Mit integriertem Risikomanagement zu nachhaltigem Unternehmenserfolg

(bs/jm/jc)Zahlreiche kritische Ereignisse in im Grunde gut organisierten und international ausgerichteten Unternehmungen und Organisationen haben in letzter Zeit aufgezeigt, dass der Risikomanagement- Prozess nicht integriert und oft ungenügend strukturiert ist. Der integrierende Ansatz kommt heute auch im häufig angestrebten «Governance, Risk & Compliance»-Ansatz (GRC) vieler Unternehmungen zum Tragen. Mit diesem Ansatz wird versucht, die verwandten Gebiete allumfassend anzugehen.

Blick in die Praxis
Ein jüngstes und schockierendes Beispiel eines nicht integrierten Risikomanagement- Ansatzes lieferte BP/ Transocean. Am Anfang der Bohrloch- Katastrophe stand wahrscheinlich ein Risikomanagement, das nicht mit der nötigen Gründlichkeit und Tiefe in den Geschäftsprozessen von BP/Transocean integriert war. Das Risiko eines grössten anzunehmenden Unfalls auf einer Ölplattform, die in der Tiefsee Bohrungen vorantreibt, ist eigentlich auch einem Laien klar. Unklar ist, warum ein solches Risiko nicht durch getestete und funktionierende Notfallpläne verringert wurde.
Eine Möglichkeit könnte darin liegen, dass die Entwicklung technischer Risiken schneller voranschreitet, als die Risikobeurteilung innerhalb der Organisation sie erfassen kann. Technik und Tiefe von Tiefseebohrungen haben sich in den vergangenen drei Jahrzehnten rasant entwickelt – und dementsprechend auch die Risiken. Auf jeden Fall zeigt das Beispiel BP/Transocean, was nicht integriertes Risikomanagement bewirken kann. Nicht funktionierende Notfallpläne, schlechte Krisenkommunikation und öffentlich sichtbare Hilflosigkeit führten zur Vernichtung von Aktionärsvermögen in Milliardenhöhe und Gefährdung der gesamten Unternehmung.
Der Fall BP/Transocean unterscheidet sich jedoch von dem der Finanzkrise. Letztere wurde wesentlich durch intransparente Systemdynamiken in einer gesamten Branche genährt. Die Bohrloch-Katastrophe lag aber in der Verantwortung einer einzelnen Organisation – und somit auch das Fehlverhalten der Mitarbeiter, welche die offensichtlichen Warnzeichen dertechnischen Anlagen ignorierten oder die kommunizierten Warnsignale auf entsprechender Stufe nicht wahrnahmen respektive ignorierten.
Auch im Fall UBS hat ein nicht integriertes und modellgläubiges Risikomanagement zum Milliardenausfall geführt (14. Oktober 2010, NZZ Online): Der zu starke Glaube an statistische Modelle der Rating-Agenturen habe «den Blick auf fundamentale Risiken in den USA verstellt». Dazu kamen Fehler bei der Risikokontrolle und -koordination. So habe es in der Bank keine Übersicht über die Konzentration der Risiken gegeben.

Die Kernherausforderungen
Für das integrierte Risk Management zeigen diese neben vielen vergangenen Katastrophen wieder einmal auf, wo die Kernherausforderungen liegen: nämlich in der Zusammenführung von Fachthemen des Risk Management mit internationalen Standards, rechtlichen Aspekten, Corporate Governance mit den bestimmenden Faktoren der jeweiligen Unternehmenskultur und den Unternehmensprozessen.
Beim Studium bestehender Risikomanagement- Modelle sticht hervor, dass eine praxisorientierte Variante fehlt, welche die Umsetzung von Risikomanagement in einer Organisation erleichtert und den Anwendern eine integrierte Lösung anbietet. Die verfügbaren Standards sind teilweise sehrgenerisch und wenig praxisorientiert. Ein Risikomanagement-Modell, das die Bedürfnisse nach Integration, Wertsteigerung und Anwenderfreundlichkeit erfüllt, wurde in einer Arbeitsgruppe als «Luzerner Risk Management-Modell » erarbeitet.

