KMU nutzen Risikomanagement noch ungenügend

Andreas Gitzi 01.03.2015

Eine gelebte Risikokultur ist in KMU kaum vorhanden. Wie erste Ergebnisse einer Umfrage der Hochschule Luzern zeigen, werden die Möglichkeiten eines integralen Risikomanagements noch zu wenig genutzt.

PDF Kaufen

Viele Verwaltungsräte und Geschäftsleitungsmitglieder von kleinen und mittleren Unternehmen befassen sich mit der Frage, ob ein Risikomanagement über die gesetzlichen Anforderungen hinaus einen Nutzen für das Unternehmen bringt und wie es effizient umgesetzt werden kann. Mit diesem Thema hat sich daher die Hochschule Luzern (HSLU) in der Abteilung Wirtschaft und dem Institut Risikomanagement im Rahmen einer KPI-Forschungsstudie vertieft auseinandergesetzt. Unter der Leitung von Prof. Jens Meissner wurden eine Arbeitsgruppe mit erfahrenen Risikomanagern gebildet und in diversen Workshops die wesentlichen Merkmale eines Risikomanagements spezifisch für KMU herausgearbeitet. Als erste daraus folgende Massnahmen schaltete die Gruppe eine Internetseite auf, die über die Homepage der HSLU für jedermann zugänglich ist. Neben Checklisten zu Risikothemen, wie Business Continuity und Risk Reporting, sind dort Compliance-Informationen sowie ein Link auf ein Benchmark-Tool zu finden. Mit diesem Tool können Unternehmen durch Beantwortung einfacher Fragen ihre aktuelle Situation bezüglich Risikomanagement evaluieren und gegebenenfalls Schwächen erkennen. Es erlaubt zudem einen anonymen Benchmark mit dem Durchschnitt aller bereits eingegebenen Selbstbewertungen. Das Resultat wird in fünf Maturitätsstufen angegeben – von Maturitätslevel 1 (praktisch nicht vorhanden) bis 5 (sehr gut und nicht mehr effizient verbesserbar).

Auswertung der Resultate

Mittlerweile haben rund 60 KMU eine Selbstbewertung durchgeführt. Obwohl damit noch keine Datenmenge von statistischer Relevanz vorhanden ist, können doch eine Reihe interessanter Erkenntnisse abgeleitet werden (siehe dazu Abbildung). Bei der Auswertung der Stu-dienresultate ist zu beachten, dass eine Eigenbewertung von Teilnehmern grundsätzlich nicht objektiv sein kann und die rund 60 Teilnehmer wahrscheinlich eher Risiko-aware sind, da sie an der Studie teilgenommen und die nötige Zeit dazu aufgewendet haben.

I. Politik, Strategie, Wichtigkeit des integralen Risikomanagements

Politik, Strategie und Wichtigkeit des integralen Risikomanagements wurden mit Maturitätslevel 3,0 als genügend bewertet. Solange aber Punkt II (Zuständig-keit, Kommunikation) nicht existent und Punkt VI (Krisenvorbereitung) ungenügend sind, muss diese Eigeneinschätzung als zu optimistisch gelten.

II. Zuständigkeiten und Kommunikation

Dieser Punkt ist mit einer Bewertung von nur 1,1 praktisch nicht existent. Wenn nun niemand für Risikomanagement zuständig ist, fühlt sich auch keiner für Risiken verantwortlich. Zudem führt eine fehlende oder ungenügende Kommunikation von Risiken zu falschen oder gar fehlenden Wahrnehmungen der Gefahren und somit auch zu ungenügenden Einschätzungen von deren möglichen Potenzialen. Das wird wiederum in den Ergebnissen der Punkte IV (Massnahmen /Umgang mit Risiken) und VI (Krisenvorbereitung) allzu deutlich, beide sind als nur knapp genügend resp. stark ungenügend beurteilt worden. Als Resultat führt das zur fehlenden Ressourcenbereitstellung. Doch genau das wäre das A und O eines funktionalen Risikomanagements. Es untergräbt zudem die langfristige Ausbildung einer einheitlichen Unternehmensrisikokultur.

III. Analyse

Risikoanalysen werden mit 3,6 als knapp gut bewertet. Das ist erklärbar, da Risikoanalysen häufig reglementarisch vorgeschrieben sind. Insbesonders technisch qualitative wie etwa die FMEA, aber auch vor allem in der Finanzbranche bekannte, quantitative Methoden sind in der Regel durch branchenübliche Standards und Normen formell vorgegeben. Sie werden zudem autonom und auf relativ tiefen Ebenen durchgeführt, etwa auf der Ebene des Entwicklungsteams, des Sicherheitsverantwortlichen oder des Kreditvergebenden selbst. Dem kritischen Leser stellen sich hier besonders zwei Fragen. Wieso wird in dieser Bewertung die generelle Aussagenqualität solcher individuell durchgeführter Risikoanalysen nicht infrage gestellt? Und wieso gibt es trotz den einzuhaltenden Vorschriften keine sehr gute Maturität?

IV. Massnahmen / Umgang mit Risiken

Massnahmenumsetzung / Umgang mit Risiken werden mit 2,8, das heisst als nur knapp genügend beurteilt. Dies hängt weitgehend mit Punkt V (Kontrolle, Reporting) zusammen, der nur als genügend eingeschätzt wurde. Wenn die Bericht-erstattung nämlich nur den Mindestanforderungen entspricht und vor allem auf externe Pflichtinformation ausgerichtet ist, wird im gebräuchlichen Reporting das Massnahmen-Follow-up ungenügend überwacht. Diese unzureichende Überwachung und die im Risikomanagement häufig fehlende, aber zu Unrecht verteufelte Kosten / Nutzen-Abschätzung sowie die, nach der Umsetzung, oft nicht erfolgte Überprüfung der erreichten Resultate hat die Konsequenz, dass eine Erfolgsbeurteilung nicht möglich ist und schliesslich zu einem reduzierten Interesse an der erfolgreichen Umsetzung von Massnahmen führt.

