Ganzheitliches Chancen- und Risikomanagement

Unter Enterprise Risk Management (ERM) wird ein unternehmensweit abgestimmter Prozess verstanden, mit dem Unternehmen alle Schlüsselrisiken identifizieren, bewerten und aktiv steuern, um Unternehmenswerte für alle Anspruchsgruppen zu generieren. Ausgehend von dieser Definition wird in diesem Kapitel erläutert, welche zentralen Erfolgskriterien modernes Risikomanagement ausmachen und worauf in der Praxis besonders geachtet werden muss, damit die Erfolgspotenziale von ERM ausgeschöpft und Unternehmenswerte geschaffen werden können. Insbesondere scheint es schwierig, die vom Aufsichtsorgan verabschiedete schriftliche Risikopolitik in beobachtbares Verhalten (Risikokultur) zu überführen. Unter anderem bedingt dies ein konsequentes Vorleben und Kommunizieren der Wichtigkeit von ERM durch das Management. Im Unternehmen muss es Anreize geben, damit eine unternehmensweite Risikoidentifikation bzw. die Berichterstattung an entsprechende Stellen gefördert und nicht etwa verhindert wird. Es muss zum Selbstverständnis werden, dass Risiken eingegangen werden dürfen, so lange sie sich innerhalb der festgelegten Toleranzgrenzen befinden. Es muss ein Umdenken stattfinden, dass finanzielle Risiken in den meisten Industrieunternehmen nicht die wichtigste Risikokategorie ausmachen. Weiter wird eine positive Risikokultur unterstützt, wenn historisch gewachsene „Risiko-Silos“ überwunden und eine einheitliche ERM-Sprache unternehmensweit etabliert werden kann. Wenn es ein Unternehmen schafft, ERM als selbstverständlicher Teil des Prozesses der Strategieentwicklung und -umsetzung zu festigen, kann es sein wertgenerierendes Potenzial ausschöpfen.

Der Umgang mit Ungewissem erfordert von Organisationen eine ausgeprägte Resilienzkompetenz. Diese muss organisationale, individuelle und teamorientierte Faktoren berücksichtigen und bestehende Konzepte integrieren. Zudem gilt es, die eigenen, kritischen Aktivitäten analytisch zu bewerten. Grundsätzlich lassen sich hier sinnvolle Vorarbeiten in den Bereichen Hochzuverlässigkeitsorganisation, dem Sicherheitsmanagement und dem Resilienz-Benchmarking finden. Diese Beiträge ermöglichen einen tiefen Einblick in relevante Facetten eines Enterprise Risk Managements und verwandter Disziplinen. Jedoch ermöglichen sie keinen präzisen Einblick in die spezifischen, vielfach gegenseitig vernetzten Praktiken und Routinen des Organisationsalltags, um entsprechende Situationen angemessen aufschlüsseln und für ein nachhaltiges Resilienzmanagement nutzen zu können. Hierfür wird das Instrument der „Funktionalen Resonanzanalysemethode“ vorgestellt und anhand zweier praktischer Situationen illustriert. Die beiden Praxisfälle zeigen die Anwendung der Methode am Beispiel des technischen Rebreather-Tauchens und des Zugunglücks in Bad Aibling 2016. Im Kapitel wird gezeigt, dass die Methode durch die vernetzte Betrachtungsweise und dem damit verbundenen Analysevorteil einen wertvollen Beitrag zur Aufklärung betrieblicher Risikosituationen und somit zum Aufbau eines effektiven Corporate Resilience Managements liefern kann.

Kritische Infrastrukturen sind für die Versorgung moderner Gesellschaften mit essenziellen Gütern und Dienstleistungen unverzichtbar. Von ihnen hängen die Energieversorgung, Kommunikationsverbindungen und Logistikprozesse genauso ab wie die Wasserversorgung oder die Entsorgung von Abfällen und Abwasser. Entsprechend weitreichend können die Auswirkungen einer Störung oder eines Ausfalls einzelner Systemkomponenten kritischer Infrastrukturen sein. In diesem Kapitel wird die Relevanz kritischer Infrastrukturen für moderne Volkswirtschaften und Gesellschaften aufgezeigt und auf die Herausforderungen hingewiesen, die mit dem Schutz solcher Infrastrukturen verbunden sind. Unter Bezugnahme auf das Konzept der Resilienz wird ein Lösungsansatz vorgestellt und mit einer Übersicht über verschiedene nationale und internationale Bestrebungen zum Schutz kritischer Infrastrukturen illustriert. Dabei wird deutlich, dass effektive Ansätze nicht nur auf der staatlichen, sondern auch auf der einzelbetrieblichen Ebene eines Infrastrukturbetreibers ihren Niederschlag finden müssen und dass eine intensive Zusammenarbeit zwischen diese beiden Ebenen unabdingbar ist. Sämtliche Unternehmen sind gut beraten, sich in Abstimmung mit den staatlichen Vorsorgebestrebungen Gedanken zu machen, inwiefern sie selbst von kritischen Versorgungsprozessen und Infrastrukturen abhängig sind und wie sie ihre Geschäftstätigkeit im Notfall bestmöglich aufrechterhalten können.

