Management von Risiken bei der Zühlke Group

Praxisbeispiel: Einführung Risikomanagement


Management von Risiken bei der Zühlke Group: Praxisbeispiel: Einführung Risikomanagement Comment

Ein Managementsystem, das in einer Unternehmensgruppe eingeführt werden soll, muss sowohl den Ansprüchen der Gruppenführung gewachsen sein, als auch die Bedürfnisse der Tochterfirmen berücksichtigen. Nur so kann die Akzeptanz in den einzelnen Gesellschaften und der Mehrwert für das gesamte Unternehmen gewährleistet werden.

Beim Risikomanagement gilt es somit beide Seiten der Organisationsstruktur zu beachten. Während die Führung eine aussagekräftige Gesamtübersicht über das Unternehmen und eine möglichst übersichtliche Konsolidierung der Risiken anstrebt, soll hingegen in den Tochterfirmen eine Risikokultur geschaffen und ein Hilfsmittel für einen effizienten Entscheidungsprozess erarbeitet werden.

Der folgende Artikel zeigt die Erfolgsfaktoren bei der Einführung eines unternehmensweiten Risikomanagements am Beispiel der Zühlke Group auf. Die Firma hat Gesellschaften in der Schweiz, Deutschland, Großbritannien, Österreich und Serbien.

Individuelle Risikoanalysen bei den Unternehmensmitgliedern

Der Risikomanagementprozess wurde bei den einzelnen Unternehmen von Zühlke in der Schweiz und in Deutschland (Zühlke Group, Zühlke Schweiz, Zühlke Deutschland) jeweils in gleicher Form parallel eingeführt. In jedem Unternehmen führte man zunächst Interviews mit Mitgliedern der Geschäftsleitung, um die wesentlichen Risiken zu identifizieren. Dabei wurde darauf geachtet, dass deckungsgleiche Risiken in den Risikokatalogen der verschiedenen Firmen einheitlich formuliert sind. In einem darauf folgenden Workshop bewerteten die Mitglieder der Geschäftsleitungen die verschiedenen Risikokataloge anhand der drei Parameter Schadensausmaß in CHF, Eintrittswahrscheinlichkeit in % und Reputationseinfluss (qualitativ auf einer Skala von 1-6).

Intelligente Gruppenentscheide auf Stufe der Geschäftsleitungen

Wählt man diesen Top-Down Ansatz beim Risikomanagement, wird die Risikoidentifikation und -bewertung auf Stufe Geschäftsleitung und allenfalls Verwaltungsrat vorgenommen. Dadurch erhält man eine Übersicht zu den wesentlichsten Risiken, die sich thematisch auf derselben strategischen Flughöhe bewegen. Die Experten aus dem operativen Geschäft unterhalb der Management-Stufe kommen in der Regel erst bei der Maßnahmendefinition oder Maßnahmenumsetzung ins Spiel. Bei der Risikobewertung im gemeinsamen Workshop gilt es die Theorie von Gruppenentscheiden zu berücksichtigen, damit die Resultate tatsächlich für Strategieentscheide genutzt werden können. Dabei müssen bestimmte Voraussetzungen geschaffen werden, damit eine heterogene Gruppe "intelligent" entscheiden kann. Es muss erstens auf die Diversität in der Gruppenzusammensetzung geachtet werden, zweitens muss die Unabhängigkeit der Teilnehmer gewährleistet sein und drittens sollte eine gleichberechtigte Aggregation der individuellen Meinungen stattfinden. Werden diese Grundsätze eingehalten, können mit geringem Ressourcenaufwand in sinnvoller Zeit zielführende Ergebnisse im Risikomanagement erreicht werden, ohne dass Kognitionsprobleme entstehen, wie sie beim Abschätzen von Risiken durch Einzelpersonen auftreten würden.