V. Kontrolle, Überwachung und Reporting

Kontrolle, Überwachung und Reporting wird mit einer 3,0 und somit als genügend bewertet. Dies obwohl das Reporting von anerkannten Vorschriften geregelt und von Externen überprüft wird. Trotz oder vielleicht sogar gerade wegen dieser Vorschriften wird zu oft ausschliesslich die minimale Erfüllung der gesetzlichen Vorgaben angestrebt. Als Konsequenz führt das aber zu den ungenügenden Bewertungen der Punkte IV und VI. Es stellt sich auch hier die berechtigte Frage, wieso trotz allem keine sehr gute Maturität erreicht wird.

VI. Krisenvorbereitung

Krisenvorbereitung mit 1,8 als ungenügend zu beurteilen, braucht Mut. Die Medien berichten immer wieder über nicht genügend gemanagte Krisen, welche ein Unternehmen in die Tiefe reissen oder aber zumindest mächtig durchschütteln können. Der Schlüssel hierzu liegt mit hoher Wahrscheinlichkeit in der ungenügenden resp. gar inexistenten Kommunikation (Punkt II). Unter anderem führt häufig das Fehlen von verständlich formulierten und relevanten Szenarien, welche bewussteres Wahrnehmen von Risiken fördern können, zu ungenügender Allokation von Ressourcen für Krisenvorbereitung und Resilience. Ein weiterer Punkt, der nicht ausser Acht gelassen werden sollte, ist die heute für KMU oft notwendige Konzentration auf das Wesentliche. Ist man bereits mit der Produktion und dem Erhalt der Lieferfähigkeit im Normalzustand an der Grenze seiner Kapazitäten, findet niemand Zeit, sich auf mögliche, aber eben zukünftige Krisen vorzubereiten. Jeder fokussiert sich auf die dringende, aktuelle Problemlösung im Tagesgeschäft.

VII. Lernen

Lernen aus dem Risikomanagement wird mit 3,6 als knapp gut bewertet. Auch hier stellen sich zwei Fragen. Erstens, was wurde gelernt, wenn Punkt IV (Massnahmen und Umgang mit Risiken) nur knapp genügend und Punkt VI (Krisenvorbereitung) ungenügend sind? Und zweitens, wie wird gelernt, wenn die Kommunikation (II) nahezu nicht existent ist und das Reporting (V) nur genügend ist. Insbesonders, wenn so die Risikowahrnehmung unzureichend und daraus resultierend das Risikoportfolio des Unternehmens unvollständig oder gar irreführend wird. Wie bei Punkt I (Wichtigkeit) scheint eine gewisse Skepsis angebracht, ob es sich hier nicht doch um eine zu optimistische Selbstüberschätzung handeln könnte.

Schlussfolgerung

Aus dieser relativ groben Auswertung und Interpretation der aktuellen Erhebungsdaten des Benchmarks für die Maturität des Risikomanagements von rund 60 KMU wird offensichtlich, dass sich in diesen Selbstbewertungen die «funktionstypische» Einschätzung der Topmanager resp. der für Risiken verantwortlichen Geschäftsleiter widerspiegelt. Deshalb kann zum heutigen Zeitpunkt davon ausge-gangen werden, dass die dargestellte Beurteilung eher besser ausfällt, als sie tatsächlich beim Durchschnitt der KMU ist. Zusammenfassend kommen die Autoren zur Einsicht, dass das hier abgegebene Bild nicht für eine effiziente Nutzung der Möglichkeiten eines integralen Risikomanagements in den KMU spricht.

Die Verantwortlichen sollten daraus ihre Lehren ziehen und den so oder so schon beträchtlichen Aufwand, den sie in ihr Risikomanagement investieren, optimal nutzen. Dazu braucht es in erster Linie ein klares Bekenntnis zu einer unternehmensweiten, gelebten Risikokultur. Zudem braucht es den Mut zur ehrlichen Analyse des aktuellen Status und Qualität ihres Risikomanagements. Dann ergeben sich auch weitreichende Nutzen, wie bessere Lieferfähigkeit, höhere Projekterfolgsquoten bis hin zu qualitativ besseren, strategischen Entscheiden.

Porträt

Andreas Gitzi (Autor)

Beratender Risikomanager, Teriskco

Andreas Th. Gitzi ist seit 25 Jahren in der Beratung von technischem Risikomanagement tätig und hat sich intensiv mit dem Thema der Kommunikation operationeller Risiken sowie dem Aufbau von Risiko-, BC-, Emergency- und Sustainability-Management-Systemen beschäftigt. Er ist Verfasser von mehreren Publikationen und Mitglied des Netzwerkes Risikomanagement Schweiz.

Kontakt

info(at)teriskco.ch www.teriskco.ch

Wissen

Literatur

Senn, P. (2013): Integrales Risikomanagement für KMU. Masterarbeit. Hochschule Luzern

Meissner, J. & Wegmann, P. (2014): Integrales Risikomanagement – Was ein Tool leisten kann. Management & Qualität. Mai. PwC-Studie

Link zur Hochschule Luzern, HSLU – IBR – Integrales Risikomanagement:

www.hslu.ch/de-ch/wirtschaft/weiterbildung/mas/ibr/risk-management/

Link zum Benchmark-Tool auf dem Server der Thomson & Reuters:

hosting.accelus.com/ors47_kti_prod/doLogin.process

Gitzi, A. (2009): Optimierung der internen Risikokommunikation. Masterarbeit. Hochschule Luzern