Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses (Rahmenbedingungen, Risikoidentifikation, Analyse, Bewertung, Bewältigung usw.). Schwieriger wird der Konsens, wenn es darum geht, die inhaltlichen Anwendungen des Risikomanagements und ihr Zusammenwirken in der Organisation zu verstehen. Dazu gehören neben dem ERM (Enterprise Risk Management) auch verschiedene Teilbereiche wie IKS (Internes Kontrollsystem), BCM (Business Continuity Management), CMS (Compliance Management), QMS (Qualitätsmanagement), SMS (Sicherheitsmanagement) usw. Nicht zuletzt durch voneinander unabhängige Gesetzgebung und Normung zu diesen Teilbereichen entstanden in den vergangenen Jahren Silos mit der jeweiligen Betrachtung nur der einzelnen Spezialdisziplin. Deshalb gibt es oft aufwendige Überschneidungen, unnötige Doppelspurigkeiten und nicht selten Ressourcenverschwendung anstelle von Synergien und Vereinfachungen. Bei der Lösung dieser Silothematik kommen sich viele Organisationen wie in einem Labyrinth vor, wo man mühsam den Ausgang suchen muss - und viele haben ihn noch nicht gefunden.

Eine zu einfache, aber kaum realisierbare Lösung würde darin bestehen, dass man das Risikomanagement als Oberbegriff nutzt, um alle anderen Teilbereiche darin zu integrieren. Einige IT-Lösungen versuchen dies mit mäßigem Erfolg. Ein "Total-Risikomanagement" ist in der Realität wenig praktikabel, weil jeder Teilbereich eine andere Zielsetzung verfolgt, spezifische Inhalte umfasst, fachlich ungleiche Anforderungen stellt, einen anderen Geltungsbereich aufweist oder eine andere Methodik anwendet. Die Teilbereiche werden auch in Zukunft nicht zu einer Einheit verschmelzen. Vielmehr geht es darum, die einzelnen Teilbereiche sinnvoll zu vernetzen.  

Die nachfolgenden Ausführungen verfolgen zwei Ziele: Erstens Geltungsbereiche und Schnittstellen der Anwendungsgebiete von Risikomanagement klären; zweitens konzeptionelle Lösungen aufzeigen, um Doppelspurigkeiten zu vermeiden und Vereinfachungen herbeizuführen.

Risikomanagement und ähnliche Teilbereiche der Führung

Organisationen setzen Risikomanagement als Führungsinstrument ein. Dies tun nicht nur private Unternehmen, sondern zunehmend auch öffentliche Institutionen und Verwaltungen. Risikomanagement wird teilweise gesetzlich vorgeschrieben. Bei der Umsetzung gelangen Standards wie die internationale Norm "ISO 31000 Risk management - Guidelines" oder das amerikanische "COSO Enterprise Risk Management Framework" zur Anwendung. Risiko wird als "Auswirkung von Unsicherheit auf Ziele, Tätigkeiten und Anforderungen" definiert.  

Die Risikomanagement-Standards sind auf alle Organisationen, alle Entscheidungssituationen und alle Unternehmensprozesse anwendbar. Oft spricht man von "Unternehmens-Risikomanagement" oder von "Enterprise Risk Management (ERM).

Risikomanagement im weiteren Sinn umfasst viele Teilbereiche, die ähnlich, aber doch anders sind. Es handelt sich dabei um folgende:

