Der Ausgang aus dem Risikomanagement-Labyrinth

von Prof. Dr. Bruno Brühwiler, Technische Hochschule Deggendorf, Geschäftsführer Euro Risk AG, Zürich

Wie man im Risikomanagement Synergien schafft

1. Hintergrund

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses (Rahmenbedingungen, Risikoidentifikation, Analyse, Bewertung, Bewältigung usw.). Schwieriger wird der Konsens, wenn es darum geht, die inhaltlichen Anwendungen des Risikomanagements und ihr Zusammenwirken in der Organisation darzustellen. Dazu gehören ERM (Enterprise Risk Management), IKS (Internes Kontrollsystem), BCM (Business Continuity Management), CMS (Compliance Management), QMS (Qualitätsmanagement), SMS (Sicherheitsmanagement) usw. Nicht zuletzt durch voneinander unabhängige Gesetzgebung und Normung zu diesen Teilbereichen entstanden in den vergangenen Jahren Silos mit der jeweiligen Betrachtung nur der einzelnen Spezialdisziplin. Deshalb gibt es in diesen Themen kostspielige Überschneidungen, unnötige Doppelspurigkeiten und nicht selten Ressourcenverschwendung anstelle von Synergien und Vereinfachungen. Bei der Lösung dieser Silothematik kommen sich viele Organisationen wie in einem Labyrinth vor, wo man mühsam den Ausgang suchen muss – und viele haben ihn noch nicht gefunden.

Die zu einfache, aber kaum realisierbare Lösung würde darin bestehen, dass man das Risikomanagement als Oberbegriff nutzt, um alle anderen Teilbereiche darin zu integrieren. Manche IT-Lösungen versuchen dies mit mässigem Erfolg. Ein “Total-Risikomanagement” ist in der Realität wenig praktikabel, weil jeder Teilbereich eine andere Zielsetzung verfolgt, spezifische Inhalte behandelt, fachlich ungleiche Anforderungen stellt und einen anderen Geltungsbereich oder eine andere Methodik anwendet. Die Teilbereiche werden auch in Zukunft nicht zu einer Einheit verschmelzen. Vielmehr geht es darum, sinnvolle Vernetzungen zwischen den einzelnen Teilbereichen zu schaffen. 

Die nachfolgenden Ausführungen verfolgen zwei Ziele: Erstens Geltungsbereiche und Schnittstellen der Anwendungsgebiete von Risikomanagement klären; zweitens organisatorische Lösungen aufzeigen, um Doppelspurigkeiten zu vermeiden und Vereinfachungen herbeizuführen.

2. Risikomanagement und ähnliche Teilbereiche der Führung

Organisationen setzen Risikomanagement als Führungsinstrument ein. Dies tun nicht nur private Unternehmen, sondern zunehmend auch öffentliche Institutionen und Verwaltungen. Risikomanagement wird teilweise gesetzlich vorgeschrieben. Bei der Umsetzung gelangen Standards wie die internationale Norm “ISO 31000 Risk management – Principles and guidelines” oder das amerikanische “COSO Enterprise Risk Management Framework” zur Anwendung. Risiko wird als “Auswirkung von Unsicherheit auf Ziele, Tätigkeiten und Anforderungen” definiert. 

Die Risikomanagement-Standards sind auf alle Organisationen, alle Entscheidungssituationen und alle Unternehmensprozesse anwendbar. Oft spricht man von “Unternehmens-Risikomanagement” oder von “Enterprise Risk Management” (ERM).

Risikomanagement im weiteren Sinn umfasst viele Teilbereiche, die ähnlich, aber doch anders sind. Es handelt sich dabei um folgende: 

