Untersuchung des Risikomanagementprozesses nach ISO 31000. Umsetzung in der Unternehmenspraxis

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1. Abstract

2. Einführung
2.1 Einleitung
2.2 Definitionen
2.3 Beispiele für eingetroffene Risiken

3. Grad der Umsetzung in der Unternehmenspraxis
3.1 Vorgaben durch Normen und Richtlinien
3.1.1 DIN EN ISO 9001
3.1.2 ISO 31000
3.1.3 ONR 49000:2014 ff
3.1.4 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
3.2 Umsetzung in der Industrie

4. Der Risikomanagementprozess nach ISO 31000
4.1 Allgemeines
4.2 Aufbau des Risikomanagementprozesses nach ISO 31000
4.2.1 Kommunikation und Konsultation
4.2.2 Erstellen eines Zusammenhangs
4.2.3 Risikoidentifikation
4.2.4 Risikoanalyse
4.2.5 Risikobewertung
4.2.6 Risikobewältigung
4.2.7 Überwachung und Überprüfung
4.2.8 Aufzeichnungen über den Risikomanagementprozess

5. Industrielle Umsetzung des Risikomanagementprozesses
5.1 Risikokommunikation und -organisation in der Praxis
5.2 Risikoidentifikation in der Industrie
5.2.1 Risikoidentifikation der SAP AG
5.2.2 Typische Risikokategorien und Risikofelder in der Industrie
5.3 Risikoanalyse der SAP AG
5.4 Praxisbeispiel: Risikomanagementprozess der BMW Group
5.4.1 Ziel der Umsetzung des Risikomanagementprozesses
5.4.2 Integration des Chancen- und Risikomanagements
5.4.3 Analyse finanzieller Risiken in Fahrzeugprojekten
5.4.4 Steuerung des Risikokapitals
5.4.5 Herausforderungen des Risikomanagementprozesses der BMW Group .

6. Zusammenfassung und Ausblick

7. Kritische Würdigung

Anhang

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Ziele bei der Umsetzung des Risikomanagements