Risikopolitik als Basis für ein gemeinsames Verständnis

Der Prozess der Risikoidentifikation und der darauf folgenden Bewertung wurde in den Einzelunternehmen von Zühlke sowie mit der Unternehmensführung zunächst separat durchgeführt. Dabei war es wichtig identische Voraussetzungen zu schaffen, damit der Risikomanagementprozess später einheitlich weitergeführt werden kann und eine aussagekräftige Konsolidierung möglich ist. Vorgelagert wurde dazu eine übergeordnete Risikopolitik erarbeitet, die ein einheitliches Verständnis eines Risikos und der Bewertungsparameter gewährleistet. Zur Risikobewertung wurden zwar unterschiedliche Bewertungsskalen ausgewählt, die bezüglich Währung und Bewertungshöhe im Schadensausmaß zu den einzelnen Unternehmen passen. Doch die Skalensumme der Einzelunternehmen entspricht der Bewertungsskala der Unternehmensführung. Ausserdem erhielten alle Unternehmen ein einheitliches Risikomanagement-Tool, welches von ihnen selbständig gesteuert wird.

Abb. 01: Bei der Aggregation der Risiken werden die Bewertungsskalen im Schadensausmaß der Einzelgesellschaften addiert. Die Summe ergibt ähnliche Werte wie die Bewertungsskala der Unternehmensführung. Dadurch werden die aggregierten Werte mit denen der Group vergleichbar (*Die €-Werte der Zühlke Deutschland wurden mit einem Währungskurs EUR/CHF = 1.10 in CHF ungerechnet.).

Abb. 01: Bei der Aggregation der Risiken werden die Bewertungsskalen im Schadensausmaß der Einzelgesellschaften addiert. Die Summe ergibt ähnliche Werte wie die Bewertungsskala der Unternehmensführung. Dadurch werden die aggregierten Werte mit denen der Group vergleichbar (*Die €-Werte der Zühlke Deutschland wurden mit einem Währungskurs EUR/CHF = 1.10 in CHF ungerechnet.).

Konsolidierung auf Führungsebene zur Risikosteuerung

Die Konsolidierung der einzelnen Risikoanalysen der Zühlke Group erfolgte mehrstufig. Um die Ergebnisse vergleichen zu können, wurde zunächst schon während der Analysen sichergestellt, dass gleiche Risiken identisch benannt werden. Fast alle einzeln erfassten Risiken konnten so in einem direkten Vergleich gegenüber gestellt werden, um herauszufinden, wie sie von den unterschiedlichen Unternehmensmitgliedern bewertet wurden. Daraufhin fand eine qualitative Konsolidierung statt, bei welcher lediglich der Rang der Risiken verglichen wird, die bei allen Unternehmen vorkommen. Hierbei wurden erste Unterschiede in der Priorisierung von Risiken deutlich.

Risikoaggregation in den Ländergesellschaften zum Vergleich mit der Group

In einem weiteren Schritt erfolgte eine quantitative Konsolidierung. Hierzu wurden die Risiken der Ländergesellschaften aggregiert, ohne die Ergebnisse der Group zu berücksichtigen. Die aggregierten Werte wurden in einer Risikomatrix dargestellt, die auf ihrer x-Achse die Eintrittswahrscheinlichkeit der Risiken in Prozent darstellt und auf der y-Achse das geschätzte Schadensausmaß in CHF mit derselben Skalierung wie in der Risikomatrix der Group-Ergebnisse. Beide Matrizen wurden dann miteinander verglichen, um zu erfahren, ob die Unternehmensführung identische Risiken in der Gesamtbetrachtung gleich bewertet wie die Tochterfirmen in der Summe.

Analyse der Top-Risikothemen über alle Unternehmen

Schließlich unterzog die Zühlke Group die Top-Risiken über alle Unternehmen einer vertieften Analyse. Die Auswahl der Top-Risiken erfolgte einerseits anhand der Höhe des Erwartungswertes (Schadensausmaß in CHF x Eintrittswahrscheinlichkeit in %) sowie andererseits nach dem geschätzten Reputationseinfluss bei Eintritt des Risikos. Dadurch wurden die risikoreichsten Einzelthemen über die gesamte Group identifiziert, um den Handlungsbedarf bezüglich anschließender Maßnahmendefinition priorisieren zu können.

