Nutzen von Risikomanagementsystemen nur schwer messbar
Risikomanagement wird in vielen Unternehmen nach wie vor als teure, bürokratische Notwendigkeit interpretiert. Nationale und internationale Gesetzgebung zwingt Unternehmen spätestens seit den schwerwiegenden Bilanzskandalen zur Jahrtausendwende ein wirksames Risikomanagementsystem zu installieren. Den oft immensen Investitionen wird dabei gerne versucht, ein entsprechend messbarer Nutzen gegenüberzustellen - mit oft mäßigem Erfolg. Denn der höchste Nutzen eines Risikomanagementsystems gilt als erreicht, wenn alles läuft wie geplant.
Individueller Zuschnitt statt Best-Practice-Kopien
Andreas Kempf, Leiter der Konzernfunktion Revision / Risikomanagement der Carl Zeiss AG, wirbt in seinem Vortrag auf der Finance Excellence 2013 eindrucksvoll für die Verwendung eines effektiven Risikomanagementsystems als nützliches Instrument zur Unternehmenssteuerung. Die Ausgestaltung eines effektiven Risikomanagements hat viele Facetten. Allerdings zeigt die Erfahrung, dass eine Implementierung lediglich aufgrund gesetzlicher Bestimmungen selten zu den gewünschten Ergebnissen führt. Entscheidender Faktor bei der Einführung sei laut Andreas Kempf vielmehr der individuelle Zuschnitt auf die spezifischen Bedürfnisse des Unternehmens. Man sollte seiner Meinung nach Abstand davon nehmen, allgemeingültige ‚Best Practices‘ kopieren zu versuchen, sondern vielmehr auf das eigene Unternehmen zugeschnittene ‚Successful Practices' zu etablieren.
Zentrale Perspektiven im Risikomanagement
Eine integrative Betrachtung der folgenden drei Perspektiven ist Voraussetzung für die Implementierung ein wirksames Risikomanagementsystems:
Unternehmerische Perspektive
Die Schaffung eines Risikobewusstseins in der Unternehmensleitung ist Grundvoraussetzung für das nachhaltige und systematische Management von Risiken. Das durchdachteste System wird sich nach und nach von der Unternehmensrealität und der damit verbunden Geschäftsrisiken entfernen, wenn ihm seitens der Nutzer und Berichtsempfänger keine hinreichende Bedeutung zugemessen wird. Das Risikomanagementsystem muss daher zum Ziel haben, Risiken frühzeitig zu Identifizieren und vertiefende und verständliche Informationen zu wesentlichen Risiken jederzeit zugänglich zu machen.
Steuerungsperspektive
Wesentliche Risiken und Risiko-minimierenden Maßnahmen müssen geplant und kontinuierlich überwacht werden. Die definierten Maßnahmen sind dabei zudem stets auch hinsichtlich ihrer wirtschaftlichen Auswirkungen zu bewerten. Hierfür sind Verantwortlichkeiten und Fristen festzulegen und transparent zu machen.
Compliance Perspektive
Vor dem Hintergrund regulatorischer Anforderungen ist die Wirksamkeit des Risiko-Managementsystems nachzuweisen. Hierbei ist der Konsistenz der Angaben, der Nachvollziehbarkeit der Risiken und der Einhaltung der rechtlichen Vorgaben Rechnung zu tragen.
Da Risiko die unvermeidbare Konsequenz unternehmerischen Handelns darstellt, ist das Risikomanagement vollständig in das bestehende Management-System und die Kontrollumgebung eines Unternehmens zu integrieren.
Integration in Planung zeigt Schwerpunkte der Risikominimierung auf
Einen wesentlichen Wertbeitrag liefert die Integration des Risikomanagements in den Planungsprozess. Trotz sorgfältiger Geschäftsplanung ergeben sich in der Realität in vielen Fällen erhebliche Differenzen zwischen den geplanten und tatsächlichen Werten. Die Integration bekannter Unsicherheiten erfolgt dabei in der Praxis meist nur ansatzweise.
Eine frühzeitige Berücksichtigung von Chancen und Risiken ermöglicht eine Darstellung des geplanten Ergebnisses als Bandbreite von Resultaten. Mit Hilfe entsprechender Werkzeuge eines Risikomanagementsystems kann dies einfach simuliert und visualisiert werden. Das von der Unternehmensleitung zu hinterlegende Risikokapital bzw. die Risikotragfähigkeit wird so leicht erkennbar und aufgezeigte Sensitivitäten geben Hinweise auf Hebel zur Risikominimierung.
COSO II Modell als Basis des internen Kontrollsystems
Das interne Kontrollsystem der Carl Zeiss Gruppe leitet sich aus dem COSO II Modell ab. Hierfür wurde das generische Modell für die spezifische Herangehensweise interpretiert und konkretisiert. Auf der Kontrollebene wurden je Prozessgruppe Kernprozesse und das jeweilige Prozessrisiko definiert. Risikomanagement und Revision sind über Prozess-Risiken und integrierte Kontrollen vollständig in die Kontrollumgebung und das bestehende Management-System integriert, was eine ganzheitliche Betrachtung aller Risikothemen sichergestellt.
Zusammenfassend bleibt festzuhalten, dass selbst das beste Risikomanagement nur in der Lage ist, Risiken zu minimieren, jedoch nicht vollständig zu eliminieren. Eine Vielzahl von Risiken kann mit einer strukturierten ex ante Betrachtung jedoch antizipiert und durch Gegenmaßnahmen gezielt minimiert werden.
Das Unternehmen
Carl Zeiss ist eine führende Unternehmensgruppe im Bereich Optik und Optoelektronik. Die Carl Zeiss AG ist eine hundertprozentige Tochtergesellschaft der Carl-Zeiss-Stiftung und erzielte im vergangenen Geschäftsjahr (2011/12) mit rund 24.000 Mitarbeitern knapp 4,2 Mrd. Umsatz.