Forschung & Entwicklung

Risikomanagement (Teil 2 von 3)

Die grössten Hürden für effizientes Risikomanagement

Andreas Gitzi 01.04.2015

Risikomanagement ist aktuell ein Thema. Verwaltungsräte und Geschäftsleitungsmitglieder müssen sich zwingend damit auseinandersetzen. In vielen Firmen wird Risikomanagement nur als notwendige, aber letztlich unnütze Erfüllung der gesetzlichen Anforderungen gesehen. Im folgenden Artikel wird den möglichen Gründen nachgegangen.

PDF Kaufen

Spätestens seit auch am WEF in Davos Risiken diskutiert werden, die die Weltwirtschaft bedrohen, setzen sich auch die Manager und die Medien mehr oder weniger intensiv damit auseinander. Dabei handelt es sich um ein komplex verknüpftes Netzwerk von Gefahren und Bedrohungen wie Fachkräftemangel, demografische Veränderungen, Kapitalungleichgewicht, Finanzvolatilität, Energiewende, Energieknappheit, Wasserknappheit, Erderwärmung und Migration, um nur einige zu nennen. Es ist verständlich, dass Manager wissen wollen, inwiefern diese Tendenzen ihre unternehmerischen Aktivitäten beeinflussen.

Verbindliche Vorschriften

Das Gesetz schreibt vor (Art. 961 OR), dass für bestimmte juristische Formen (börsenkotierte AG) ab einer gewissen Unternehmensgrösse (40 Mio. CHF Umsatz />250 Mitarbeiter) ein Risikomanagement vorhanden sein muss. Die Existenz und das Funktionieren müssen neu im Lagebericht des Jahresberichtes bestätigt werden. Mehrere branchenspezifische Regelwerke werden als anerkannte Standards zur Rechnungslegung bezeichnet (IFRS for SMEs / Swiss GAAP FER / IPSAS), aber auch Empfehlungen für Corporate Governance geben vor, wie das Reporting zu erfolgen hat. Der Verwaltungsrat ist also unter Umständen auch gesetzlich verpflichtet, ein funktionierendes Risikomanagement zu implementieren und nachzuweisen.

Bauchgefühl statt Management

Die Umsetzung geschieht in der Regel durch Implementieren eines allgemein anerkannten Risikomanagement-Standards (COSO ERM, ISO 31 000, ONR 49 000ff) und den entsprechenden Prozessen. Diese Prozesse werden anschliessend einmal jährlich von einer Revisionsgesellschaft überprüft und die Existenz dieser Prozesse im Revisionsbericht bestätigt. Im Rahmen dieser Prozesse erhält das Risikokomitee des Verwaltungsrates und die Geschäftsleitung in der Regel ein- bis maximal viermal pro Jahr einen Bericht mit den grössten, unternehmensrelevanten Risiken.

Diverse weltweite und gross angelegte Studien der Big 4 unter den Wirtschaftsprüfern, unter anderem der Deloitte und PricewaterhouseCoopers (PwC), aber auch von Versicherungen zeigen, dass eine deutliche Mehrheit der befragten Manager Risikomanagement als wichtig bezeichnen. Zudem wollen fast alle zukünftig in die Optimierung des Risikomanagements investieren. Interessanterweise bezieht jedoch nur noch etwa ein Drittel der Manager konkrete Informationen des Risikomanagements in ihre Entscheide ein. Sie entscheiden nach wie vor aus dem Bauch heraus. Was sind denn nun die hauptsächlichen Probleme, die ein KMU davon abhalten, ein Risikomanagement optimal zu nutzen?