  • Im Compliancemanagement (CMS) geht es darum, dass sich die Organisation an Gesetze, an regulatorische Vorschriften, an relevante Normen und Richtlinien hält. Gemäss der Internationalen Norm ISO 19600 soll das Compliancemanagement “risikobasiert” gestaltet werden. Dies bedeutet, dass vor allem diejenigen Gesetze und Vorschriften von hoher Bedeutung sind, deren Nicht-Einhalten für die Organisation zum (negativen) Risiko wird.
  • Im Internen Kontrollsystem (IKS) sollen Kontrollen (4-Augenprinzip, Stichproben, Systemkontrollen, usw.) sicherstellen, dass die finanzrelevanten Prozesse korrekt ablaufen, was zu einer fehlerfreien finanziellen Berichterstattung führen soll. Zusätzlich stehen die sorgfältige Verwendung von Finanzmitteln, die Verhinderung von Betrug und Schadenfällen im Fokus. Interne Kontrollsysteme befassen sich auch mit der Einhaltung von gesetzlichen Vorschriften und internen Weisungen, wobei darauf zu achten ist, dass es keine Überschneidungen bzw. Doppelspurigkeiten mit dem Compliancemanagement gibt.
  • Im Notfall-, Krisen- und Kontinuitätsmanagement (das in der angelsächsischen Welt mit Business Continuity Management / BCM bezeichnet wird) geht es darum, dass die Organisation nach eingetretenen schweren Schadenfällen richtig reagiert und Massnahmen vorbereitet, um die unterbrochenen Betriebsfunktionen rasch wieder zurückzugewinnen. Um die neuralgischen Stellen in der Organisation zu finden, die besonders kritisch für die Gewährleistungen der operationellen Prozesse sind, wird z. B. in der ISO 22301 empfohlen, eine Business Impact Analyse durchzuführen, was eine direkte Verbindung zum Risikomanagement-Prozess schafft.
  • Im Bereich der Informationssicherheit beim Umgang mit IT-Systemen kommt es darauf an, dass die Verfügbarkeit, die Integrität und der Schutz der Daten gewährleistet ist. Die Internationalen Normen ISO 27001 und ISO 27005 stellen das Informationssicherheits-Managementsystem zur Verfügung und geben besondere Hinweise auf die Notwendigkeit von Risikoanalyse.
  • Im Sicherheitsmanagement treffen wir auf viele industriespezifische Einzelbereiche. Sie umfassen die Arbeitssicherheit (neue ISO 45001) und die Umweltsicherheit (ISO 14001) genauso wie die Produktsicherheit (z. B. ISO 14971) und die Patientensicherheit (EN 15224). In all diesen Gebieten sind Risikoanalysen vorgeschrieben.
  • Im Qualitätsmanagement wird gemäss der ISO 9001:2015 nicht mehr von “Vorbeugung” gesprochen. Stattdessen muss die Organisation die Behandlung von Risiken planen und dazu entsprechende Massnahmen ergreifen. Dem Grundsatz der Prozessorientierung des Qualitätsmanagement folgend drängt sich die Prozess-Risikoanalyse auf.
  • Im Management von Grossprojekten und in weiteren Gebieten treffen wir auf das Risikomanagement.

Die Bearbeitung dieser Teilbereiche in einer Organisation verlangt spezifische Fähigkeiten und Kompetenzen, die nicht beliebig austauschbar sind. Ein Spezialist im Qualitätsmanagement wird nur im Ausnahmefall über eine Kompetenz in der Informationssicherheit von IT-Systemen verfügen. Eine Fachperson für Compliancemanagement wird i.d.R. keine ausgeprägte Kompetenz im Notfall-, Krisen- und Kontinuitätsmanagement aufweisen. Ein Experte für Produktsicherheit wird wohl keine Verantwortung im Internen Kontrollsystem übernehmen können.

Dennoch ist es erforderlich, dass die vielen Spezialisten zusammenarbeiten, um Doppelspurigkeiten zu vermeiden und Synergien zu schaffen.

3. Zentrale Rolle des Unternehmens-Risikomanagements

Der Ausgang aus dem Risikomanagement-Labyrinth erfordert eine doppelte Systematik: Einerseits geht es darum, risikotechnische Gesichtspunkte zu berücksichtigen. Andererseits sind die die fachspezifischen Inhalte und Methoden einzelner Teilbereiche aufrecht zu erhalten.

Wenn man in einer komplexen Organisation das Unternehmens-Risikomanagement ins Zentrum stellt und dieses mit den risikobasierten Teilsystemen vernetzt, kann man in der Konzeption des Top-down- und Bottom-up-Ansatzes die Lösungen finden. Das Unternehmens-Risikomanagement ist der Top-down Ansatz, welcher das langfristige Überleben, die Existenzsicherung, den “Bestandserhalt” oder – in der Französischen Sprache sehr schön gesagt – die “Pérennité” (ewige Dauer/ Nachhaltigkeit) umfasst. Dieser Lösungsansatz ist im Deutschen Aktienrecht im KonTraG § 91 (2) AktG verankert (“den Fortbestand des Unternehmens gefährdende Entwicklungen”).