  • Im Compliancemanagement (CMS) geht es darum, dass sich die Organisation an Gesetze, an regulatorische Vorschriften, an relevante Normen und Richtlinien hält. Gemäß der internationalen Norm ISO 19600 soll das Compliancemanagement "risikobasiert" gestaltet werden. Dies bedeutet, dass vor allem diejenigen Gesetze und Vorschriften von hoher Bedeutung sind, deren Nicht-Einhalten für die Organisation zum (negativen) Risiko wird.
  • Im Internen Kontrollsystem (IKS) sollen Kontrollen (4-Augenprinzip, Stichproben, Systemkontrollen etc.) sicherstellen, dass die finanzrelevanten Prozesse korrekt ablaufen, was zu einer fehlerfreien finanziellen Berichterstattung führen soll. Zusätzlich stehen die sorgfältige Verwendung von Finanzmitteln, die Verhinderung von Betrug und Schadenfällen im Fokus. Interne Kontrollsysteme befassen sich auch mit der Einhaltung von gesetzlichen Vorschriften und internen Weisungen, wobei darauf zu achten ist, dass es keine Überschneidungen bzw. Doppelspurigkeiten mit dem Compliancemanagement gibt.
  • Im Notfall-, Krisen- und Kontinuitätsmanagement (das in der angelsächsischen Welt mit Business Continuity Management / BCM bezeichnet wird) geht es darum, dass die Organisation nach eingetretenen schweren Schadenfällen richtig reagiert und Maßnahmen vorbereitet, um die unterbrochenen Betriebsfunktionen rasch wieder zurückzugewinnen. Um die neuralgischen Stellen in der Organisation zu finden, die besonders kritisch für die Gewährleistungen der operationellen Prozesse sind, wird beispielsweise in der ISO 22301 empfohlen, eine Business Impact Analyse durchzuführen, was eine direkte Verbindung zum Risikomanagement-Prozess schafft.
  • Im Bereich der Informationssicherheit beim Umgang mit IT-Systemen kommt es darauf an, dass die Verfügbarkeit, die Integrität und der Schutz der Daten gewährleistet sind. Die internationalen Normen ISO 27001 und ISO 27005 stellen das Informationssicherheits-Managementsystem zur Verfügung und geben besondere Hinweise auf die Notwendigkeit von Risikoanalyse.
  • Im Sicherheitsmanagement treffen wir auf viele industriespezifische Einzelbereiche. Sie umfassen die Arbeitssicherheit (neue ISO 45001) und die Umweltsicherheit (ISO 14001) genauso wie die Produktsicherheit (beispielsweise ISO 14971) und die Patientensicherheit (EN 15224). In all diesen Gebieten sind Risikoanalysen vorgeschrieben.
  • Im Qualitätsmanagement wird gemäß der ISO 9001:2015 nicht mehr von "Vorbeugung" gesprochen. Stattdessen muss die Organisation die Behandlung von Risiken planen und dazu entsprechende Maßnahmen ergreifen. Dem Grundsatz der Prozessorientierung des Qualitätsmanagement folgend drängt sich die Prozess-Risikoanalyse auf.
  • Im Management von Großprojekten und in weiteren Gebieten treffen wir auf das Risikomanagement.

Die Bearbeitung dieser Teilbereiche in einer Organisation verlangt spezifische Fähigkeiten und Kompetenzen, die nicht beliebig austauschbar sind. Ein Spezialist im Qualitätsmanagement wird nur im Ausnahmefall über eine Kompetenz in der Informationssicherheit von IT-Systemen verfügen. Eine Fachperson für Compliancemanagement wird in der Regel keine ausgeprägte Kompetenz im Notfall-, Krisen- und Kontinuitätsmanagement aufweisen. Ein Experte für Produktsicherheit wird wohl keine Verantwortung im Internen Kontrollsystem übernehmen können.

Dennoch ist es erforderlich, dass die vielen Spezialisten zusammenarbeiten, um Doppelspurigkeiten zu vermeiden und Synergien zu schaffen.

Zentrale Rolle des Unternehmens-Risikomanagements

Das Ordnungs-System im Risikomanagement erfordert eine doppelte Systematik: Einerseits geht es darum, risikotechnischen Gesichtspunkten zu berücksichtigen. Andererseits sind die die fachspezifischen Inhalte und Methoden einzelner Teilbereiche aufrecht zu erhalten.  

Wenn man in einer komplexen Organisation das Unternehmens-Risikomanagement ins Zentrum stellt und dieses mit den risikobasierten Teilsystemen vernetzt, kann man in der Konzeption des Top-down- und Bottom-up-Ansatzes die Lösungen finden. Das Unternehmens-Risikomanagement ist der Top-down Ansatz, welcher das langfristige Überleben, die Existenzsicherung, den "Bestandserhalt" oder – in der Französischen Sprache sehr schön ausgedrückt – die "Pérennité" (ewige Dauer/ Nachhaltigkeit) umfasst. Dieser Lösungsansatz ist im Deutschen Aktienrecht im KonTraG § 91 (2) AktG verankert ("den Fortbestand des Unternehmens gefährdende Entwicklungen").

Die oberste Leitung, das heißt der Verwaltungsrat beziehungsweise Aufsichtsrat und die Geschäftsleitung müssen sich mit diesen bestandsgefährdenden Risiken regelmäßig befassen. Dabei ist sicherzustellen, dass die Risiken richtig identifiziert, mit Ursachen und Auswirkungen analysiert, verständlich beschrieben, korrekt bewertet und regelmäßig gesteuert und überwacht werden.

