Mit integriertem Risikomanagement zu nachhaltigem Unternehmenserfolg

Eine Vielzahl kritischer Ereignisse in im Grunde gut organisierten und international ausgerichteten Unternehmungen und Organisationen haben in letzter Zeit aufgezeigt, dass der Risikomanagement-Prozess nicht integriert oft ungenügend strukturiert ist. Der integrierende Ansatz kommt heute auch im häufig angestrebten «Governance, Risk & Compliance»-Ansatz (GRC) vieler Unternehmungen zum Tragen. Mit diesem Ansatz wird versucht, die verwandten Gebiete allumfassend anzugehen.

Blick in die Praxis

Ein jüngstes und schockierendes Beispiel eines nicht integrierten Risikomanagement-Ansatzes lieferte BP/Transocean. Am Anfang der Bohrloch-Katastrophe stand wahrscheinlich ein Risikomanagement, das nicht mit der nötigen Gründlichkeit und Tiefe in den Geschäftsprozessen der BP/Transocean integriert war. Das Risiko eines grössten anzunehmenden Unfalls auf einer Ölplattform, die in der Tiefsee Bohrungen vorantreibt, ist eigentlich auch einem Laien klar. Unklar ist, warum ein solches Risiko nicht durch getestete und funktionierende Notfallpläne verringert wurde. Eine Möglichkeit könnte darin liegen, dass die Entwicklung technischer Risiken schneller voranschreitet, als die Risikobeurteilung innerhalb der Organisation sie erfassen kann. Technik und Tiefe von Tiefseebohrungen haben sich in den vergangenen drei Jahrzehnten rasant entwickelt – und dementsprechend auch die Risiken. Auf jeden Fall zeigt das Beispiel BP/Transocean, was nicht integriertes Risikomanagement bewirken kann. Nicht funktionierende Notfallpläne, schlechte Krisenkommunikation und öffentlich sichtbare Hilflosigkeit führten zu Vernichtung von Aktionärsvermögen in Milliardenhöhe und Gefährdung der gesamten Unternehmung. Der Fall BP/Transocean unterscheidet sich jedoch zu dem der Finanzkrise. Letztere wurde wesentlich durch intransparente Systemdynamiken in einer gesamten Branche genährt. Die Bohrloch-Katastrophe lag aber in der Verantwortung einer einzelnen Organisation – und somit auch das Fehlverhalten der Mitarbeiter, welche die offensichtlichen Warnzeichen der technischen Anlagen ignorierten oder die kommunizierten Warnsignale auf entsprechender Stufe nicht wahrnahmen, respektive ignorierten.

Auch im Fall UBS hat ein nicht integriertes und und modellgläubiges Risikomanagement zum Milliardenausfall geführt (14. Oktober 2010, 11:49, NZZ Online): Der zu starke Glaube an statistische Modelle der Rating-Agenturen habe «den Blick auf fundamentale Risiken in den USA verstellt». Dazu kamen Fehler bei der Risikokontrolle und -koordination. So habe es in der Bank keine Übersicht über die Konzentration der Risiken gegeben.

Die Kernherausforderungen

Für das Integrierte Risk Management zeigen diese neben vielen vergangenen Katastrophen wieder einmal auf, wo die Kernherausforderungen liegen: Nämlich in der Zusammenführung von Risk-Management-Fachthemen mit internationalen Standards, rechtlichen Aspekten, Corporate Governance mit den bestimmenden Faktoren der jeweiligen Unternehmenskultur und den Unternehmensprozessen.

Hervor sticht beim Studium bestehender Risikomanagement-Modelle, dass eine praxisorientierte Variante fehlt, welche die Umsetzung von Risikomanagement in einer Organisation erleichtert und den Anwendern eine integrierte Lösung anbietet. Die verfügbaren Standards sind teilweise sehr generisch und wenig praxisorientiert. Ein Risikomanagement-Modell, das die Bedürfnisse nach Integration, Wertsteigerung und Anwenderfreundlichkeit erfüllt, wurde in einer Arbeitsgruppe als «Luzerner Risikomanagement-Modell» erarbeitet. Darauf wird später eingegangen.

Vision und Ziele des Modells

Die Vision des Risikomanagement-Modells ist die Integration des Risikomanagements in der Unternehmung bzw. Organisation zur Steigerung des nachhaltigen Unternehmungserfolgs. Dazu soll der Risk Manager das Unternehmen durch Einschätzungen über Risiken aufklären und die Organisation systematisch mit Ungewissheit versorgen, Massnahmen katalysieren und für deren Controlling und Reporting sorgen. Der Risk Manager ist somit gleichzeitig Bewahrer erprobter Geschäftskonzepte und Erzeuger neuer Chancenpotenziale. Das Modell verfolgt folgende Ziele:

• Schwerpunkte auf Verknüpfung von Enterprise Risk Management und kulturbewusster, strategischer Unternehmensführung mit starkem Bezug auf interkulturellem Management, strategischer Innovation und Legal Compliance legen;
• als beständiger Risikomanagement-Rahmen in Organisationen dienen;
• als Orientierungsrahmen in Weiterbildung und Lehre dienen;
• als umfassendes Modell gelten, das eine Risikoanalyse im Rahmen eines übergeordnetes Risikomanagement-Konzept durchzuführen erlaubt.

Elemente des Luzerner Modells

Das Modell unterscheidet die grundsätzlichen Ebenen Organisation und Profession und beschreibt zudem die wesentlichen Umfeldkräfte: Stakeholder, Regulation, Politik, Natur, Technik, Märkte, Reputation, Gesellschaft. Der Kern des Modells besteht aus den vier Themenbereichen Führung & Management, Unternehmenskultur, Standards & Instrumente sowie Schlüsselthemen im Risikomanagement. Im Zentrum steht der integrierende Risikomanagement-Zyklus aus den Phasen Identifikation, Analyse, Bewertung, Bewältigung, Reporting.

