Viele Verwaltungsräte und Geschäftsleitungsmitglieder von kleinen und mittleren Unternehmen befassen sich mit der Frage, ob ein Risikomanagement über die gesetzlichen Anforderungen hinaus einen Nutzen für das Unternehmen bringt und wie es effizient umgesetzt werden kann. Mit diesem Thema hat sich daher die Hochschule Luzern (HSLU) in der Abteilung Wirtschaft und dem Institut Risikomanagement im Rahmen einer KPI-Forschungsstudie vertieft auseinandergesetzt. Unter der Leitung von Prof. Jens Meissner wurden eine Arbeitsgruppe mit erfahrenen Risikomanagern gebildet und in diversen Workshops die wesentlichen Merkmale eines Risikomanagements spezifisch für KMU herausgearbeitet. Als erste daraus folgende Massnahmen schaltete die Gruppe eine Internetseite auf, die über die Homepage der HSLU für jedermann zugänglich ist. Neben Checklisten zu Risikothemen, wie Business Continuity und Risk Reporting, sind dort Compliance-Informationen sowie ein Link auf ein Benchmark-Tool zu finden. Mit diesem Tool können Unternehmen durch Beantwortung einfacher Fragen ihre aktuelle Situation bezüglich Risikomanagement evaluieren und gegebenenfalls Schwächen erkennen. Es erlaubt zudem einen anonymen Benchmark mit dem Durchschnitt aller bereits eingegebenen Selbstbewertungen. Das Resultat wird in fünf Maturitätsstufen angegeben – von Maturitätslevel 1 (praktisch nicht vorhanden) bis 5 (sehr gut und nicht mehr effizient verbesserbar).
Auswertung der Resultate
Mittlerweile haben rund 60 KMU eine Selbstbewertung durchgeführt. Obwohl damit noch keine Datenmenge von statistischer Relevanz vorhanden ist, können doch eine Reihe interessanter Erkenntnisse abgeleitet werden (siehe dazu Abbildung). Bei der Auswertung der Stu-dienresultate ist zu beachten, dass eine Eigenbewertung von Teilnehmern grundsätzlich nicht objektiv sein kann und die rund 60 Teilnehmer wahrscheinlich eher Risiko-aware sind, da sie an der Studie teilgenommen und die nötige Zeit dazu aufgewendet haben.
I. Politik, Strategie, Wichtigkeit des integralen Risikomanagements
Politik, Strategie und Wichtigkeit des integralen Risikomanagements wurden mit Maturitätslevel 3,0 als genügend bewertet. Solange aber Punkt II (Zuständig-keit, Kommunikation) nicht existent und Punkt VI (Krisenvorbereitung) ungenügend sind, muss diese Eigeneinschätzung als zu optimistisch gelten.
II. Zuständigkeiten und Kommunikation
Dieser Punkt ist mit einer Bewertung von nur 1,1 praktisch nicht existent. Wenn nun niemand für Risikomanagement zuständig ist, fühlt sich auch keiner für Risiken verantwortlich. Zudem führt eine fehlende oder ungenügende Kommunikation von Risiken zu falschen oder gar fehlenden Wahrnehmungen der Gefahren und somit auch zu ungenügenden Einschätzungen von deren möglichen Potenzialen. Das wird wiederum in den Ergebnissen der Punkte IV (Massnahmen /Umgang mit Risiken) und VI (Krisenvorbereitung) allzu deutlich, beide sind als nur knapp genügend resp. stark ungenügend beurteilt worden. Als Resultat führt das zur fehlenden Ressourcenbereitstellung. Doch genau das wäre das A und O eines funktionalen Risikomanagements. Es untergräbt zudem die langfristige Ausbildung einer einheitlichen Unternehmensrisikokultur.
III. Analyse
Risikoanalysen werden mit 3,6 als knapp gut bewertet. Das ist erklärbar, da Risikoanalysen häufig reglementarisch vorgeschrieben sind. Insbesonders technisch qualitative wie etwa die FMEA, aber auch vor allem in der Finanzbranche bekannte, quantitative Methoden sind in der Regel durch branchenübliche Standards und Normen formell vorgegeben. Sie werden zudem autonom und auf relativ tiefen Ebenen durchgeführt, etwa auf der Ebene des Entwicklungsteams, des Sicherheitsverantwortlichen oder des Kreditvergebenden selbst. Dem kritischen Leser stellen sich hier besonders zwei Fragen. Wieso wird in dieser Bewertung die generelle Aussagenqualität solcher individuell durchgeführter Risikoanalysen nicht infrage gestellt? Und wieso gibt es trotz den einzuhaltenden Vorschriften keine sehr gute Maturität?