Für viele Unternehmen ist das Risikomanagement ein notwendiges Übel, wenn nicht sogar eine Büchse der Pandora: Wird diese Büchse geöffnet, entsteigen ihr administrative Albträume und viele kleine und grosse Papiermonster. Das muss nicht sein, wie dieser kurze Erfahrungsbericht zeigt.
Wieso hat Risikomanagement ein solch schlechtes Image? Meistens betreibt ein Unternehmen Risikomanagement, weil es von Gesetzes wegen dazu verpflichtet ist, ganz nach dem Motto „Hauptsache, wir können ein Papier mit der Überschrift Risikomanagement vorweisen; was genau drinsteht, ist egal“. So werden eilig alle erdenkbaren Risiken quer durch das Unternehmen zusammengetragen, scheinbar sinnvolle Massnahmen definiert, das Ganze zu Papier gebracht und auditkonform dokumentiert. Das Ergebnis: Auftrag ausgeführt, Nutzen gleich null. „Bringt eh nichts.“, heisst es. Und so gesehen, stimmt das auch.
Es gibt jedoch Unternehmen, die dem Risikomanagement den Stellenwert einräumen, den es verdient. Einige davon durften wir in der letzten Zeit begleiten. Unsere standardisierte Vorgehensweise brachte sowohl für diese Unternehmen als auch für die BSG immer wieder die gleichen drei Erkenntnisse. Sie werden im Folgenden beschrieben.
Wie verwundbar ist das Unternehmen?
Die Geschäftsleitung unseres Modell-KMU bewertete zuerst die Exposition des Unternehmens bezüglich der Risiken und bestimmte so seine Verwundbarkeit. Dazu wurden verschiedene Szenarien betrachtet und deren Auswirkungen abgeschätzt. Eines dieser Szenarien lautete: Was passiert, wenn die internen Produktionskennzahlen nicht korrekt sind? Nach kurzer Diskussion zeigte sich: Das wäre nicht gut. Zu tiefe Produktionskosten führen unter Umständen dazu, dass Produkte unter ihrem Preis verkauft werden, ja selbst grundlegend falsche Entscheide bei der Produktportfolio-Strategie sind denkbar. Bei starkem Wettbewerbsdruck sind solche Fehlentscheide fatal. Daraus resultiert die erste Erkenntnis:
Der Risikodialog fördert Zusammenhänge und Konsequenzen zutage, die dem Unternehmen gar nicht bewusst sind. Risikomanagement verbessert also das Wissen über die kritischen und relevanten Zusammenhänge im Unternehmen und macht sie für das Management sichtbar.
Soll-Ist-Vergleich
In Zusammenarbeit mit den Abteilungsleitern wurde danach ein umfassendes Risikoaudit über alle operativen Bereiche hinweg durchgeführt. Dabei konfrontierten wir das Unternehmen mit einem Katalog von über 300 Fragen aus unserem Risikokatalog und prüften, wie es mit diesen Risiken umgeht. Auch beim Unternehmen in unserem Beispiel konnten Risiken identifiziert werden, die bisher verborgen waren. Unter anderem zeigte sich, dass Teile vom Firmenareal ungenügend gegen Zutritt durch Dritte und Vandalismus gesichert sind. Ebenso kam hervor, dass das Gäste-WLAN nicht den geltenden Sicherheitsbestimmungen entspricht. Zwei Risiken, die – wenn sie eintreten – das Unternehmen hart treffen können. Das führt uns zur zweiten Erkenntnis:
Es kommen neue, bisher nicht identifizierte, aber dennoch relevante Risiken zum Vorschein. Das Aufdecken dieser Risiken ist in erster Linie dem umfangreichen Risikokatalog zu verdanken, der für das systematische Risikoaudit zur Anwendung kommt, und in zweiter Linie sicherlich auch der externen Sicht und der Praxiserfahrung der BSG-Berater.
Risikobericht
Bei der Auswertung wurden die identifizierten Risiken respektive der Umgang mit diesen Risiken in Relation zur ermittelten Exposition und Verwundbarkeit gebracht. Denn Risiken sind nur dann von Bedeutung, wenn ihre Auswirkungen auf das Unternehmen tatsächlich relevant sind. Der Bericht hilft also, die Massnahmen auf die wesentlichen Punkte zu fokussieren. Erfahrungsgemäss werden während dieses Prozesses auch Bereiche und Prozesse im Unternehmen identifiziert, die problembehaftet sind, oder in denen Schnittstellen nicht so funktionieren, wie sie sollten. Des Weiteren zeigen sich Bereiche und Prozesse mit Optimierungspotenzial. So zeigte sich im vorliegenden Fall, dass beim Umgang mit den Produktionskennzahlen tatsächlich Handlungsbedarf besteht: Die Kennzahlen wurden bis dato manuell abgelesen, handschriftlich auf die Auftragspapiere übertragen und für die Nachkalkulation wiederum manuell in das System eingepflegt – also ein ineffizienter, fehleranfälliger und langsamer Prozess. Zudem wurde festgestellt, dass der Ausschuss und auch die Ausschussteile nirgends erfasst sind. Das führt schliesslich zur dritten Erkenntnis:
Im hektischen Geschäftsalltag geht gerne einmal etwas unter. Die systematische Risikoanalyse erlaubt eine neue Sicht auf die Dinge und deckt Schwachstellen bei Prozessen oder Schnittstellen auf.
Fazit
Wirkungsvolles Risikomanagement heisst: Erstens, die Exposition verstehen, zweitens, im Risikodialog die eigene Verwundbarkeit erkennen und drittens, aus den ersten beiden Schritten die richtigen Massnahmen ableiten und umsetzen.