Probleme im Risikomanagement

Sicher stehen drei wesentliche Gründe im Zentrum:

Zu wenig Ressourcen («unsere Arbeits-kräfte sind anderswo wichtiger»)
Zu wenig Wissen («Risikomanagement bedarf Spezialisten»)
Zu wenig Nutzenerwartung («Es ändert sich nichts, wenn ich die Risiken kenne»)

Unserer Ansicht nach führen nun genau die üblicherweise angewendeten Ansätze zur Lösung dieser drei akuten Probleme zu vielen kleineren Problemen, die dann einer optimalen Lösung für ein KMU im Wege stehen. Auf die erkannten wichtigsten Problemfelder wird im Folgenden kurz eingegangen, sie umfassen (siehe dazu die Abbildung):

Zu viele Experten
Eigensinniges Silodenken
Zu viele Standards
Zu viele Prozesse
Zu viele Tools

Zu viele Experten

Auf dem Markt gibt es viele Spezialisten, jeder für sich ein Genie in seinem Fachgebiet. Aber Fachgebiete im Risikomanagement gibt es zuhauf (siehe dazu die Box: Beispiele von Experten). Da nun oft die finanziellen Ressourcen eines Unternehmens begrenzt sind und akute Problemstellungen zudem eine schnelle, fachkompetente Lösung erfordern, setzt man falsche Prioritäten.

Eigensinniges Silodenken

Innerhalb der Organisation gibt es viele Bereiche, Abteilungen und Funktionen. Jede für sich hat unterschiedliche, individuelle Ansprüche an ein Risikomanagement. Bei fehlender Koordination setzt sich der Stärkere durch (siehe dazu die Box: Beispiel von Funktionen).

Zu viele Standards

Es gibt viele Standards, welche nur in einzelnen Teilbereichen des Risikomanagements eine Anwendung finden und von den entsprechenden Experten eingesetzt werden. Zudem gibt es diverse Standards und Regelwerke, die in den organisatorischen Bereichen vorgeschrieben oder üblich sind und deshalb von den Verantwortlichen in den Unternehmen bevorzugt werden (siehe dazu die Box: Beispiele von Standards). Die Unkenntnis von derer Notwendigkeit oder von übergeordneten Regelwerken und alternativen Möglichkeiten führt zu einer Verzettelung der verfügbaren Ressourcen. Zudem fehlt vor deren Umsetzung allzu häufig eine Kosten- / Nutzenabschätzung.

Zu viele Prozesse

Getrieben durch die Bedürfnisse der einzelnen Funktionen und Bereiche sowie durch die Verwendung sehr spezialisierter Standards durch die zu Hilfe gerufenen Experten werden oft mehrere unabhängige, parallel laufende Prozesse des Risikomanagements eingeführt. Notabene für gleiche oder sehr ähnliche Abläufe. Dies führt zwangsläufig zu einem hohen Dokumentationsaufwand und bindet so Ressourcen. Ein zusätzlicher, negativer Aspekt ist, dass dadurch auch Innovationen massiv gehemmt werden können.

Zu viele Tools

Es gibt mittlerweile eine unübersichtlich grosse Zahl an Risikomanagementtools, von einfachen Checklisten bis zur spezifischen Software. Diese generieren wiederum diverse Berichtsformen. Die Experten empfehlen und implementieren oft pfannenfertige Methoden, die sie gut kennen und überall einsetzen.

Die Funktionen und Bereiche andererseits kennen in der Regel nur die in ihrem Spezialgebiet gängigen Tools, diese decken dann auch vor allem deren unmittelbaren Bedürfnisse ab. Dieser Umstand führt zu einer grossen Flut an Informationen und ist somit verantwortlich für eine stark begrenzte Übersicht. Die heute gängigen Risikomanagementwerkzeuge erfüllen zwar die jeweiligen Anforderungen für jenes Spezialgebiet vorzüglich, für das sie entwickelt wurden. Ob sie jedoch für ein effizientes Risikomanagement des Unternehmens optimal genutzt werden können, ist oftmals fraglich. Sie erfüllen leider nur allzu häufig die Kriterien der Effizienz, der Vielfältigkeit und auch der Kommunikation nicht in dem gewünschten Masse, wie es für eine kleine oder mittelgrosse Unternehmung erforderlich wäre.