Abbildung 2: Vorteile in der ISO 31000

Abbildung 3: Aufbau der ONR 49000:2014 ff

Abbildung 4: Zuständigkeiten im Risikomanagement

Abbildung 5: Rahmenwerke des Risikomanagements

Abbildung 6: Risikomanagementsystem

Abbildung 7: Risikomanagementprozess nach ISO 31000

Abbildung 8: Interne Kommunikation im Risikomanagement

Abbildung 9: Einflussfragen der Risikomethoden

Abbildung 10: Instrumente zur Risikoidentifikation

Abbildung 11: Autonomie- und Kommunikationskosten

Abbildung 12: Risikokreise

Abbildung 13: Risikomatrix

Abbildung 14: Behandlungsstrategie für Risiken

Abbildung 15: Prozess der Risikobewältigung

Abbildung 16: Gefahren mangelnder Risikokontrolle

Abbildung 17: Organisation des Risikomanagements der MOL Group

Abbildung 18: Organisationsstruktur SAP AG

Abbildung 19: Risikokategorien der SAP AG

Abbildung 20: Umsetzung der Risikofelder bei der SAP AG

Abbildung 21: Risikokategorien und spezifische Risiken bei BLG

Abbildung 22: Impact-Matrix der SAP AG

Abbildung 23: Risikoarten der BMW Group

Abbildung 24: Organisation Risikomanagement BMW Group

Abbildung 25: Finanzielle Risiken der BMW Group

Abbildung 26: Risikofelder bei Fahrzeugprojekten

Abbildung 27: Prozess zur Ermittlung des Chancen-/ Risikoprofils

Abbildung 28: Chancen- und Risikoprofil

Abbildung 29: Aggregation von Chancen und Risiken

Abbildung 30: Branchenspezifische Erweiterung der ISO 31000

Tabellenverzeichnis

Tabelle 1: Operationelle Risiken der SAP AG

Tabelle 2: Klassifizierung der Eintrittswahrscheinlichkeiten

Tabelle 3: Klassifizierung des Impacts

Tabelle 4: Decodierung PxI-Wert zu Risikoniveau

Tabelle 5: Beispiele aus den Risikofeldern

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Abstract

Technisches Risikomanagement wird vor allem durch gewachsene gesetzliche Anfor- derungen, härteren Wettbewerbsdruck und gestiegenen Erwartungen interner und ex- terner Stakeholder für Industrieunternehmen notwendig. Diverse Fälle in der Vergan- genheit zeigen die Notwendigkeit eines Risikomanagementprozesses noch deutlicher. Die Umsetzung eines standardisierten Prozesses ist allerdings bis heute noch nicht vorgeschrieben. Unternehmen verschiedener Branchen setzen Leitfäden zu Risikoma- nagementprozessen noch sehr eigenwillig um. Ziel der Arbeit ist es zu erarbeiten, in- wiefern die Theorie des Risikomanagements und des dazugehörigen Prozesses nach ISO 31000 ausgereift ist und mit welchen Methoden er in die Industriepraxis umge- setzt wird. Dazu werden mittels einer umfassenden Literaturrecherche neben dem Ri- sikomanagementprozess nach ISO 31000 theoretische Methoden zur Umsetzung des Prozesses erarbeitet. Methoden aus dem nichttechnischen Bereich, z. Bsp. aus dem Bankenwesen oder der Organisationstheorie finden hier ihre Anwendung und werden speziell erläutert. Die theoretischen Ansätze werden im Praxisteil mit den einschlägi- gen Risikomanagementprozessen diverser Industrieunternehmen verglichen. Dazu werden Fallstudien, Expertenaussagen und Geschäftsberichte herangezogen. Ein ab- schließender Bericht soll zusammenfassen, welche Ansätze aus der Theorie nach ISO 31000 auch in der Praxis (ggf. abgewandelt) umgesetzt werden.

Dem Ergebnis der Arbeit ist zu entnehmen, dass ein vorgeschriebener, standardisierter Risikomanagementprozess aufgrund von unterschiedlichen Einflüssen nicht auf alle Industrieunternehmen gleichzeitig anwendbar ist. Die Unternehmen bedienen sich je- weils an Auszügen des Normvorschlags und setzten sie je nach verfügbaren Kapazitä- ten und ihrem spezifischen Wettbewerb um. Eine branchenspezifische Erweiterung mit der ISO 31000 als Grundlage könnte der erste Schritt für eine Umsetzungsmög- lichkeit eines ganzheitlichen Risikomanagementprozess in der Industrie sein.

2. Einführung

2.1 Einleitung

Die vorliegende Arbeit zielt auf die Erarbeitung des Grads einer möglichen Umsetzung des theoretischen Risikomanagementprozesses nach ISO 31000 in den Industrieunter- nehmen. Um ein einheitliches Verständnis zu erzeugen, werden in diesem Kapitel die einschlägigen, in der Literatur jedoch nicht immer eindeutigen Begriffe erläutert. Sie beruhen auf Definitionen der angewandten Fachliteratur. Um die Anwendbarkeit des Risikomanagementprozesses zu überprüfen, wird der ausgearbeitete, aktuelle Praxis- stand mit dem vorgeschlagenen theoretischen Ansatz des Risikomanagementprozesses nach ISO 31000 verglichen. Der Praxisteil bezieht sich neben einer kurzen Einführung in das jeweilige Unternehmen und deren Risikomanagementprozess auf die direkte Anwendung theoretischer Teilprozessschritte und speziell auf die angewandten Me- thoden zur Erzeugung dieser. Die Informationen wurden den aktuellen Geschäftsbe- richten und einer Literatur der Deutschen Gesellschaft für Risikomanagement e. V. entnommen. Vergleiche mit der recherchierten Theorie wurden selbstständig erarbei- tet. Um neue Erkenntnisse und Ergebnisse zu definieren wird im nächsten Kapitel al- lem voran der aktuelle Stand der Technik als „Grad der Umsetzung in den Industrie- unternehmen“ beschrieben. Hier wird sowohl auf bis heute gängige Techniken einge- gangen, als auch ein klarer Unterschied zwischen den einzelnen Unternehmen, bzgl. ihrer Größe, Philosophie, etc. vorgemerkt. Die angewandte Methode zur Erreichung des eingangs beschriebenen Ziels ist zum einen eine Ausarbeitung der theoretischen Eckpunkte der ISO 31000 im Hinblick auf mögliche Methoden zur Umsetzung dieser und zum anderen der kontinuierliche Vergleich mit den industriespezifischen, ange- wandten Methoden zum Beitrag im Risikomanagementprozess. Dabei soll kein Best- Practice-Beispiel hervorstechen, sondern eher eine Sammlung von in verschiedenen Bereichen der Industrie üblichen Methoden vorgestellt werden.

