Forschung & Entwicklung

Risikomanagement (Teil 3 von 3)

Unmittelbarer Nutzen auch für KMU

Andreas Gitzi 01.05.2015
Oft wird Risikomanagement nur als Notwendigkeit betrachtet, gesetzlichen Anforderungen der reinen Finanzabsicherung zu genügen. Dieser Beitrag zeigt mögliche, unkonventionelle Lösungssätze auf, wie KMU Risikomanagement betreiben können, welches darüber hinaus auch wirklichen Nutzen bringt.
PDF Kaufen

Das Risikomanagement ist ein viel diskutiertes Thema. Die Verwaltungsräte und die Geschäftsleitungsmitglieder müssen sich zwingend damit auseinandersetzen. Doch in vielen Unternehmen wird Risikomanagement noch immer nur als notwendige, aber letztlich unnütze Erfüllung der gesetzlichen Anforderungen gesehen. Im zweiten Teil dieser dreiteiligen Serie («KMU-Magazin» 4 /15, Seite 88) wurde bereits den möglichen Gründen nachgegangen. In diesem Artikel werden nun Lösungsansätze erläutert, wie KMU von angemessenem, kosteneffizientem Risikomanagement profitieren können, welche über die rein gesetzlich geforderte Finanzsicherung hinausgeht. Mit diesen teils unkonventionellen Empfehlungen gehen wir bewusst in eine andere Richtung als die bisherigen Prozess- und Tool-dominierten Ansätze.

Die Zielsetzungen

Zuerst muss man sich die grundlegende Frage beantworten: Welche Erwartungen hat ein KMU an ein effektives und nützliches Risikomanagement? Wobei selbstverständlich vorausgesetzt wird, dass die gesetzlichen und branchenspezifischen Vorschriften erfüllt werden müssen. Die zentralen Zielsetzungen des integralen Risikomanagements sind:

  • das Sichern des langfristigen Bestehens und der positiven Entwicklung des Unternehmens,
  • das Verhindern von Down-Rating und Liquiditätsengpässen,
  • eine integrale und einheitliche Erfassung und Bewertung der wirklich relevanten Risiken für das gesamte Unternehmen und
  • das Erstellen von zeitnahen Outputs aller geforderten, unterschiedlichen Berichtformen für das bedürfnisgerechte Reporting zu den verschiedenen Risk-owner und Stakeholder.

Als zusätzliche Vorteile wären noch folgende Punkte zu nennen:

  • eine aktive Unterstützung für intelligente Entscheidungsfindung bieten, seien diese strategischer, finanzieller und operationeller Art und
  • die Förderung von erfolgsversprechenden Innovationen und Projekten.

Hier steht die wichtige Einsicht im Vordergrund, dass Finanzrisiken bei vielen Unternehmen oft nur die Auswirkungen von strategischen, operationellen und technischen Risiken sind. Oder anders gesagt, die Ursachen für die meisten finanziellen Probleme liegen fast immer in vorausgegangenen, fehlerhaften Entscheidungen im Bereich der strategischen Entwicklung und der operativen Umsetzung. Dabei liegt es uns fern, Finanzrisiken zu negieren, aber ein effektives Risikomanagement darf dort nicht aufhören. Um einen ausgeprägten Nutzen zu erhalten, muss das Risikomanagement die vielen anderen Aspekte auch einbeziehen und letztendlich müssen Erkenntnisse aus dem Risikomanagement bereits zu einem früheren Zeitpunkt einfliessen.

Die Anforderungen

Die zweite wichtige Frage, die man sich stellen muss, bevor man ein Risikomanagement einführt, ist die der notwendigen Anforderungen. Einem KMU stehen in der Regel nur beschränkte Ressourcen und ungenügende Fachkompetenz zur Verfügung. Zudem muss es sich auf ihr «daily business» fokussieren. Daraus leiten sich folgende Anforderungen an ein effizientes Risikomanagement ab.

Der Prozess muss:

  • der bestehenden Unternehmens- und Prozesskultur entsprechen,
  • den funktionsspezifisch unterschiedlichen Bedürfnissen gerecht werden,
  • weitgehend der bereits vorhandenen Dokumentensystematik angepasst werden können,
  • nur einen, übersichtlichen, übers Jahr fortlaufenden Prozess umfassen,
  • wahlweise mit internen oder externen Ressourcen handelbar sein,
  • auf jeder Ebene / in jeder Funktion zeiteffizient und
  • insgesamt kostengünstig sein.

Das Reporting soll:

  • übersichtlich, einfach und für die unterschiedlichen Empfänger verständlich sein,
  • klar visualisiert werden können,
  • bei Bedarf in «realtime» nachgeführt werden können,
  • den jeweils vorgegebenen Berichtsformen der übergeordneten, organisatorischen Einheit entsprechen und
  • natürlich den gesetzlich, behördlich geforderten Ansprüchen genügen.

Daraus resultiert die auffallendste Eigenschaft eines effektiven Risikomanagements: Es muss flexibel sein. Damit vermeidet man, dass jede Funktion im Unternehmen ihren Anforderungen und Bedürfnissen gehorchend ein eigenes, sehr spezialisiertes Risikomanagementsystem implementiert, welches oft auf einem nur in ihrem Bereich anerkannten Standard basiert. Man reduziert so die Problematik, dass mehrere nicht kongruente Insellösungen mit parallel laufenden Prozessen und unverhältnismässig gros-sem Aufwand existieren. Deshalb sind in der Praxis Funktionen und Abteilungen in das integrale Risikomanagement einzubinden, deren Anforderungen sich bezüglich genutzter Risikoanalysenmethode oder Berichtsform unterscheiden.