Organisation und Risikomanagement

Unter Risikomanagement wird vieles verstanden, unter anderem verwandte Gebiete wie Safety, Security, Business Continuity Management, Internes Kontrollsystem usw. Soll ein Modell hier nicht übermässig vereinfachen, so muss es zwei grundlegende Bezugsebenen unterscheiden: Erstens die Ebene der Organisation. Unternehmen, Behörden, Vereine usw. funktionieren sehr unterschiedlich: Ein bestimmter Management-Ansatz kann in einem Unternehmen sehr effektiv wirken, im anderen Unternehmen jedoch die produktiven Kräfte zersetzen. In Organisationen werden Management-Modelle unterschiedlich interpretiert; dies in einem Risikomanagement-Ansatz zu missachten, wäre fahrlässig.

Die zweite Ebene ist die der Risikomanagement-Profession. Wer sich in den Risikomanagement-Seminaren, -Tagungen und -Verbänden vernetzt, trifft auf andere Risikomanager (und Interessierte). In diesen Kreisen werden spezifische Themen und Trends diskutiert, durchdacht und auf ihre Anwendbarkeit in der eigenen Unternehmung hin überprüft. Die Profession ist der Kreis derer, in denen Expertise erzeugt wird. Ein Risikomanager wird auf einen regelmässigen Informationsaustausch achten, nämlich dass er in der Profession über seine Praxis berichtet und andersherum in der Organisation auf aktuelle Themen und Trends verweist und somit wichtige Impulse setzt. Daher muss auch diese Ebene in die Betrachtung einbezogen werden.

Umfeldkräfte

Jedes Unternehmen ist mit seinem Umfeld verbunden und kann der dort entstehenden Dynamik bedingt bis gar nicht ausweichen. Organisation und Umwelt bilden ein komplexes System mit entsprechenden Rückkopplungseffekten. Beispielsweise wird bei hohen Qualitätserwartungen durch die Kunden eine schnelle Rückkopplung erfolgen, wenn fehlerhafte Produkte ausgeliefert werden. Die Umfeldkräfte werden durch die Share- und Stakeholder, die erzielte Reputation auf dem Markt, dem Markt und der Branche selber, durch das regulatorische Umfeld, durch die Politik sowie technische und natürliche Veränderungen usw. ausgeübt. Je nach Branche sind die Umfeldkräfte unterschiedlich ausgeprägt wie beispielsweise die Medien, NGO, regulatorische Bestimmungen usw.

Die Umfeldkräfte können Ursprung gewichtiger Risiken sein. Daher sind für die jeweilige Organisation die wichtigen Umfeldkräfte auf der Basis des Modells zu bestimmen und ins Risikomanagement einzubeziehen. Dieser Prozess ähnelt der bekannten Umweltanalyse des strategischen Managements.

Thematische Kernelemente

Für die erfolgreiche Integration des Risikomana­gements in die Organisation stellt das Modell die Abhängigkeit zwischen vier Kernelementen dar, wobei die beiden Elemente Führung & Management sowie Unternehmenskultur eher der Ebene Organisation zugeordnet werden können. Diese beiden Kernelemente verweisen darauf, dass das Risikomanagement Aufgabe der strategischen Unternehmensführung ist und sich an unternehmenskulturelle Besonderheiten anpassen muss.

Die beiden Kernelemente Schlüsselthemen sowie Standards & Instrumente weisen eine grössere Nähe zur Ebene der Risikomanagement-Profession auf. In diesen Elementen geht es um die eingesetzten Instrumente zur Umsetzung des Risikomanagements sowie um aktuell diskutierte Themen mit entsprechenden Best Practices.

Integrierter Risikomanagementzyklus

Der im Zentrum des Modells zugrunde gelegte ISO-31 000-Prozessablauf symbolisiert einen wiederkehrenden Zyklus. Dies gründet auf der Erkenntnis, dass der integrierte Risikomanagement-Prozess in sich nie abgeschlossen ist. Alle Kernelemente sowie die Umfeldkräfte müssen ständig neu einbezogen werden, um die relevanten Themen und Entwicklungen angemessen berücksichtigen zu können.

Schlussfolgerung

Das Luzerner Risk Management-Modell bietet eine gesamtheitliche und integrierte Sichtweise des Risikomanagements in Organisationen. Es stellt neben anderen Modellen eine Weiterentwicklung auf dem Risikomanagement-Umfeld dar. Das Modell hat den Anspruch, Risikomanagement in die Unternehmung zu integrieren und die dafür relevanten Faktoren und Risikomanagement-Themen darzustellen. Es hilft den involvierten Parteien (Unternehmensführung, Risikomanagern, IKS-Managern, Sicherheitsexperten, usw.) den Gesamtzusammenhang zu erfassen und nach einem ganzheitlichen Risikomanagement-Rahmenwerk zu handeln.

Die Entwicklung des Modells zeigt auch, dass Risikomanagement in Zukunft vermehrt in die Gesamtunternehmung integriert werden muss, um effizient Wirkung zu entfalten und so den Unternehmenserfolg nachhaltig abzusichern. Zudem wird deutlich, wie verwandte Themen wie IKS, EH&S usw. in den Gesamtkontext des Risikomanagements gestellt und integriert angegangen werden müssen. Insellösungen, wie sie heute in der Praxis vorherrschen, sind nicht nachhaltig und verhindern die Integration und den effektiven Betrieb des Risikomanagements für nachhaltigen Unternehmungserfolg.