2.2 Definitionen

Risiko:

Aus den vielfältigen Definitionen des Begriffs „Risiko“ soll hier die Normdefinition verwendet werden. So gilt das Risiko als „Auswirkung von Unsicherheit auf Ziele“ [ISO 31000, A]. Dabei ist zu berücksichtigen, dass die Auswirkung zunächst eine positive oder negative Abweichung von Zielen darstellt. Diese Ziele sind häufig operationelle, strategische oder finanzielle Risiken [Vgl. ISO 31000, A]. Sie lassen sich häufig in die Kategorien „Ökonomischer Erfolg“, „Ablaufplan“ und „Qualitäts- standards“ einordnen [Vgl. Smith, 1999]. Mit Verwendung des Begriffs Unsicherheit wird charakterisiert, dass diese Abweichungen von Zielen immer mit Wahrscheinlich- keiten zusammenhängen und durch fehlende Informationen nicht im Vorfeld vorher- sagbar sind. Ein Risiko beschreibt die Kombination aus Schadensausmaß und Eintritts- wahrscheinlichkeit [Vgl. Thompson/Perry, 1992]. Dabei ist unter Schadensausmaß die Höhe der Gefährdung auf die Sicherheit von Menschen, Sachen oder Umwelt zu ver- stehen. Im industriebezogenen Sinn werden diese Schadensausmaße häufig finanziell übersetzt [Vgl. Theil, 1995]. Wenn nicht anders erläutert, soll das Schadensausmaß auch in der vorliegenden Arbeit finanziell übersetzt werden.

Chance:

Die Chance ist vom gleichen Charakter wie das Risiko. Der wesentliche Unterschied besteht darin, dass die Chance eine potentielle Risikoquelle ist, die jedoch ausschließlich zu einer positiven Entwicklung führen kann. Auch das Eintreten von Chancen ist ungewiss, lässt sich also nur mithilfe von Wahrscheinlichkeiten bestimmen [Vgl. ONR 49000, Synnatzschke, 2011, A].

Reine und spekulative Risiken:

Reine Risiken sind ausschließlich negativ gesinnte Risiken. Ihre Folge ist immer eine negative Abweichung vom Planwert und sie lassen sich i.d.R. versichern. Im Gegen- zug dazu stehen die spekulativen Risiken. Sie können auch positive Abweichungen vom Planwert verursachen und lassen sich i.d.R. nicht versichern [Vgl. Braun, 1984, Thiemt, 2003].

Risikomanagement:

Als Risikomanagement werden die aufeinander abgestimmten Tätigkeiten zur Leitung und Lenkung einer Organisation bezüglich Risiken definiert. Dies geschieht in dem im Folgenden definierten Risikorahmen und Risikomanagementprozess [Vgl. ISO 31000, A, Synnatzschke, 2011, A].

Risikomanagementrahmen:

Der Risikomanagementrahmen bildet die Grundlagen für die Gestaltung, Umsetzung, Überwachung und ständigen Verbesserung des Risikomanagements [Vgl. ISO 31000, A].

Risikomanagementprozess:

2. Einführung

Der Risikomanagementprozess bildet die Grundlage der systematischen Anwendung des Risikomanagements. Dieser erfolgt in mehreren Schritten zur Identifikation von Risiken, Bewertung dieser, Steuerung aller Risiken und anschließender Überwachung [Vgl. ISO 31000, A]. Während des Prozesses findet ein kontinuierlicher Informations- austausch statt [Vgl. RiskNet, 2010]. Im Einzelnen sei nochmal auf Kapitel 4 der vor- liegenden Arbeit hingewiesen, in denen einzelne Punkte ausführlich erläutert werden.

Risikoaggregation:

Das Zusammenhängen und die Abhängigkeiten mehrerer Einzelrisiken zu einer Verkettung werden in einem Verfahren aufgeschlüsselt und der Zusammenhang wird erstellt [Vgl. Synnatzschke, 2011, A].

