SICHERUNG DES UNTERNEHMENS-FORTBESTANDES IN KRISENZEITEN
Die Corona-Krise 2020 zeigte es überdeutlich: die Risiko-Erkennung, die Ableitung gültiger Schlussfolgerungen zur Gefahren-Abwehr und die Festlegung situativ skalierbarer Pläne und konkreter Abläufe zur Eindämmung von Krisen und Reaktion und Bekämpfung von Notfällen ist von höchster Wichtigkeit. Doch wie sieht es damit in den Unternehmen aus?
In Firmen wird oft und intensiv über Risiken und Risikomanagement diskutiert. Dabei entsteht meist der Eindruck, dass die Beteiligten die aktuellen Hauptrisiken kennen und zügig bekämpfen wollen. Doch klare, greifbare Ziele werden selten gesetzt. Und viel zu selten wird der Erfolg der Gegenmassnahmen mit dem Aufwand abgeglichen. Gleiches gilt für die Wechselwirkungen mit der Unternehmensstrategie. Der Unterschied zwischen harten Kämpfern und smarten Siegern liegt im Know-how beim Herangehen an Risikofaktoren, bei ihrer strukturierten, unternehmensweit einheitlichen Bewertung und Priorisierung. Teils verzetteln sich Organisationen mit der Umsetzung oder Ergebnisse können unerklärlich oder sogar irreführend sein, wenn die Begriffe, Tools und Verfahren für ein erfolgreiches Risikomanagement fehlen.
Organisationen betreiben Risikomanagement aus vielerlei Gründen – nicht allein aus kaufmännischer Sorgfalt oder aufgrund gesetzlicher Anforderungen. Für die Finanzwirtschaft, für Fluglinien, Medizingerätehesteller, Klinikbetreiber, bei der Entwicklung neuer Produkte u.v.a.m. bestehen Fach- oder branchenspezifische Vorschriften. Und seit 2015 erfordert auch die allgegenwärtige Qualitätsmanagement-DIN ISO 9001 den «risikobasierten Ansatz». Die meisten Anforderungen bieten jedoch weder Hilfe bei der Implementierung risikobezogener Methoden noch konkrete Kriterien oder unterstützende Richtlinien für die Bewertung und den weiteren Umgang mit den Risiken. Meist enthalten sie nur sehr generelle Anforderungen sowie eine regelmässig wiederkehrende Überprüfung durch Experten. Die angemessene Umsetzung liegt allein in der Verantwortung der einzelnen Unternehmen.Spannungen können entstehen, wenn beispielsweise Aufsichts-Behörden, Geldgeber, wichtige Kunden, Wirtschaftsprüfer oder Auditoren Fragen vorbringen, wie die Organisation mit ihren Risiken umgeht – wenn sie Druck ausüben und Rechtfertigungen verlangen. Hier ist im Vorteil, wer seiner Tätigkeit allgemeingültige Standards zugrunde legt, z.B. die internationale Norm ISO 31000, das COSO-Framework, oder der ONR-Reihe 49000 und wer anerkannte Risikomanagement-Abläufe anwendet (Rahmenbedingungen, Identifikation, Analyse, Bewertung, Bewältigung usw., s. Grafik). Diese Normen und Standards sind auf unterschiedlichste Organisationen, auf jegliche Entscheidungssituationen anwendbar und allgemein genug für alle Arten von Unternehmensprozessen formuliert.
Um die Lebensfähigkeit der Gesamtorganisation zu sichern, muss das Risikomanagement auf die Kernfunktionen ausgerichtet sein – es muss mit den strategischen Zielen korrelieren und die auf diese Schlüsselfaktoren einwirkenden Risiken bekämpfen. Auch das Tagesgeschäft birgt vielfältige Störungen und Unregelmässigkeiten. Doch diese könnten leicht die Leistungsfähigkeit des Risikomanagement-Systems sprengen und eine Menge unsinniger Bürokratie stiften, aber kaum Nutzen. Hier ist die kontinuierliche Verbesserung das Instrument zur Optimierung der Leistungsprozesse. Doch sobald ein Indikator bei Überschreitung definierter Grenzwerte bestandsgefährdend sein kann und sich z.B. durch seine Aussergewöhnlichkeit oder Häufung vom gewöhnlichen Tagesgeschäft abhebt, müssen solche Verweise unbedingt ins Risikomanagement eingehen.