Abbildung 1: Risikomanagement und die risikobasierten Teilbereiche

Abbildung 1: Risikomanagement und die risikobasierten Teilbereiche

Die aufgezeigten Teilbereiche bilden die Elemente des Bottom-up-Ansatzes. Darin werden die Risiken vor allem auf der Prozessebene ermittelt, analysiert und gesteuert. In den Prozessen stecken neben vielen mittleren und kleineren Störpotenzialen und Risikoursachen auch bestandsgefährdende Risiken. Letztere sind gleichermaßen Teil des Unternehmens-Risikomanagements.  

Um von den Risiken aus Teilbereichen zu den Unternehmens-Risiken zu gelangen, ist es oft erforderlich, diese zu auf einer höheren Ebene zusammenzufassen beziehungsweise zu aggregieren. Bei diesem Vorgang ist im Einzelfall zu klären, wer schließlich der Risiko- oder der Prozesseigner ist.  

Bei der technischen Umsetzung der Aggregationsprozesse helfen einheitliche Risikokriterien. Sie können quantitativ und/oder qualitativ ausgestaltet sein.  Eine weitere Voraussetzung besteht in einer nach gleichen Grundsätzen vorgenommenen Risikobewertung. Am besten eignet sich das Bewertungskriterium des "Credible Worst Case", der sich nicht an einem mittleren Erwartungswert des Risikos, sondern am schlimmst möglichen, aber dennoch glaubwürdigen Fall orientiert. Genau dieser kann bestandsgefährdend wirken.

Schnittstellen von Teilbereichen untereinander

Die Teilbereiche untereinander weisen oft Überschneidungen auf. Am augenfälligsten sind sie im Bereich des Sicherheitsmanagements und des Compliancemanagements. Weil es viele gesetzliche Bestimmungen im Bereich der Sicherheit und des Gesundheitsschutzes (beispielsweise Arbeitssicherheit, Produktsicherheit, Patientensicherheit) gibt, können sich mehrere Teilbereiche mit ihnen befassen. Im unerwünschten Extremfall entsteht eine weitgehende Doppelspurigkeit.

Die Lösung besteht in einer gänzlichen oder teilweisen Zusammenführung solcher Bereiche in eine definierte Verantwortung.

Als Beispiel kann man die Patientensicherheit in einem Krankenhaus herausgreifen. Diese könnte man vollständig unter dem Bereich Compliancemanagement bearbeiten. In der Regel ist dafür jedoch das Qualitäts- und Risikomanagement zuständig. Das Compliancemanagement im Krankenhaus beschränkt sich demzufolge beispielsweise auf die unternehmensrelevanten Aspekte wie Gesellschaftsrecht, Vermögensschutz, Steuern, Abgaben, öffentlich-rechtliche Pflichten und Korruptionsvermeidung.

Weiteres Beispiel: Oft ist nicht klar, wo die Abgrenzung zwischen dem Internen Kontrollsystem und dem Compliancemanagement liegt. In gängigen Standards, beispielsweise dem COSO Regelwerk, sind die zwei Aspekte "Reporting und Compliance" erwähnt. Jede Organisation muss nun klären, ob Interne Kontrolle die Compliance umfasst oder nur diejenigen Aspekte, die direkt in den finanzrelevanten Prozessen eine Rolle spielen, also beispielsweise Vermögensdelikte oder Kompetenzüberschreitungen.

Die Teilbereiche und das Tagesgeschäft

Es gibt eine weitere, für die Gestaltung des Risikomanagements wichtige Abgrenzung. Auch wenn ein Risiko nicht bestandsgefährdende Auswirkungen hat, sollte es eine bestimmte "Außergewöhnlichkeit" aufweisen, um sich als Risiko vom Tagesgeschäft abzuheben. Im Tagesgeschäft gibt es viele Störungen, Unregelmäßigkeiten und Abweichungen. Diese sollte man keinesfalls zum Thema des Risikomanagements oder eines risikobasierten Ansatzes machen, weil dadurch eine riesige Bürokratie entstehen würde, die keinen Nutzen stiftet. Hier muss das Instrument der kontinuierlichen Verbesserung dafür sorgen, dass die Leistungsprozesse laufend verbessert und optimiert werden.

Davon zu unterscheiden ist das Fehlermanagement. Fehler können durch eine "Verkettung unglücklicher Umstände" zu einem großen Sicherheitsrisiko führen. Hier ist die Auseinandersetzung mit den Fehlern eine Methode des Risikomanagements, die oft mit dem Begriff "Critical Incidents Reporting" oder Fehlermeldesystem bezeichnet wird.

Hilfreich für die Zuordnung von möglichen Abweichungen zum Risikomanagement, zu einem risikobasierten Teilbereich oder zum Tagesgeschäft ist die Analyse von Vorkommnissen in Bezug auf Häufigkeit des Auftretens und ihre Auswirkungen, im nachfolgenden Beispiel mit der finanziellen Dimension abgebildet.