Risikokriterium:

Ein Risikokriterium wird vor dem Beginn des Risikomanagementprozesses als Bezugspunkt festgelegt. Später können bewertete Risiken anhand dieses festgelegten Bezugspunktes bewertet werden [Vgl. Synnatzschke, 2011, A].

Risikohöhe:

Die Risikohöhe beschreibt das Ausmaß eines Risikos oder einer Verkettung von Risiken. Sie wird als Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß gemessen [Vgl. Thompson/Perry, 1992, Synnatzschke, 2011, A].

Risikotoleranz:

Die Risikotoleranz ist ein Risikokriterium, die beschreibt bis zu welchem festgelegten Schwellenwert Risiken akzeptiert werden. Dieser Schwellenwert bezieht sich auf die Risikohöhe der Einzelrisiken oder der kombinierten Risiken. Es ist eine entsprechende Deckungsmasse einzurichten, falls diese Risiken eintreffen [Vgl. Synnatzschke, 2011, F].

Risikostrategie:

Unter einer Risikostrategie wird allgemein der weitere Umgang mit analysierten Risiken verstanden. Hierbei müssen zwangsläufig die Art des Risikos, die Risikotoleranz und die Risikotragfähigkeit berücksichtigt werden.

Risikotragfähigkeit, Risikopolitik und Risikophilosophie:

Die Risikotragfähigkeit beschreibt die Deckungsmasse eines Unternehmens und ist damit ausschlaggebend für die Risikotoleranz. Es muss stets gewährleistet sein, dass die summierte Risikohöhe die Risikotragfähigkeit nicht überschreitet, um den Fortbe stand des Unternehmens zu gewährleisten. Der quantifizierte Wert der Risikotragfähigkeit wird im Rahmen der Risikopolitik festgelegt, deren Ziel es ist, ein gesetztes Risikolimit nicht überschreiten zu lassen. Im Rahmen dieser Risikopolitik werden [als „Risikophilosophie“] auch die Ziele und Absichten bei der Handhabung von Risiken festgelegt [Vgl. Synnatzschke, 2011, A].

Value at Risk (VaR):

Die Methode des Value at Risk stammt aus dem Finanzdienstleistungsbereich und wird hauptsächlich zur Messung und Überwachung von Markt- und Zinsrisiken ein- gesetzt. Hierbei wird eine Wahrscheinlichkeitsverteilung über einen bestimmten Zeit- raum erstellt. Negative und positive Abweichungen werden durch den Erwartungswert getrennt. Zusätzlich ist hier das Konfidenzniveau von 5% vermerkt. Alle Risiken ober- halb des Konfidenzniveaus werden mit einem Risikokapital getragen. Alle Risiken un- terhalb des Konfidenzniveaus bleiben ungedeckt [Vgl. Romeike, 2004].

2.3 Beispiele für eingetroffene Risiken

Risiken entstehen in den verschiedensten Unternehmensbereichen. In der Regel sind sie durch eigene Erfahrungen in der Vergangenheit oder durch jene in Konkurrenzun- ternehmen bekannt und können vorher aggregiert werden. Risiken existenzbedrohli- chen Ausmaßes treffen jedoch oft unentdeckt ein und sind unbekannt. Aus dem Be- reich der Automobilindustrie erlitt die Toyota Group gleich drei solcher Worst-Case Ereignisse in den Geschäftsjahren 2008-2011. Bei den aufgeführten Beispielen handelt es sich um eingetroffene, reine Risiken. Diese werden im Folgenden kategorisiert mit- samt ihren Auswirkungen aufgelistet und sind beispielhaft für unentdeckte und äußerst unwahrscheinliche Risiken in der Industrie. Eine mögliche Vermeidung oder Gründe für eine unmögliche Vermeidung werden hier angestoßen und im Laufe der vorliegen- den Arbeit aufgelöst.