Gesetzliche Anforderungen
Zur Einführung eines unternehmensweiten Risikomanagement-Systems in einer Organisation haben sich verschiedene Standards bewährt. Beispielsweise wurde im Jahr 2009 die ISO-Norm 31000 «Guidelines on Principles and Implementation of Risk Management » publiziert. Dieser und weitere internationale Standards stellen Grundsätze und allgemeine Anforderungen für die Umsetzung des Risikomanagements in Unternehmungen und Organisationen auf. Des Weiteren gilt die gesetzliche Anforderung des schweizerischen Obligationenrechts, Art. 663b Ziff. 12, dass ab 2008 in Organisationen (Unternehmungen sind in diesem Begriff eingeschlossen) eine Risikobeurteilung durchgeführt werden soll. Das Resultat dieser Risikobeurteilung soll im Anhang zur Jahresrechnung veröffentlicht werden.
Risikomanagement stellt sicher, dass die Organisation ihre Strategie umsetzen, ihre kritischen Risiken aktiv steuern und so den Unternehmenserfolg garantieren kann. Ein integriertesRisikomanagement muss sich an der Strategie und somit an Führung und Management sowie der spezifischen Kultur einer Organisation orientieren. Ohne Integration wird Risikomanagement keinen Mehrwert erzeugen. Zudem bringt ein nicht integrierter Ansatz die Gefahr mit sich, dass die Risiken nicht oder ungenügend im Management diskutiert und bewertet werden.
Auch hierzu gibt es genügend Beispiele, die nur durch einen nicht integrativen Ansatz zu erklären sind: die BP-Krise, regelmässige Waldbrandkatastrophen auf der ganzen Welt, Aschewolken aus Vulkanen usw. Bei diesen Beispielen wurde die Bandbreite der Risiken ungenügend erfasst, die Risiken wurden unzureichend bewertet und nicht mit entsprechenden Notfallplänen versehen. Letztlich verantwortlich ist das Top-Management, das es beim Eintreten eines Risikos schwer hat, situationsgerechte Massnahmenpläne umzusetzen. Unnützerweise müssen dann häufig «Köpfe rollen », um dem blitzschnell erwachten Medieninteresse und dem damit verbundenen Handlungsdruck begegnen zu können. Eine zweifelhafte Praxis in den Hochkonjunktur-Zeiten der kritischen Personalressourcen.
Mit dem nachfolgend vorgestellten Modell verfolgen die Entwickler das Ziel, einerseits angehenden Risikomanagern ein leitendes Hilfsmittel zurVerfügung zu stellen und andererseits die wichtigsten Elemente eines integrierten Risikomanagements zusammenzufassen. Das Modell versteht sich als weiterzuentwickelnde Momentaufnahme und hat sich in der Praxis weiter zu bewähren.

Von der Praxis für die Praxis
Vor der Einführung eines Risikomanagementansatzes muss sich die Organisation, und insbesondere deren Leitung, auf ein Risikomanagement- Konzept einigen. Es ist mit dem Konzept zu definieren, wie tief der Risikomanagement- Prozess die Organisation durchdringen soll und in welcher Form die eigentliche Risikoanalyse durchzuführen ist. Die Risikoakzeptanzschwelle und die vorhandene Unternehmenskultur müssen bekannt sein, um das praxisorientierte Risikokonzept gut an die Unternehmung anpassen zu können. Das «Luzerner Risk Management-Modell» soll diesen Ansatz weiterentwickeln und mit Inhalt ausstatten.
Ein formalisiertes, integriertes und unternehmensweites Risikomanagement bietet einen klaren Mehrwert, sofern es systematisch wahrgenommen und in der erforderlichen Durchdringung umgesetzt wird. Voraussetzung für ein effizientes Risikomanagement ist aber, dass die Organisation über einen formalisierten, konzeptionell klaren Risikoanalyseansatz verfügt. Zudem muss die Risikomanagement-Einheitstrategisch in die Managemententscheidungen eingebunden sein. Weiter sollten in der Organisation die Voraussetzungen für eine offene Risikokultur bestehen oder geschaffen werden.
Damit das Risikomanagement Wirkung entfalten kann, ist die Integration der Resultate der Risikobeurteilung in bestehende Führungs- und Kernprozesse sicherzustellen. Risikomanagement sollte nicht als Insellösung vorangetrieben werden, sondern mit den verwandten Managementfeldern (zum Beispiel IT-Security, Umweltmanagement, IKS usw.) und deren wichtigsten Prozessen integriert sein.
Einen Ansatz, der diese Integrationsbedürfnisse befriedigt, wird man in der vorhandenen Literatur und auch in der gelebten Wirtschaftspraxis kaum finden. Daher basiert das nachfolgend vorgestellte Modell auf einem tatsächlichen Bedarf in Wissenschaft und Praxis. Das Entwicklungsmotto lautete denn auch «Von der Praxis für die Praxis» und zeugt von einer gewinnbringenden Kooperation zwischen Akteuren aus Staats- und Wirtschaftsbetrieben, Hochschule und Beratung. Das Modell findet seinen Einsatz in der Orientierung des praktischen Risikomanagements sowie als strukturierender Leitfaden in der Weiterbildung. Es ist intuitiv verständlich, kann in der Praxis leicht umgesetzt werden und dient dem dauernden Risikomanagement- Betrieb als integrierende Grundlage.