Die oberste Leitung, d.h. der Verwaltungsrat / Aufsichtsrat und die Geschäftsleitung müssen sich mit diesen bestandsgefährdenden Risiken regelmässig befassen. Dabei ist sicherzustellen, dass die Risiken richtig identifiziert, mit Ursachen und Auswirkungen analysiert, verständlich beschrieben, korrekt bewertet und regelmässig gesteuert und überwacht werden.

Die aufgezeigten Teilbereiche bilden die Elemente des Bottom-up-Ansatzes. Darin werden die Risiken vor allem auf der Prozessebene ermittelt, analysiert und gesteuert. In den Prozessen stecken neben vielen mittleren und kleineren Störpotentialen und Risikoursachen auch bestandsgefährdende Risiken. Letztere sind gleichermassen Teil des Unternehmens-Risikomanagements. 

Um von den Risiken aus Teilbereichen zu den Unternehmens-Risiken zu gelangen, ist es oft erforderlich, diese auf einer höheren Ebene zusammenzufassen bzw. zu aggregieren. Bei diesem Vorgang ist im Einzelfall zu klären, wer schliesslich der Risiko- oder der Prozesseigner ist. 

Bei der technischen Umsetzung der Aggregationsprozesse helfen einheitliche Risikokriterien. Sie können quantitativ und / oder qualitativ ausgestaltet sein. Eine weitere Voraussetzung besteht in einer nach gleichen Grundsätzen vorgenommenen Risikobewertung. Am besten eignet sich das Bewertungskriterium des “Credible Worst Case”, der sich nicht an einem mittleren Erwartungswert des Risikos, sondern am schlimmstmöglichen, aber dennoch glaubwürdigen Fall orientiert. Genau dieser kann bestandsgefährdend wirken.

4. Schnittstellen von Teilbereichen untereinander

Die Teilbereiche untereinander weisen oft Überschneidungen auf. Am augenfälligsten sind sie im Bereich des Sicherheitsmanagements und des Compliancemanagements. Weil es viele gesetzliche Bestimmungen im Bereich der Sicherheit und des Gesundheitsschutzes (z. B. Arbeitssicherheit, Produktsicherheit, Patientensicherheit) gibt, können sich mehrere Teilbereiche mit ihnen befassen. Im unerwünschten Extremfall entsteht eine weitgehende Doppelspurigkeit.

Die Lösung besteht in einer gänzlichen oder teilweisen Zusammenführung solcher Bereiche in eine definierte Verantwortung. Als Beispiel kann man die Patientensicherheit in einem Krankenhaus herausgreifen. Diese könnte man vollständig unter dem Bereich Compliancemanagement bearbeiten. Normalerweise ist dafür jedoch das Qualitäts- und Risikomanagement zuständig. Das Compliancemanagement im Krankenhaus beschränkt sich demzufolge beispielsweise auf die unternehmensrelevanten Aspekte wie Gesellschaftsrecht, Vermögensschutz, Steuern, Abgaben, öffentlich-rechtliche Pflichten und Korruptionsvermeidung.

Weiteres Beispiel: Oft ist nicht klar, wo die Abgrenzung zwischen dem Internen Kontrollsystem und dem Compliancemanagement liegt. In gängigen Standards, z.B. dem COSO Regelwerk, sind die zwei Aspekte “Reporting und Compliance” erwähnt. Jede Organisation muss nun klären, ob Interne Kontrolle die Compliance umfasst oder nur diejenigen Aspekte, die direkt in den finanzrelevanten Prozessen eine Rolle spielen, also z. B. Vermögensdelikte oder Kompetenzüberschreitungen.

5. Die Teilbereiche und das Tagesgeschäft

Es gibt eine weitere, für die Gestaltung des Risikomanagements wichtige Abgrenzung. Auch wenn ein Risiko nicht bestandsgefährdende Auswirkungen hat, sollte es eine bestimmte “Aussergewöhnlichkeit” aufweisen, um sich als Risiko vom Tagesgeschäft abzuheben. Im Tagesgeschäft gibt es viele Störungen, Unregelmässigkeiten und Abweichungen. Diese sollte man keinesfalls zum Thema des Risikomanagements oder eines risikobasierten Ansatzes machen, weil dadurch eine riesige Bürokratie entstehen würde, die keinen Nutzen stiftet. Hier muss das Instrument der kontinuierlichen Verbesserung dafür sorgen, dass die Leistungsprozesse laufend verbessert und optimiert werden.