2011: Tsunami- und Nuklearkatastrophe in Fukushima

Die Tsunami-Katastrophe von Fukushima ist ein typisches Beispiel für ein Risiko mit höchst erdenklichem Schadensausmaß, jedoch verschwindend geringer Wahrschein- lichkeit. Eine solche Katastrophe wurde von der Mehrheit aller japanischen Unterneh- men, darunter auch die Toyota Group nicht in Erwägung gezogen. Maßgeblich betrof- fen waren die Produktionsstätten Toyotas. Zwar wurde hier keine direkt getroffen, al- lerdings mussten zehn ihrer Produktionsstätten, aufgrund gesperrter Transportwege und mangelnder Stromversorgung für rund einen Monat geschlossen bleiben [Vgl. FOCUS-Magazin]. Für ein solches Risiko gab es keinerlei Vorbereitungen. Gründe hierfür werden im Verlauf der Arbeit nachvollziehbar aufgeführt.

2010: Produktionsfehler bei Bremspedalen

Im Jahr 2010 häuften sich weltweit die Beschwerden über ungewollte Beschleunigun- gen mit tödlichen Unfällen in von 2006 bis 2010 produzierten Autos verschiedener Marken von Toyota. Folgen darauf waren zwölf Millionen zurückgerufene Autos und neben dem beispiellosen Imageschaden eine darauffolgende Strafzahlung von 1,2 Mil- liarden US-Dollar [Vgl. SPIEGEL Online]. Dieses Risiko hätte wahrscheinlich mit der richtig angewandten Methode zur Risikoidentifizierung eliminiert werden können.

2009: Auswirkungen der Weltwirtschaftskrise und weitere Marktschwankungen

Wie auch viele andere Automobilhersteller weltweit war auch Toyota von den Folgen der Weltwirtschaftskrise 2008 betroffen. So kam es, dass ausgerechnet der damals größte Autohersteller der Welt einen Kredit von schätzungsweise 200 Milliarden Yen (1,6 Milliarden Euro) von der Japan Bank ersuchte. Insgesamt erstreckte sich ein Marktrückgang von rund 450 Milliarden Yen (3,7 Milliarden Euro) [Vgl. STERN On- line]. Dieses Risiko konnte evtl. vorausgesehen werden, jedoch nicht wirksam redu- ziert werden.

Der in den letzten Jahren immer stärker werdende Yen macht Toyota bis heute zu schaffen. Die wachsende Währung zwingt das Unternehmen dazu, ihre Kleinwagen- produktion nach China und Thailand zu verlagern. Eine Gewinnstauchung von ca. 2,3 Milliarden Euro war die Folge dieser Währungsschwankung [Vgl. STERN Online].

3. Grad der Umsetzung in der Unternehmenspraxis

Risikomanagement wird für keine spezielle Industriebranche eingesetzt. Es stammt aus dem Finanzwesen und wird heute von vielen technischen Unternehmen umgesetzt. Dabei ist verständlich, dass die vorhandenen Ressourcen über den höchstmöglichen Umfang der Umsetzung eines Risikomanagementprozesses entscheiden. Eine Studie hat ergeben, dass das Interesse einer möglichen Implementierung eines technischen Risikomanagements von dem Grad der Innovation und der Komplexität der eigenen Produkte abhängt [Vgl. Zentis, Czech, Prefi, Schmitt, 2011, A]. Hierdurch kann auf zwei verschiedene Risikophilosophien geschlossen werden. Zum einen ist ein Risiko etwas stets zu vermeidendes, ein mit negativen Auswirkungen verbundener Begriff, sodass das Risikomanagement bei hoher Komplexität und hohen Innovationsgrad zur Vermeidung von Risiken dient. Zum anderen eröffnen Innovationen und hohe Kom- plexität eine Vielzahl von Chancen, wie z. Bsp. kurzzeitige, patentbezogene Monopol- stellung, Absatzvorteile oder Vorsprung durch neue Techniken. Hier gilt es die Risiken bewusst einzugehen, um so maximale Chancen auszuschöpfen. Eine klare Unterschei- dung in der Praxis kann dem Kapitel 5 entnommen werden. In der folgenden Abbil- dung werden die ermittelten Ziele eines technischen Risikomanagements aufgezeigt [Vgl. Zentis, Czech, Prefi, Schmitt, 2011, B].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Ziele bei der Umsetzung des Risikomanagements