Nachhaltiges Risikomanagement in den Folgejahren über das gesamte Unternehmen

Die Zühlke Group wird das Risikomanagement auch in den kommenden Jahren jeweils in den einzelnen Gesellschaften durchführen und die Ergebnisse einmal jährlich unternehmensweit aggregieren. Zu beachten ist dabei, dass die verantwortlichen Personen der Unternehmen sich regelmäßig austauschen bezüglich übergeordneter Gegenmaßnahmen, um gleichen Risiken effizient entgegenwirken zu können.

Zusätzlich wird von der Group in einem nächsten Schritt ein schlankeres Vorgehen in weiteren Auslandgesellschaften angestrebt (Großbritannien, Österreich, Serbien). Hierzu soll, basierend auf dem erarbeiteten Risikokatalog der Unternehmensführung, jeweils eine vereinfachte Risikoanalyse durchgeführt werden. Zur Bewertung der daraus resultierenden Risiken werden die Skalen der Bewertungsparameter bezüglich des Schadensausmaßes an die entsprechenden Gesellschaften angepasst.

Die unternehmensweite Risikopolitik dient dabei als Stütze für die Durchführung in den Einzelgesellschaften. In ihr ist der Risikomanagementprozess beschrieben und Verantwortlichkeiten sind definiert. Die Dokumentation und Führung des Prozesses wird durch das individuell abgestimmte Risikomanagement-Tool unterstützt.

Fazit

Zusammenfassend gilt, dass ein Risikomanagementprozess, wenn er gut strukturiert und methodisch korrekt aufgesetzt wird, sowohl für die Leitung einer Unternehmensgruppe als auch für die Einzelgesellschaften einen Mehrwert generiert. Werden dabei die entscheidenden Faktoren berücksichtigt, wird eine gemeinsame Risikokultur geschaffen und der Prozess bleibt über die Zeit hinweg lebendig. Dazu müssen die Bedürfnisse der einzelnen Unternehmen und deren Verhältnis zur Unternehmensführung berücksichtigt werden, wie zum Beispiel durch die Anwendung von individuellen Skalen zur Risikobewertung. Die unternehmensweite Konsolidierung, die die Resultate der Einzelgesellschaften und der Führung in mehreren Schritten vergleicht, ist ein effektives Risikoradar, das bei Bedarf ein schnelles und gezieltes Einwirken ermöglicht.

Autoren:

Eric Montagne, Marta Thomik, Mario Köpfli (alle i-Risk),

Marco Pizzorusso, Markus Baumgartner (beide Zühlke Group).

[ Source of cover photo: © Robert Kneschke - Fotolia.com ]

Kommentare zu diesem Beitrag

M. Rohrbasser /27.07.2016 09:53
Hmm, bei einem solchen "Risikomanagement"-System stellt sich die Frage, ob hier tatsächlich ein Mehrwert generiert wird und ob hierbei überhaupt eine Chance besteht, eine Risikokultur zu entwickeln.

Das beschriebene System enthält einige massive handwerkliche Fehler:

1. Risiken werden mit Hilfe von Eintrittswahrscheinlichkeiten und Schadensausmaß bewertet, was nur bei binomialverteilten Risiken überhaupt funktioniert. Bei schwankungsorientierten Risiken (bspw. Rohstoffe oder Währungen) ist eine solche Bewertung schlichtweg Unsinnn; bei ereignisorientierten Risiken (bspw. IT-Ausfall oder Betriebsunterbrechung) auch kein sinnvoller Weg (besser wäre eine Bewertung mit Hilfe einer Compoundfunktion = Häufigkeitsverteilung sowie Szenariobewertung)

2. Die anschließende Multiplikation von Eintrittswahrscheinlichkeit und Schadensausmaß - um einen Erwartungswert zu berechnen - ist aus Sicht des Risikomanagements Unsinn. Im Risikomanagement interessiert man sich eben gerade NICHT für Erwartungswerte - sondern für Stressszenarien, als die Szenarien, wenn eben gerade nicht alles im "grünen Bereich" ist. Diese lassen sich aber nicht über Erwartungswerte ermitteln.