Problematisch wird mitunter die Einordnung einzelner Unternehmensfunktionen in ein übergreifendes Risikomanagement und wenn Synergien statt Insel-Lösungen gefunden und genutzt werden sollen. Der konsequenteste Weg ist die Anwendung des Risikomanagements als übergeordnetes Führungs-Instrument über alle anderen relevanten Teilbereiche wie IKS (Internes Kontrollsystem), QM (Qualitätsmanagement), CM (Compliance Management), SRM (Supplier Risk Management), SSM (Safety-/Security-Management), BCM (Business Continuity Management), usw. Ein solches «Total-Risk-Management» wird in der Realität leider häufig von widerstrebenden Zielsetzungen und fachlichen oder methodischen Anforderungen bzw. Prioritätserwartungen der Unternehmensbereiche verhindert. Fortgeschrittene Organisationen, welche ein IMS, ein «Integriertes Managementsystem» anstreben, sollten jedoch ernstlich erwägen, das Risikomanagementsystem als oberste IMS-Ebene einzugliedern.
Unternehmens-Risiken werden sinnvollerweise aus zwei Richtungen «in die Zange» genommen: mit einem Top-Down-Ansatz entlang der Firmenhierarchie von der Führung bis in die Funktionsbereiche und dem Bottom-Up-Ansatz entlang der Prozesskette von den untersten Teilschritten beginnend. So bleibt kein Einzelrisiko unbemerkt und jedes wird der koordinierten Bewertung und Bearbeitung zugeführt. Die oberste Leitungsebene muss sich regelmässig wiederkehrend mit den Risiken befassen und veranlassen, dass die im Risikomanagementsystem verarbeiteten Risiken diejenigen einschliessen, welche für das Unternehmen strategisch relevant sind. Das Ziel ist, dass die Gesamtorganisation in ihrer weiteren Entwicklung sich bietende Chancen besser nutzen kann, indem nachteilige Faktoren weniger Wirkung entfalten.
Mit Notfall-, Krisen- und Kontinuitätsmanagement als Sub-Segmente des Risikomanagements können Unternehmen nach schweren Schadenfällen mittels vorbereiteter Massnahmen zielgerichtet reagieren und zügig auf strukturierte Weise die Kontrolle über unterbrochene Betriebsfunktionen zurückzugewinnen. Operationell besonders kritische Punkte in der Organisation werden z.B. per Business-Impact-Analyse aufgespürt und direkte Beziehungen zum Risikomanagement-Prozess hergestellt. Bedenken Sie: Eine Versicherung kann zwar Ihre Schäden kompensieren, doch zur Normalität zurückarbeiten müssten Sie sich trotzdem aus eigener Kraft. Warum also nicht vielseitig nutzbare Konzepte entwickeln, solange alle Ihre Mittel zur Verfügung stehen?!
Organisationen, die es geschafft haben, ihr Risikomanagement sinnvoll zu strukturieren, verfügen nicht nur über ein zweckmässiges Werkzeug zur Unternehmensführung. Sie sichern sich auch mehr Kontrolle über die Auswirkungen negativer Einflüsse und haben dadurch mehr Chancen, Wettbewerbskraft und Marktdynamik in höhere Rentabilität umzuwandeln. So wird Risikomanagement ein Faktor für Erfolg und nachhaltigeres Wachstum. In geschäftlich besonders herausfordernden Zeiten, z.B. auch in einer allgemeinen Pandemie-Situation kann dies den Unterschied zwischen Gewinnern und Verlierern bestimmen.
AUXILIANT® unterstützt Kundenunternehmen erfolgreich mit Erfahrungen in der Bewältigung von Lieferketten-Risiken. Mit «Enterprise Risk Management» als zusätzlichem Kompetenzbereich steht AUXILIANT® Unternehmen jetzt auch bei der Einführung und Aufrechterhaltung eines professionellen Umganges mit strategischen Unternehmens-Risiken und Bedrohungen hilfreich zur Seite.
[Mehr Informationen erhalten Sie unter contact@auxiliant.de]