Dieser Beitrag befasst sich mit dem aktuellen Stand von Enterprise Risk Management (ERM) in Schweizer Unternehmen. Dabei wird ERM als moderner, ganzheitlicher Risikomanagementansatz verstanden, welcher Abhängigkeiten zwischen einzelnen Risiken berücksichtigt. Die Analyse basiert auf dem im Jahr 2016 veröffentlichten Entwurf des COSO-Rahmenkonzepts „Enterprise Risk Management – Aligning Risk with Strategy and Performance“. Den Ausführungen zu den Stärken und Schwächen des Risikomanagements liegt eine Umfrage bei mittelgroßen und großen Unternehmen zugrunde. Die Resultate zeigen, dass die Mehrheit der Unternehmen der Verpflichtung zu Integrität und Ethik eine hohe Relevanz zukommen lässt. Jedoch schenken viele Unternehmen der Dokumentation der Risikopolitik sowie den Verhaltens- und Ethikkodizes noch zu wenig Beachtung. Die befragten Unternehmen zeigen einen hohen Einbezug von Chancen und Risiken bei der Festsetzung von Zielen. Auch der Risikoinformationsfluss ist bei den meisten Unternehmen gut verankert. Hingegen beachten Unternehmen den Risikoappetit und die Wechselwirkungen zwischen den Risiken vergleichsweise wenig. Ebenfalls Nachholbedarf besteht bei der Verbreitung der Risikoinformationen über alle Ebenen hinweg und bei der Nutzung von risikorelevanten Informationssystemen.

In der Schweiz müssen IFRS-Anwender seit Inkrafttreten des neuen Buchführungs- und Rechnungslegungsrechts (Teil des Schweizerischen Obligationenrechts) keine Informationen über die Durchführung einer Risikobeurteilung im Sinne des Schweizer Gesetzes offenlegen. Der Gesetzgeber ging bei dieser Regelung wahrscheinlich davon aus, dass diese Informations-Anforderungen durch die Anhangsangaben gemäß anerkannten Standards zur Rechnungslegung bereits erfüllt werden. Die Annahme ist aber nicht korrekt für Unternehmen, die nach dem Rechnungslegungs-Standard IFRS ihre Jahresrechnung präsentieren. Denn IFRS macht in diesem Bereich keine Vorschriften. Im alten Obligationenrecht wurde die Berichterstattung über die Risikobeurteilung gemäß Lehrmeinung eng auf die Jahres- und Konzernrechnung bezogen. Entsprechend hatte sie deren Fehlerrisiken zum Gegenstand. Beim Lagebericht gemäß neuem Rechnungslegungsrecht steht hingegen die Vermittlung des Gesamtbilds der Unternehmenslage im Zentrum. Deshalb sollte sich die Berichterstattung hier sinnvoll auf die Unternehmensrisiken insgesamt beziehen. Um die Relevanz und den Inhalt der Risikoberichterstattung in der Schweizer Praxis zu analysieren, wurde eine Untersuchung bei an der Schweizer Börse kotierten Großunternehmen durchgeführt.

Die Dynamik des Unternehmensumfelds bildet eine wichtige exogene Ursache von Unternehmenskrisen. Vielen Firmen fällt es schwer, ihre organisatorischen Kompetenzen weiterzuentwickeln. Eine gewisse Stabilität von Strukturen und Prozessen stellt zwar eine wichtige Voraussetzung für das Funktionieren von Organisationen dar. Diese Trägheit hat allerdings zur Folge, dass Unternehmen nicht in der Lage sind, ihre Strategien schnell genug an neue Umstände anzupassen. Angesichts der beschleunigten Veränderungen im Unternehmensumfeld muss es jedoch das Ziel von Unternehmen sein, über eine hohe Anpassungsfähigkeit zu verfügen. Notwendig ist daher ein Management von Kompetenzen. Der Aufbau neuer Geschäftsfelder ist jedoch mit zahlreichen Herausforderungen und Unsicherheiten verbunden. Risiken entstehen insbesondere durch hohe Investitionen, welche mit einer Bindung von Ressourcen an bestimmte Strategien, erwartete Umweltzustände oder Kundengruppen einhergehen. Da ein Innovationsprozess auf Einschätzungen über zukünftige Entwicklungen beruht, kann der Aufbau neuer Kompetenzen misslingen. In diesem Aufsatz werden die Risiken beschrieben, welche sich aus der beschleunigten Entwertung bestehender Kompetenzen und dem Aufbau neuer Fähigkeiten ergeben. Zur Herstellung von Innovationsdynamik werden verschiedene Empfehlungen formuliert: die Akzeptanz von Unsicherheit und begrenztem Wissen, die Schaffung einer offenen Unternehmenskultur, die Förderung von Experimenten in den Geschäftsbereichen, eine beschleunigte Aufnahme von externem Wissen sowie die Implementierung von Ergebnisverantwortung in den einzelnen Geschäftssparten.

Dieser Beitrag stellt eine Einführung ins Business Continuity Management (BCM) für angehende sowie erfahrene Risikomanagerinnen und -manager dar. Ein kurzer Abriss über die geschichtliche Entwicklung der Disziplin soll hierbei den Zugang zum heutigen Verständnis erleichtern. Im Weiteren werden praxisrelevante zentrale Prinzipien und Konzepte, wie die Business Impact Analyse, Business Continuity Pläne, der Wiederanlauf und die Wiederherstellung erläutert. Sie stellen wichtige Bausteine für BCM-Vorhaben dar und kommen unabhängig von der Art der Organisation und ihrer Branchenzugehörigkeit zur Anwendung. Da BCM heute als standard- und regulierungsgetriebene Fachdisziplin wahrgenommen werden kann, wird auch kurz auf die verschiedenen heute gebräuchlichen Standards bzw. Normen für BCM eingegangen. Sie sind ausschlaggebend dafür, dass BCM heute als kontinuierlicher Prozess verstanden und betrieben wird. Trotz der in der Folge festgestellten und beschriebenen Unterschiede von BCM und Risikomanagement soll kein Anstoß für deren Bekräftigung gegeben werden. Es wird im Gegenteil aufgezeigt, dass es unternehmerisch sinnvoll ist, die Gemeinsamkeiten und Synergiepotenziale zwischen den beiden Fachbereichen zu suchen und zu nutzen.