Ungenutzte Vorteile

Diese vielen, sich überschneidenden und trotz allem voneinander abhängigen Problemfelder führen erfahrungsgemäss dazu, dass Risikomanagement zwar mit grossem Aufwand betrieben, aber als nicht nutzbringend bewertet wird. Damit werden die eigentlichen Vorteile nicht genutzt, welche sich aus einem angemessenen, effizienten und integralen Risikomanagement ergeben würden. Was aber durchaus im Sinne eines mittelständischen Unternehmens mit guter Corporate Governance sein sollte.

In der nächsten Ausgabe des «KMU-Magazin», Teil 3 dieser Serie, erläutern die Autoren Lösungsansätze, wie KMU von angemessenem, kosteneffizientem Risikomanagement profitieren können.

Porträt

Andreas Gitzi (Autor)

Beratender Risikomanager, Teriskco

Andreas Th. Gitzi ist seit 25 Jahren in der Beratung von technischem Risikomanagement tätig und hat sich intensiv mit dem Thema der Kommunikation operationeller Risiken sowie dem Aufbau von Risiko-, BC-, Emergency- und Sustainability-Management-Systemen beschäftigt. Er ist Verfasser von mehreren Publikationen und Mitglied des Netzwerkes Risikomanagement Schweiz.

Kontakt

info(at)teriskco.ch www.teriskco.ch

Wissen

Beispiele von Experten

Finanz-Risikomanagement:

Liquidität – Kredit / Bonität – Markt – Devisen – IKS – Controlling – Basel III – Solvay II – Rechnungslegung – Bericht – Revision

Ereignis- und Krisenmanagement:

Kommunikation in Krisen – Produkterückruf – Ereignisbewältigung – B&D-Versicherung

Business Continuity Management:

IT / EDV – Produktion – Supplier – Distribution – Entsorger

Compliance:

Datenschutz – Produktehaftpflicht – Maschinenzertifizierung – Umweltschutz – Arbeitnehmerschutz – REACH – Transport

Property Loss:

Brand- und Explosionsschutz – Maschinenbruch – Schutz vor Naturkatastrophen – Hochwasser – Erdbebensicherheit

Branchenspezifische Spezialisten:

Pharmaceutical – Medical Devises – Nahrungsmittel – Verpackung (unvollständige Aufzählung)

Beispiel von Funktionen

Funktionen mit unterschiedlichen Ansprüchen ans Risikomanagement

Governance – Strategie – Produktion – Logistik – R&D – Finanz – Compliance – Qualität – IT / EDV – Facility – Health – Safety – Environment (unvollständige Aufzählung)

Beispiele von Standards

Einige Standards und Vorschriften

Corporate Governance: z. B. Basel III – Solvency II – KonTraG – Sarbanes Oxley – IFRS 7, ERM – BC: z. B. ISO 31000 – ONR 49000ff – COSO ERM – ISO 22300ff – BS 25999 (unvollständige Aufzählung)

Literatur

World Economic Forum. Genf. WEF – Global Risks 2014, 9th Edition. www.weforum.org/issues/global-risks.

Ernst & Young Global Ltd. / UK. Business Pulse-Exploring dual perspectives on the top 10 risks and opportunities in 2013 and beyond.

Eidg. Revisionsaufsichtsbehörde RAB. Veröffentlichung 6. November 2013.

Deloitte Development LLC. Forbes Insight. Aftershock – Adjusting to the new world of risk management. Global Survey 2012.

PricewaterhouseCoopers (PwC). UK Fit for the future capitalising on global trends. 17th Annual Global CEO Survey 2014.

ACE European Group. London / UK. Emerging Risk Barometer. ACE European Briefing 2013.

Risknet GmbH – The Risk Management Network. Brannenburg / D. Chancen- / Risiko-Radar 2013. www.risknet.de

Gitzi, A. (2009): Optimierung der internen Risikokommunikation. Masterarbeit. Hochschule Luzern.