Abbildung 2: Risikobasierte Teilbereiche und Tagesgeschäft [Die vertikale Achse beschreibt die Häufigkeit: 1/100 = einmal in 100 Jahren, 365/1 = einmal pro Tag]

Abbildung 2: Risikobasierte Teilbereiche und Tagesgeschäft [Die vertikale Achse beschreibt die Häufigkeit: 1/100 = einmal in 100 Jahren, 365/1 = einmal pro Tag]

In Abbildung 2 wird sichtbar, dass die bestandsgefährdenden Unternehmensrisiken aus risikotechnischer Sicht erhebliche Auswirkungen in qualitativer und quantitativer Art auf die Unternehmensziele haben können, sie treten allerdings nur mit geringen Eintrittswahrscheinlichkeit auf (low frequency / high severity). Eine Organisation hat in der Regel nur wenige bestandsgefährdende Risiken, in der Anzahl sind dies vielleicht etwa zehn Risiken. Zu ihnen gehören nicht nur strategische Risiken einer Organisation, sondern auch operative Risiken.

Demgegenüber haben Risiken aus den entsprechenden Teilbereichen in der Regel eine hohe Frequenz, aber eine eher begrenzte Auswirkung auf die Unternehmensziele. Ausgenommen sind hier die bestandsgefährdenden Risiken. Die Behandlung der Risiken mit hoher Frequenz und begrenzter Auswirkung im Rahmen von Teilbereichen (beispielsweise im Internen Kontrollsystem) kann lohnend bzw. profitabel sein.

Organisatorische Integration: Das Risikomanagement-System

Unternehmen mit einer bestimmten Größe und Komplexität sind heute gezwungen, die einzelnen Teilbereich nach den vorliegenden gesetzlichen Vorschriften und betrieblichen Notwendigkeiten zu gestalten. Wenn Sie dies nicht mit zufällig aneinander gereihten Silos umsetzen wollen, müssen sie ein Konzept entwickeln, das den vorangehenden Grundsätzen und Regeln entspricht, um Doppelspurigkeiten und Ressourcenverschwendung zu vermeiden.

Instrument für die konkrete Gestaltung des Risikomanagements mit den Elementen "Unternehmens-Risikomanagement und "Teilbereiche des Risikomanagements" ist die Risikomanagement-Politik, man spricht oft von der Risikomanagement-Strategie oder dem Risikomanagement-Konzept. Die Gestaltung des Risikomanagement-Systems sollte verschriftlicht und zwischen den obersten Organen der Führung regelmäßig besprochen und auf die Wirksamkeit und Nachhaltigkeit überprüft werden.  

Zusammenfassung

Die Gestaltung eines synergetischen Risikomanagement-Systems ist eine anspruchsvolle Aufgabe. Sie verlangt nicht nur ein tiefes Verständnis der vorangehend aufgeführten Teilbereiche des Managements, sondern auch ein hohes Maß an interner Kommunikation und Koordination. Normenwerke bieten dabei leider kaum Unterstützung, da sie in einer separierten Architektur oder nur partiell integrierten Struktur vorliegen.

Organisationen, die es verstanden haben, das Risikomanagement verständlich zu strukturieren, werden nicht nur über eine zweckmäßige "Governance" verfügen, sondern insbesondere einen deutlichen Vorteil in effektiver und effizienter Nutzung ihrer Ressourcen sicherstellen.

Autor:

Prof. Dr. Bruno Brühwiler, Technische Hochschule Deggendorf, Geschäftsführer Euro Risk AG, Zürich

Prof. Dr. Bruno Brühwiler, Technische Hochschule Deggendorf, Geschäftsführer Euro Risk AG, Zürich

[ Bildquelle: © EtiAmmos - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...

Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses...

Interview

Wie wir Krisen erleben und bewältigen

Krisen sind das beste "Resilienztraining"

Redaktion RiskNET23.07.2017, 06:30

Ingenieure sprechen von einem resilienten System, wenn bei einem Teilausfall nicht alle technischen Systeme vollständig versagen. Ein Ökosystem gilt dann als resilient, wenn es nach einer Störung zum...

Interview

Länderrisiken und geopolitische Risiken

Nicht Vollkasko, sondern steuerndes Risikomanagement

Redaktion RiskNET13.07.2017, 08:45

Länderrisiken und geopolitische Risiken sind in der Finanz- und Versicherungsbranche mittlerweile ein wichtiger Bestandteil von Analysen. Wie generiert, verarbeitet und analysiert Coface diese Daten?...