Vision und Ziele des Modells
Die Vision des Risikomanagement- Modells ist die Integration des Risikomanagements in der Unternehmung bzw. Organisation zur Steigerung des nachhaltigen Unternehmungserfolgs. Dazu soll der Risk Manager das Unternehmen durch Einschätzungen über Risiken aufklären und die Organisation systematisch mit Ungewissheit versorgen, Massnahmen katalysieren und für deren Controlling und Reporting sorgen. Der Risk Manager ist somit gleichzeitig Bewahrer erprobter GeAnschäftskonzepte und Erzeuger neuer Chancenpotenziale. Das Modell verfolgt folgende Ziele:

• Schwerpunkte auf Verknüpfung von Enterprise Risk Management und kulturbewusster, strategischer Unternehmensführung mit starkem Bezug auf interkulturellem Management, strategischer Innovation und Legal Compliance legen;

• als beständiger Risikomanagement- Rahmen in Organisationen dienen;

• als Orientierungsrahmen in Weiterbildung und Lehre dienen;

• als umfassendes Modell gelten, das eine Risikoanalyse im Rahmen eines übergeordneten Risikomanagement- Konzepts durchzuführen erlaubt.

Elemente des Luzerner Modells
Das Modell unterscheidet die grundsätzlichen Ebenen Organisation und Profession und beschreibt zudem die wesentlichen Umfeldkräfte: Stakeholder, Regulation, Politik, Natur, Technik, Märkte, Reputation, Gesellschaft. Der Kern des Modells besteht aus den vier Themenbereichen Führung & Management, Unternehmenskultur, Standards & Instrumente sowie Schlüsselthemen im Risikomanagement. Im Zentrum steht der integrierende Risikomanagement- Zyklus aus den Phasen Identifikation, Analyse, Bewertung, Bewältigung, Reporting.

Organisation und Risikomanagement
Unter Risikomanagement wird vieles verstanden, unter anderem verwandte Gebiete wie Safety, Security, Business Continuity Management, Internes Kontrollsystem usw. Soll ein Modell hier nicht übermässig vereinfachen, so muss es zwei grundlegende Bezugsebenen unterscheiden. Erstens die Ebene der Organisation. Unternehmen, Behörden, Vereine usw. funktionieren sehr unterschiedlich: Ein bestimmter Management-Ansatz kann in einem Unternehmen sehr effektiv wirken, im anderen Unternehmen jedoch die produktiven Kräfte zersetzen. In Organisationen werden Management- Modelle unterschiedlich interpretiert; dies in einem Risikomanagement- Ansatz zu missachten, wäre fahrlässig.
Die zweite Ebene ist die der Risikomanagement- Profession. Wer sich in den Risikomanagement-Seminaren, -Tagungen und -Verbänden vernetzt, trifft auf andere Risikomanager (und Interessierte). In diesen Kreisen werden spezifische Themen und Trends diskutiert, durchdacht und auf ihre Anwendbarkeit in der eigenen Unternehmung hin überprüft. Die Profession ist der Kreis, in dem Expertise erzeugt wird. Ein Risikomanager wird auf einen regelmässigen Informationsaustausch achten, nämlich dass er in der Profession über seine Praxis berichtet und andersherum in der Organisation auf aktuelle Themen und Trends verweist und somit wichtige Impulse setzt. Daher muss auch diese Ebene in die Betrachtung einbezogen werden.