3. Die im Artikel beschriebene "Aggregation" ist keine Aggregation, sondern allerhöchstens eine (qualitative) Konsolidierung oder Addition. Methodischer Unsinn. Wird in der Praxis der Risikomanager auch als "Wegmultiplizieren von Risiken" bezeichnet.

Es soll wohl ein Witz sein, wenn im Artikel davon gesprochen wird, dass das Risikomanagement "methodisch korrekt aufgesetzt" ist. Nein wirklich nicht, dass beschriebene System hat mit einem methodisch fundierten Risikomanagement-System rein garnichts zu tun.

Ein exzellenter Text, der einige Unsinnigkeiten im Risikomanagement zusammenfassend darstellt:

Gleißner, Werner/Romeike, Frank (2011): Die größte anzunehmende Dummheit im Risikomanagement - Berechnung der Summe von Schadenserwartungswerten als Maß für den Gesamtrisikoumfang, in: Risk, Compliance & Audit (RC&A), 01/2011, S. 21-26.
Sebastian Böhm /27.07.2016 10:43
Was soll an dem RM-System besonders sein? Das ist Risikoerfassung in Reifegradstufe 1. Ich kann hier leider keinen Mehrwert für die Unternehmensführung erkennen. Wo ist die Verknüpfung zur Steuerung, zur Strategie zur Planung etc. Mit qualitativen Ansätzen kann das nicht funktionieren.
i-Risk GmbH /20.08.2016 12:12
Besten Dank für die kritischen Auseinandersetzungen mit unserem Artikel. Bei der von uns vorgestellten Methodik handelt es sich bewusst um einen qualitativen Ansatz als übergreifenden Prozess. Je nach Geschäftsfeld müssten auch quantitative Überlegungen zum Tragen kommen oder anschliessend auf der Stufe der Massnahmendefinition berücksichtigt werden.

Gerne sind wir bereit, uns vertieft mit Ihnen dazu auszutauschen und freuen uns über Ihre Kontaktaufnahme.

Freundliche Grüsse
i-Risk GmbH
Werner Gleißner / Frank Romeike /12.10.2016 18:39
Es ist zunächst immer erfreulich, wenn sich Unternehmen mit der Einführung eines Risikomanagementsystems beschäftigen, um besser mit den Chancen und Gefahren (Risiken) einer nicht sicher vorhersehbaren Zukunft umgehen zu können. Aus fachlicher Sicht muss man jedoch feststellen, dass – wie schon in anderen Kommentaren erwähnt – das für Zühlke entwickelte Risikomanagementsystem schwerwiegende methodische Schwächen aufweist. Ein Großteil des potenziellen Nutzens, den Risikomanagement erreichen kann, wird so nicht erreicht. Und es besteht sogar die Gefahr, dass aus fehlerhaften Risikoinformationen die Unternehmensführung falsche Entscheidungen ableitet. So ist z.B. klar, dass Risiken nicht nur durch Schadenshöhe und Eintrittswahrscheinlichkeit beschreibbar sind – insbesondere auch schon deshalb, weil oft die Auswirkungen eines Risikos selbst unsicher sind. Um bestandsbedrohende Entwicklungen früh erkennen zu können, ist eine methodisch ordentliche Risikoaggregation mittels stochastischer Simulation unumgänglich, weil eben die Kombinationseffekte von Risiken (und nicht Einzelrisiken) im Allgemeinen Krisen auslösen (z.B. durch die Verletzung von Covenants). Die erläuterten Verfahren zur Risikoanalyse und Risikoaggregation erfüllen minimal Anforderungen nicht. Es bleibt auch völlig unklar, wie Risikoinformationen bei der Entscheidungsvorbereitung (Abwägen erwarteter Erträge und Risiken) systematisch berücksichtigt werden. Wenn Risikoinformationen nicht in Entscheidungen einfließen, haben sie keinen Wert.

Fazit: Es ist sicherlich gut, sich mit Risiko und Risikomanagement zu beschäftigen. Grundlegende methodische Schwächen führen aber zu einer "Scheinsicherheit" und können mehr schaden als nutzen.


Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.