Davon zu unterscheiden ist das Fehlermanagement. Fehler können durch eine “Verkettung unglücklicher Umstände” zu einem grossen Sicherheitsrisiko führen. Hier ist die Auseinandersetzung mit den Fehlern eine Methode des Risikomanagements, die oft mit dem Begriff “Critical Incidents Reporting” oder Fehlermeldesystem bezeichnet wird.

Hilfreich für die Zuordnung von möglichen Abweichungen zum Risikomanagement, zu einem risikobasierten Teilbereich oder zum Tagesgeschäft ist die Analyse von Vorkommnissen in Bezug auf Häufigkeit des Auftretens und ihre Auswirkungen, im nachfolgenden Beispiel mit der finanziellen Dimension abgebildet. 

In der Grafik wird sichtbar, dass die bestandsgefährdenden Unternehmensrisiken aus risikotechnischer Sicht erhebliche Auswirkungen in qualitativer und quantitativer Art auf die Unternehmensziele haben können, sie treten allerdings nur mit geringen Eintrittswahrscheinlichkeit auf (low frequency / high severity). Eine Organisation hat i.d.R. nur wenige bestandsgefährdende Risiken, in der Anzahl sind dies vielleicht etwa 10 Risiken. Zu ihnen gehören nicht nur strategische Risiken einer Organisation, sondern auch operative Risiken.

Demgegenüber haben Risiken aus den entsprechenden Teilbereichen i.d.R. eine hohe Frequenz, aber eine eher begrenzte Auswirkung auf die Unternehmensziele. Ausgenommen sind hier die bestandsgefährdenden Risiken. Die Behandlung der Risiken mit hoher Frequenz und begrenzter Auswirkung im Rahmen von Teilbereichen (z.B. im Internen Kontrollsystem) kann lohnend bzw. profitabel sein. 

6. Organisatorische Integration: Das Risikomanagement-System

Unternehmen mit einer bestimmten Grösse und Komplexität sind heute gezwungen, die einzelnen Teilbereich nach den vorliegenden gesetzlichen Vorschriften und betrieblichen Notwendigkeiten zu gestalten. Wenn Sie dies nicht mit zufällig aneinander gereihten Silos umsetzen wollen, müssen sie ein Konzept entwickeln, das den vorangehenden Grundsätzen und Regeln entspricht, um Doppelspurigkeiten und Ressourcenverschwendung zu vermeiden.

Instrument für die konkrete Gestaltung des Risikomanagements mit den Elementen “Unternehmens-Risikomanagement und “Teilbereiche des Risikomanagements” ist die Risikomanagement-Politik, man spricht oft von der Risikomanagement-Strategie oder dem Risikomanagement-Konzept. Die Gestaltung des Risikomanagement-Systems sollte verschriftlicht und zwischen den obersten Organen der Führung regelmässig besprochen und auf die Wirksamkeit / Nachhaltigkeit überprüft werden.

7. Zusammenfassung

Die Gestaltung eines synergetischen Risikomanagement-Systems ist eine anspruchsvolle Aufgabe. Sie verlangt nicht nur ein tiefes Verständnis der vorangehend aufgeführten Teilbereiche des Managements, sondern auch ein hohes Mass an interner Kommunikation und Koordination. Normenwerke bieten dabei leider kaum Unterstützung, da sie in einer separierten Architektur oder nur partiell integrierten Struktur vorliegen.

Organisationen, die es verstanden haben, das Risikomanagement-Labyrinth zielbasiert zu durchschreiten, werden nicht nur über eine zweckmässige “Assurance” verfügen, sondern insbesondere einen deutlichen Vorteil in effektiver und effizienter Nutzung ihrer Ressourcen sicherstellen.

Haben Sie Fragen?

Haben Sie Fragen zu unseren Produkten oder Dienstleistungen?
Unsere Experten sind Ihnen gerne behilflich und freuen sich auf Ihre Anfrage.

Kontakt+43 1 3670876 -0