoch in der Realität nur bedingt einsetzbar und weisen zu grosse Mängel auf, um Finanzrisiken nachhaltig zu steuern.

Die Einschätzung von verschiedenen Risikokategorien erfolgt in den Unternehmungen aus Gründen der Praktikabilität oft nicht bereichsübergreifend. Die Risikobewertungen sind sehr schwierig nachzuvollziehen und erfolgen einzig auf qualitativer Basis (ausser in den sogenannt gut quantifizierbaren Feldern der Finanzrisiken usw.). Tools sind nur eingeschränkt geeignet. Risiken in den Geschäftsprozessen werden losgelöst vom Risikomanagement intuitiv, selten bewusst und gründlich behandelt. Die ERM-Tools bieten keine Geschäftsprozessunterstützung.

KulturelleVerknüpfung

Die Berichterstattungen werden heute auch bei grossen internationalen Konzernen von Hand angefertigt, also ohne oder nur teilweise unter Anwendung von ERM-Tools. Integrierte Berichte, bei denen zu verschiedenen Risikokategorien integriert berichtet wird – werden nur selten erstellt. Der Aufwand zur Berichterstattung an VR und GL ist demnach sehr hoch und die Anwendbarkeit für die Berichterstattung der ERM-Tools in der Praxis ist noch viel zu wenig ausgebaut. Die Tools sind heute meistens Datenbanken, die aber auch auf Basis von Excel, Share Point betrieben werden können. Die Simulationsmöglichkeiten bei ERM-Tools sind teilweise auch stark eingeschränkt, auch hier würden anwenderorientierte Konzepte Mehrwert schaffen.

4. Fehlende Risikokultur

Die vorherrschende Unternehmenskultur steht in Zusammenhang mit dem in der Unternehmung betriebenen Geschäft. Weiter ist die Kultur sehr stark abhängig mit der Unternehmenshistorie und auch von der durch die Geschäftsleitung vorgelebten Kultur.

Zudem wird die Risikokultur auch stark beeinflusst von Denkansätzen, wie sie in einzelnen Berufsgattungen eher vertreten sind. Der Risikomanager muss sich also auf diese Denkansätze einstellen, und die Resultate der Risikoanalyse sind daher unterschiedlich. Also muss eine möglichst heterogene Einheit einer Organisation eine Risikoanalyse vornehmen, um nicht in allzu einseitige Resultate hineinzusteuern.

Die Unternehmenskultur bietet oft eine zu geringe Basis, um das Risikomanagement kulturell verknüpfen zu können. Lokalisierte Fehler, Risiken durch Mitarbeiterinnen und Mitarbeiter können nicht selten frei diskutiert werden, sie werden dem Management nicht mitgeteilt. Whistle-Blowing-Ansätze funktionieren nur bedingt und können strafrecht-liche Konsequenzen haben.