BIC Process Design
Understand & Transform
Entfesseln Sie operative Exzellenz mit der intuitivsten KI-gestützten BPM Software.
It seems that you come from a German speaking country. Here you can change the language
Englishvon Prof. Dr. Bruno Brühwiler, Technische Hochschule Deggendorf, Geschäftsführer Euro Risk AG, Zürich
Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses (Rahmenbedingungen, Risikoidentifikation, Analyse, Bewertung, Bewältigung usw.). Schwieriger wird der Konsens, wenn es darum geht, die inhaltlichen Anwendungen des Risikomanagements und ihr Zusammenwirken in der Organisation darzustellen. Dazu gehören ERM (Enterprise Risk Management), IKS (Internes Kontrollsystem), BCM (Business Continuity Management), CMS (Compliance Management), QMS (Qualitätsmanagement), SMS (Sicherheitsmanagement) usw. Nicht zuletzt durch voneinander unabhängige Gesetzgebung und Normung zu diesen Teilbereichen entstanden in den vergangenen Jahren Silos mit der jeweiligen Betrachtung nur der einzelnen Spezialdisziplin. Deshalb gibt es in diesen Themen kostspielige Überschneidungen, unnötige Doppelspurigkeiten und nicht selten Ressourcenverschwendung anstelle von Synergien und Vereinfachungen. Bei der Lösung dieser Silothematik kommen sich viele Organisationen wie in einem Labyrinth vor, wo man mühsam den Ausgang suchen muss – und viele haben ihn noch nicht gefunden.
Die zu einfache, aber kaum realisierbare Lösung würde darin bestehen, dass man das Risikomanagement als Oberbegriff nutzt, um alle anderen Teilbereiche darin zu integrieren. Manche IT-Lösungen versuchen dies mit mässigem Erfolg. Ein “Total-Risikomanagement” ist in der Realität wenig praktikabel, weil jeder Teilbereich eine andere Zielsetzung verfolgt, spezifische Inhalte behandelt, fachlich ungleiche Anforderungen stellt und einen anderen Geltungsbereich oder eine andere Methodik anwendet. Die Teilbereiche werden auch in Zukunft nicht zu einer Einheit verschmelzen. Vielmehr geht es darum, sinnvolle Vernetzungen zwischen den einzelnen Teilbereichen zu schaffen.
Die nachfolgenden Ausführungen verfolgen zwei Ziele: Erstens Geltungsbereiche und Schnittstellen der Anwendungsgebiete von Risikomanagement klären; zweitens organisatorische Lösungen aufzeigen, um Doppelspurigkeiten zu vermeiden und Vereinfachungen herbeizuführen.
Organisationen setzen Risikomanagement als Führungsinstrument ein. Dies tun nicht nur private Unternehmen, sondern zunehmend auch öffentliche Institutionen und Verwaltungen. Risikomanagement wird teilweise gesetzlich vorgeschrieben. Bei der Umsetzung gelangen Standards wie die internationale Norm “ISO 31000 Risk management – Principles and guidelines” oder das amerikanische “COSO Enterprise Risk Management Framework” zur Anwendung. Risiko wird als “Auswirkung von Unsicherheit auf Ziele, Tätigkeiten und Anforderungen” definiert.
Die Risikomanagement-Standards sind auf alle Organisationen, alle Entscheidungssituationen und alle Unternehmensprozesse anwendbar. Oft spricht man von “Unternehmens-Risikomanagement” oder von “Enterprise Risk Management” (ERM).
Risikomanagement im weiteren Sinn umfasst viele Teilbereiche, die ähnlich, aber doch anders sind. Es handelt sich dabei um folgende:
Die Bearbeitung dieser Teilbereiche in einer Organisation verlangt spezifische Fähigkeiten und Kompetenzen, die nicht beliebig austauschbar sind. Ein Spezialist im Qualitätsmanagement wird nur im Ausnahmefall über eine Kompetenz in der Informationssicherheit von IT-Systemen verfügen. Eine Fachperson für Compliancemanagement wird i.d.R. keine ausgeprägte Kompetenz im Notfall-, Krisen- und Kontinuitätsmanagement aufweisen. Ein Experte für Produktsicherheit wird wohl keine Verantwortung im Internen Kontrollsystem übernehmen können.
Dennoch ist es erforderlich, dass die vielen Spezialisten zusammenarbeiten, um Doppelspurigkeiten zu vermeiden und Synergien zu schaffen.
Der Ausgang aus dem Risikomanagement-Labyrinth erfordert eine doppelte Systematik: Einerseits geht es darum, risikotechnische Gesichtspunkte zu berücksichtigen. Andererseits sind die die fachspezifischen Inhalte und Methoden einzelner Teilbereiche aufrecht zu erhalten.