Integration in Prozesse

Ein weiterer Aspekt ist die mögliche Integration in bereits bestehende Prozesse. Es ist eine Tatsache, dass die Existenz und das Funktionieren eines Risikomanagements in einem Unternehmen durch die Revision bestätigt werden muss [Art. 961c OR], sofern es die Kriterien für eine ordentliche Revision erfüllt (börsenkotierte AG, > 40 Mio. CHF Umsatz, > 250 Mitarbeiter). Zurzeit verlangt aber keine Norm explizit eine Auditierung respektive Zertifizierung des Risikomanagementsystems. Es macht daher Sinn, den Risikomanagementprozess getrennt von zu auditierenden Systemen wie zum Beispiel GMP, ISO 9001 usw. zu führen.

Gemäss den gängigen Standards (ISO 31000, ONR 49000ff, COSO ERM) ist das Vorhandensein eines Managementsystems allerdings erforderlich. So sind Dokumentation, Ausbildung, «time»- und «event driven Reviews» sowie kontinuierliche Verbesserung auch im Risikomanagement gefordert. Die Empfehlung der Autoren ist daher, für Risikomana-gement-Aufgaben bestehende Systeme zu nutzen, aber dieses formell getrennt zu verwalten, quasi in einem anderen Gefäss.

Als Beispiel sei hier die effiziente Nutzung des IKS als Risk-Controlling auch für nicht finanzrelevante Prozesse erwähnt, insbesondere zur kontinuierlichen Überwachung von strategischen Projekten und Real-time-Alarmierung bei Prozessabweichungen. Dies deshalb, weil IKS bereits viele der dafür notwendigen Aufgaben erfüllt (siehe Box «Aufgaben von IKS»).

Aus diversen Gründen wird dem Risikomanagement die Anerkennung abgesprochen. Dies vor allem aufgrund folgender Voraussetzungen: Man hat bereits «zu viel» Zeit dafür investiert und lässt die Erfolgsmeldung deswegen weg. Ein fehlendes Feedback führt aber dazu, dass man nicht als Teil des Erfolgs wahrgenommen wird. Ein anderer Aspekt ist die fehlende Messbarkeit, die dem Risikomanagement unterstellt wird.

Einfluss auf wichtige KPI’s

Das liegt häufig in fehlenden Daten vor der Einführung des Systems begründet. Man muss sich deshalb rechtzeitig die Frage nach risikorelevanten KPI’s (Key Performance Indices) oder konkreten RPI’s (Risk Performance Indices) stellen. Auch für das Risikomanagement sollte man zu Beginn klare und relevante KPI’s, oder auch RPI’s, definieren. Wird ein Risikomanagement gut kommuniziert, integral umgesetzt und effizient gemanagt, so hat es bereits kurzfristig einen positiven Einfluss auf:

  • erhöhte Zufriedenheit der Risikoberichtsempfänger > besseres individuelles Verständnis,
  • bessere Identifikation mit den Risiken > erhöhtes Feedback, Umsetzung von Massnahmen,
  • einfachere Kontrolle, schnellere Reaktion > zeitnahe Meldung von Abweichungen,
  • reduzierter Aufwand für Risikomelder und Risk-owner > effizienterer Prozess

Ein erfolgreiches, integrales Risikomanagement zeigt mittelfristig auch Verbesserungen wie:

  • erhöhte Sicherheit – bessere Motivation > Liefersicherheit – Kundenzufriedenheit,
  • qualitativ bessere Entscheide > optimalere Chancenwahrnehmung,
  • erhöhtes Risikobewusstsein > Ausbildung einer unternehmenseigenen Risikokultur,
  • positive Reputation bei Stakeholder, Community und Aktionären.

Damit sollte die Erreichung der Ziele des Risikomanagements langfristig und mittels der daraus abgeleiteten und dadurch beeinflussten KPI’s messbar sein (siehe Box «Messbare Ziele»). Voraussetzung hierzu ist allerdings, dass die gewünschten KPI’s vor Einführung des Risikomanagements bestimmt werden und diese zwecks Tendenzerkennung bereits zuvor über einen längeren Zeitraum erfasst wurden.

Fazit

Ein effektives, integrales Risikomanagement hat also auch für ein kleines oder mittelgrosses Unternehmen einen massgeblichen Einfluss auf dessen Unternehmenserfolg. Insbesondere die mittelfristigen, beziehungsweise die langfristigen Resultate können damit positiv beeinflusst werden. Und damit kann auch die zentrale Frage nach einem unmittelbaren Nutzen eines Risikomanagements mit einem klaren «Ja» beantwortet werden.

Porträt

Andreas Gitzi (Autor)

Beratender Risikomanager, Teriskco

Andreas Th. Gitzi ist seit 25 Jahren in der Beratung von technischem Risikomanagement tätig und hat sich intensiv mit dem Thema der Kommunikation operationeller Risiken sowie dem Aufbau von Risiko-, BC-, Emergency- und Sustainability-Management-Systemen beschäftigt. Er ist Verfasser von mehreren Publikationen und Mitglied des Netzwerkes Risikomanagement Schweiz.

Kontakt

info(at)teriskco.ch www.teriskco.ch