In einer gemeinsamen Analyse der ETH Zürich und i-Risk wurden bemerkenswerte Fortschritte im Risikomanagement von Schweizer Organisationen festgestellt. In der im Jahr 2013 durchgeführten Studie wurden die Antworten von 126 Experten ausgewertet. Dabei wurden die Organisationen der Privatwirtschaft in vier Kategorien eingeteilt und jeweils separat zu den Teilnehmenden der öffentlichen Hand analysiert. Die hohe Rücklaufquote von 33 Prozent (insgesamt 381 Befragte) zeigt, dass Risikomanagement für viele Organisationen von großer Relevanz und Aktualität ist.
In Bezug auf die Existenz eines formalisierten Risikomanagementprozesses wurde generell eine große Verbreitung festgestellt. In der Privatwirtschaft besteht bei 90 Prozent der Studienteilnehmenden bereits ein formalisierter Risikomanagementprozess und bei weiteren acht Prozent ist die Einführung geplant. Bei der öffentlichen Hand hat Risikomanagement in den letzten Jahren an Bedeutung gewonnen und formalisierte Risikomanagementprozesse wurden bei mehr als der Hälfte der analysierten Organisationen vorgefunden. Weitere 26 Prozent der öffentlichen Institutionen planen die Einführung, obwohl in der Schweiz noch kaum gesetzliche Rahmenbedingungen für ein Risikomanagement im öffentlichen Sektor bestehen.
Abb. 01: Existenz eines formalisierten Risikomanagementprozesses
Überhaupt stellen die gesetzlichen Rahmenbedingungen bei der Einführung von Risikomanagement heute nur noch eine untergeordnete Rolle dar. Risikomanagement wird mit anderen Managementdisziplinen verknüpft und als Steuerungsinstrument verwendet. Die Ziele eines Risikomanagements sind daher in der Zwischenzeit andere: Man will damit vermehrt aktiv Risiken vorbeugen und eine interne Risikokultur fördern, in welcher Risiken kommuniziert und behandelt werden.
Je nach Organisationsgrösse variiert dabei die Verantwortlichkeit für das Risikomanagement. Bei kleineren Organisationen liegt die Verantwortung der Durchführung direkt beim Vorstandsvorsitzenden oder Geschäftsführer bzw. beim Finanzvorstand. Grössere Organisationen haben nicht selten die Funktion eines Risikomanagers bzw. Chief Risk Officers eingeführt. Dieser kann in der Regel eine neutralere und unabhängigere Position einnehmen. Die Kategorie der Organisationen mit 500 bis 999 Mitarbeitenden stellt einen Sonderfall dar. Der Nutzen von Risikomanagement wird bei diesen Organisationen tiefer eingeschätzt und in keiner anderen Kategorie verantworten primär Controller das Risikomanagement. Das Risikomanagement fällt somit zwischen oberste Ebene (CEO, CFO) und Spezialist (designierter Risikomanager) und erhält nicht genügend Aufmerksamkeit des Managements. Insbesondere hier ist Handlungsbedarf gefragt, um das Potenzial von Risikomanagement durch einen effizienten Prozess ausschöpfen zu können.
Abb. 02: Verteilung der operativen Verantwortlichkeit für das Risikomanagement
Je nach Reifegrad der Organisation sind verschiedene Personen in den Risikomanagementprozess involviert und es werden unterschiedliche Methoden angewendet. Je grösser eine Organisation ist und je weiter sie ihr Risikomanagement entwickelt hat, umso mehr setzt sie bei der Erfassung der Risiken auf Expersteninterviews. Workshops mit Brainstorming werden vor allem bei kleineren Organisationen angewendet, bei welchen sich Risikomanagement noch im Aufbau befindet. Unabhängig von der Grösse der Organisation und dem Reifegrad im Risikomanagement bildet die Geschäftsleitung die wichtigste Stütze bei der Risikoidentifikation. Die Studie zeigt deutlich auf, dass Risikomanagement Chefsache ist und aktuell auch so gelebt wird.
Die Erfassung der Eintrittswahrscheinlichkeit und des potenziellen finanziellen Schadens ist der am häufigsten verwendete Ansatz zur Bewertung von Risiken. Dieser Ansatz binomialverteilter Risiken wurde ursprünglich in der Versicherungswirtschaft entwickelt. Immer öfters wird auch der Reputationsschaden bewertet. Auch die Bewertung von Korrelationen zwischen den Risiken erfolgt immer häufiger in der Praxis. Die Betrachtung der Abhängigkeiten von Risiken hilft, die Risikoexposition besser zu verstehen und fundierte Investitionsentscheide für Gegenmassnahmen zu treffen. Es wird rasch erkennbar, welche Massnahmen gleichzeitig mehrere Risiken steuern, da Risiken in der Regel zusammenhängen.
Damit Risikomanagement seine Wirkung entfalten kann, muss der Prozess regelmässig durchgeführt werden. Eine jährliche Risikobewertung ist heute am stärksten vertreten und viele Organisationen wollen diese Frequenz gar auf alle sechs Monate erhöhen. Qualitative Methoden werden dabei am häufigsten verwendet, aber quantitative Modelle, wie etwa die Risikoaggregation basierend auf einer Monte-Carlo-Simulation, kommen immer mehr auf. Dabei wird jedoch – basierend auf den Ergebnissen der Studie – vor allem dann ein signifikanter Mehrwert erreicht, falls genügend historische und aktuelle Daten vorhanden sind. Dadurch limitiert sich der Einsatzbereich dieser Modelle bei der Mehrzahl der Organisationen heute noch auf einige wenige Risiken.
Die Studie zeigt, dass in Schweizer Organisationen dem Thema Risikomanagement grundsätzlich ein sehr hoher Nutzen beigemessen wird. Die Methoden haben sich in den letzten Jahren stark entwickelt und Risikomanagement wird heute als unentbehrliches Führungsinstrument angesehen. 
Download Studie
[Bildquelle: © JiSIGN - Fotolia.com]