Wenn man in einer komplexen Organisation das Unternehmens-Risikomanagement ins Zentrum stellt und dieses mit den risikobasierten Teilsystemen vernetzt, kann man in der Konzeption des Top-down- und Bottom-up-Ansatzes die Lösungen finden. Das Unternehmens-Risikomanagement ist der Top-down Ansatz, welcher das langfristige Überleben, die Existenzsicherung, den “Bestandserhalt” oder – in der Französischen Sprache sehr schön gesagt – die “Pérennité” (ewige Dauer/ Nachhaltigkeit) umfasst. Dieser Lösungsansatz ist im Deutschen Aktienrecht im KonTraG § 91 (2) AktG verankert (“den Fortbestand des Unternehmens gefährdende Entwicklungen”).
Die oberste Leitung, d.h. der Verwaltungsrat / Aufsichtsrat und die Geschäftsleitung müssen sich mit diesen bestandsgefährdenden Risiken regelmässig befassen. Dabei ist sicherzustellen, dass die Risiken richtig identifiziert, mit Ursachen und Auswirkungen analysiert, verständlich beschrieben, korrekt bewertet und regelmässig gesteuert und überwacht werden.
Die aufgezeigten Teilbereiche bilden die Elemente des Bottom-up-Ansatzes. Darin werden die Risiken vor allem auf der Prozessebene ermittelt, analysiert und gesteuert. In den Prozessen stecken neben vielen mittleren und kleineren Störpotentialen und Risikoursachen auch bestandsgefährdende Risiken. Letztere sind gleichermassen Teil des Unternehmens-Risikomanagements.
Um von den Risiken aus Teilbereichen zu den Unternehmens-Risiken zu gelangen, ist es oft erforderlich, diese auf einer höheren Ebene zusammenzufassen bzw. zu aggregieren. Bei diesem Vorgang ist im Einzelfall zu klären, wer schliesslich der Risiko- oder der Prozesseigner ist.
Bei der technischen Umsetzung der Aggregationsprozesse helfen einheitliche Risikokriterien. Sie können quantitativ und / oder qualitativ ausgestaltet sein. Eine weitere Voraussetzung besteht in einer nach gleichen Grundsätzen vorgenommenen Risikobewertung. Am besten eignet sich das Bewertungskriterium des “Credible Worst Case”, der sich nicht an einem mittleren Erwartungswert des Risikos, sondern am schlimmstmöglichen, aber dennoch glaubwürdigen Fall orientiert. Genau dieser kann bestandsgefährdend wirken.
Die Teilbereiche untereinander weisen oft Überschneidungen auf. Am augenfälligsten sind sie im Bereich des Sicherheitsmanagements und des Compliancemanagements. Weil es viele gesetzliche Bestimmungen im Bereich der Sicherheit und des Gesundheitsschutzes (z. B. Arbeitssicherheit, Produktsicherheit, Patientensicherheit) gibt, können sich mehrere Teilbereiche mit ihnen befassen. Im unerwünschten Extremfall entsteht eine weitgehende Doppelspurigkeit.
Die Lösung besteht in einer gänzlichen oder teilweisen Zusammenführung solcher Bereiche in eine definierte Verantwortung. Als Beispiel kann man die Patientensicherheit in einem Krankenhaus herausgreifen. Diese könnte man vollständig unter dem Bereich Compliancemanagement bearbeiten. Normalerweise ist dafür jedoch das Qualitäts- und Risikomanagement zuständig. Das Compliancemanagement im Krankenhaus beschränkt sich demzufolge beispielsweise auf die unternehmensrelevanten Aspekte wie Gesellschaftsrecht, Vermögensschutz, Steuern, Abgaben, öffentlich-rechtliche Pflichten und Korruptionsvermeidung.
Weiteres Beispiel: Oft ist nicht klar, wo die Abgrenzung zwischen dem Internen Kontrollsystem und dem Compliancemanagement liegt. In gängigen Standards, z.B. dem COSO Regelwerk, sind die zwei Aspekte “Reporting und Compliance” erwähnt. Jede Organisation muss nun klären, ob Interne Kontrolle die Compliance umfasst oder nur diejenigen Aspekte, die direkt in den finanzrelevanten Prozessen eine Rolle spielen, also z. B. Vermögensdelikte oder Kompetenzüberschreitungen.