Umfeldkräfte
Jedes Unternehmen ist mit seinem Umfeld verbunden und kann der dort entstehenden Dynamik bedingt bis gar nicht ausweichen. Organisation und Umwelt bilden ein komplexes System mit entsprechenden Rückkopplungseffekten. Beispielsweise wird bei hohen Qualitätserwartungen durch die Kunden eine schnelle Rückkopplung erfolgen, wenn fehlerhafte Produkte ausgeliefert werden. Die Umfeldkräfte werden durch die Shareund Stakeholder, die erzielte Reputation auf dem Markt, dem Markt und der Branche selber, durch das regulatorische Umfeld, durch die Politik sowie technische und natürliche Veränderungen usw. ausgeübt. Je nach Branche sind die Umfeldkräfte unterschiedlich ausgeprägt, wie beispielsweise die Medien, NGO, regulatorische Bestimmungen usw.
Die Umfeldkräfte können Ursprung gewichtiger Risiken sein. Daher sind für die jeweilige Organisation die wichtigen Umfeldkräfte auf der Basis des Modells zu bestimmen und ins Risikomanagement einzubeziehen. Dieser Prozess ähnelt der bekannten Umweltanalyse des strategischen Managements.

Thematische Kernelemente
Für die erfolgreiche Integration des Risikomanagements in die Organisation stellt das Modell die Abhängigkeit zwischen vier Kernelementen dar, wobei die beiden Elemente Führung & Management sowie Unternehmenskultur eher der Ebene Organisation zugeordnet werden können. Diese beiden Kernelemente verweisen darauf, dass das Risikomanagement Aufgabe der strategischen Unternehmensführung ist und sich an unternehmenskulturelle Besonderheiten anpassen muss.
Die beiden Kernelemente Schlüsselthemen sowie Standards & Instrumente weisen eine grössere Nähe zur Ebene der Risikomanagement-Profession auf. In diesen Elementen geht es um die eingesetzten Instrumente zur Umsetzung des Risikomanagements sowie um aktuell diskutierte Themen mit entsprechenden Best Practices.

Integrierter Risikomanagement- Zyklus
Der im Zentrum des Modells zugrunde gelegte ISO-31000-Prozessablauf symbolisiert einen wiederkehrenden Zyklus. Dies gründet auf der Erkenntnis, dass der integrierte Risikomanagement- Prozess in sich nie abgeschlossen ist. Alle Kernelemente sowie die Umfeldkräfte müssen ständig neu einbezogen werden, um die relevanten Themen und Entwicklungen angemessen berücksichtigen zu können.

Schlussfolgerung
Das «Luzerner Risk Management- Modell» bietet eine gesamtheitliche und integrierte Sichtweise des Risikomanagements in Organisationen. Es stellt neben anderen Modellen eine Weiterentwicklung auf dem Risikomanagement- Umfeld dar. Das Modell hat den Anspruch, Risikomanagement in die Unternehmung zu integrieren und die dafür relevanten Faktoren und Themen darzustellen. Es unterstützt die involvierten Parteien (Unternehmensführung, Risikomanager, IKSManager, Sicherheitsexperten usw.) dabei, den Gesamtzusammenhang zu erfassen und nach einem ganzheitlichen Risikomanagement-Rahmenwerk zu handeln.
Die Entwicklung des Modells zeigt auch, dass Risikomanagement in Zukunft vermehrt in die Gesamtunternehmung integriert werden muss, um effizient Wirkung zu entfalten und so den Unternehmenserfolg nachhaltig abzusichern. Zudem wird deutlich, wie verwandte Themen wie IKS, EH&S usw. in den Gesamtkontext des Risikomanagements gestellt und integriert angegangen werden müssen. Insellösungen, wie sie heute in der Praxis vorherrschen, sind nicht nachhaltig und verhindern die Integration und den effektiven Betrieb des Risikomanagements für nachhaltigen Unternehmungserfolg.

Beat Schneiter
Jachen A. Cajos
Jens Meissner