Es gibt eine weitere, für die Gestaltung des Risikomanagements wichtige Abgrenzung. Auch wenn ein Risiko nicht bestandsgefährdende Auswirkungen hat, sollte es eine bestimmte “Aussergewöhnlichkeit” aufweisen, um sich als Risiko vom Tagesgeschäft abzuheben. Im Tagesgeschäft gibt es viele Störungen, Unregelmässigkeiten und Abweichungen. Diese sollte man keinesfalls zum Thema des Risikomanagements oder eines risikobasierten Ansatzes machen, weil dadurch eine riesige Bürokratie entstehen würde, die keinen Nutzen stiftet. Hier muss das Instrument der kontinuierlichen Verbesserung dafür sorgen, dass die Leistungsprozesse laufend verbessert und optimiert werden.
Davon zu unterscheiden ist das Fehlermanagement. Fehler können durch eine “Verkettung unglücklicher Umstände” zu einem grossen Sicherheitsrisiko führen. Hier ist die Auseinandersetzung mit den Fehlern eine Methode des Risikomanagements, die oft mit dem Begriff “Critical Incidents Reporting” oder Fehlermeldesystem bezeichnet wird.
Hilfreich für die Zuordnung von möglichen Abweichungen zum Risikomanagement, zu einem risikobasierten Teilbereich oder zum Tagesgeschäft ist die Analyse von Vorkommnissen in Bezug auf Häufigkeit des Auftretens und ihre Auswirkungen, im nachfolgenden Beispiel mit der finanziellen Dimension abgebildet.
In der Grafik wird sichtbar, dass die bestandsgefährdenden Unternehmensrisiken aus risikotechnischer Sicht erhebliche Auswirkungen in qualitativer und quantitativer Art auf die Unternehmensziele haben können, sie treten allerdings nur mit geringen Eintrittswahrscheinlichkeit auf (low frequency / high severity). Eine Organisation hat i.d.R. nur wenige bestandsgefährdende Risiken, in der Anzahl sind dies vielleicht etwa 10 Risiken. Zu ihnen gehören nicht nur strategische Risiken einer Organisation, sondern auch operative Risiken.
Demgegenüber haben Risiken aus den entsprechenden Teilbereichen i.d.R. eine hohe Frequenz, aber eine eher begrenzte Auswirkung auf die Unternehmensziele. Ausgenommen sind hier die bestandsgefährdenden Risiken. Die Behandlung der Risiken mit hoher Frequenz und begrenzter Auswirkung im Rahmen von Teilbereichen (z.B. im Internen Kontrollsystem) kann lohnend bzw. profitabel sein.
Unternehmen mit einer bestimmten Grösse und Komplexität sind heute gezwungen, die einzelnen Teilbereich nach den vorliegenden gesetzlichen Vorschriften und betrieblichen Notwendigkeiten zu gestalten. Wenn Sie dies nicht mit zufällig aneinander gereihten Silos umsetzen wollen, müssen sie ein Konzept entwickeln, das den vorangehenden Grundsätzen und Regeln entspricht, um Doppelspurigkeiten und Ressourcenverschwendung zu vermeiden.
Instrument für die konkrete Gestaltung des Risikomanagements mit den Elementen “Unternehmens-Risikomanagement und “Teilbereiche des Risikomanagements” ist die Risikomanagement-Politik, man spricht oft von der Risikomanagement-Strategie oder dem Risikomanagement-Konzept. Die Gestaltung des Risikomanagement-Systems sollte verschriftlicht und zwischen den obersten Organen der Führung regelmässig besprochen und auf die Wirksamkeit / Nachhaltigkeit überprüft werden.
Die Gestaltung eines synergetischen Risikomanagement-Systems ist eine anspruchsvolle Aufgabe. Sie verlangt nicht nur ein tiefes Verständnis der vorangehend aufgeführten Teilbereiche des Managements, sondern auch ein hohes Mass an interner Kommunikation und Koordination. Normenwerke bieten dabei leider kaum Unterstützung, da sie in einer separierten Architektur oder nur partiell integrierten Struktur vorliegen.
Organisationen, die es verstanden haben, das Risikomanagement-Labyrinth zielbasiert zu durchschreiten, werden nicht nur über eine zweckmässige “Assurance” verfügen, sondern insbesondere einen deutlichen Vorteil in effektiver und effizienter Nutzung ihrer Ressourcen sicherstellen.
Eine professionelle GRC-Strategie bildet die optimale Grundlage für erfolgreiche Unternehmensführung. BIC unterstützt Sie dabei mit einer einzigartigen Kombination aus modernster Technologie, intuitiver Benutzeroberfläche und schneller Implementierung. Das macht die Arbeit mit den BIC GRC Solutions so einfach - in allen GRC-Bereichen.