Ca. 60% der Befragten sind Großunternehmen, bei 24% handelt es sich um KMU und 16% der Befragten stammen aus der Kategorie Kleinstunternehmen. Der Abbildung kann klar entnommen werden, dass das primäre Ziel des Risikomanagements die fi- nanzielle Sicherheit des Unternehmens ist. Dieses Ziel lässt sich beiden Risikophilo- sophien zuordnen. Ferner sollte es sich über alle Unternehmensgrößen hinweg gleich- mäßig verteilen. Das große Interesse an einer frühzeitigen Fehlervermeidung beruht sicher unter anderen auf der Tatsache, dass die Kosten eines Fehlers insoweit expo- nentiell ansteigen, je später er entdeckt wird (10er-Regel) [Vgl. Müller, 2014]. Der Punkt vermittelt zunächst den Eindruck, dass ein Risikomanagementprozess präventiv zur Fehlervermeidung geführt wird, jedoch resultiert im späteren Verlauf der Studie, dass eine Risikoanalyse meist jedoch nur als Reaktion auf Fehler durchgeführt wird [Vgl. Zentis, Czech, Prefi, Schmitt, 2011, C]. Dies liegt daran, dass Unternehmen unter präventives Risikomanagement oft die Vermeidung von Wiederholfehlern verstehen. Ebenfalls fällt auf, dass die Hälfte aller Unternehmen u. a. auf die Erfüllung von Ge- setzen, Normen und Richtlinien zielen. Diese Rahmenbedingungen sind häufig staat- lich oder zwangsläufig für neue Kunden-Lieferantenbeziehungen. Viele OEMs legen beispielsweise Wert darauf, dass ihre Lieferanten ein angemessenes Risikomanage- ment führen, um dessen Existenz sicher zu wissen und so mit größerer Sicherheit lang- fristig versorgt werden zu können. An die OEMs selbst wiederum wird die Anforde- rung auch größtenteils von ihren Anlegern und Investoren gestellt. Das ist u. a. der Grund dafür, warum im jährlichen Geschäftsbericht auch immer ein Kapitel zum Ri- siko- und Chancenbericht aufgeführt wird. Die Gesetze und Richtlinien entstanden als Reaktion auf häufige Unternehmenskrisen in der Vergangenheit [Vgl. Schitag Ernst & Young, 1998, A]. Sie zielen meist ohnehin auf den für Unternehmen wichtigsten Punkt zur Einführung eines Risikomanagementprozesses, der finanziellen Sicherheit [Vgl. Zentis, Czech, Prefi, Schmitt, 2011, D]. Im Folgenden sollen bis heute gängige Ge- setze, Normen und Richtlinien in Bezug auf Risikomanagement näher gebracht wer- den.

3.1 Vorgaben durch Normen und Richtlinien

Normen und Richtlinien erstellen ein gemeinsames Verständnis komplexer Sachverhalte über alle Unternehmensbranchen und kulturellen Unterschieden. Gerade in global tätigen Unternehmen vereinfachen sie den Handel und das gegenseitige Verständnis der Unternehmensziele.

3.1.1 DIN EN ISO 9001

Als Grundlage für spezifische Anwendungen in der Industrie gehört eine Zertifizie- rung nach DIN EN ISO 9001 wohl zu den notwendigsten in der deutschen Industrie. Die DIN EN ISO 9001 gibt keine Vorgehensweise für ein Risikomanagement vor. Ebenso verlangt die Norm nach keinem eingeführten Risikomanagementprozess. Nichtsdestotrotz kann die Norm als Anreiz für ein einzuführendes Risikomanagement dienen. Sie enthält nämlich klar die Vorgabe, dass das Qualitätsmanagementsystem einer Organisation stets von Faktoren, wie dem Umfeld oder den Zielen, jedoch auch von den damit verbundenen Risiken abhängt [Vgl. DIN EN ISO 9001]. Speziell für kleine und mittelständige Unternehmen lässt sich dieser Punkt dann mit einem stan- dardisierten Prozess zur Risikobehandlung und dessen Bewusstsein für eine mögliche Zertifizierung nachweisen. Die Revision der DIN EN ISO 9001 für das Jahr 2015 teilt dem Risikomanagement eine noch größere Rolle zu [Vgl. TÜV Rheinland Group, 2015].

3.1.2 ISO 31000

Die ISO 31000 ist ein Leitfaden für ein integriertes Risikomanagement, meist in tech- nisch agierenden Unternehmen. Sie beinhaltet einen möglichen Risikomanagement- prozess, der nicht als Vorgabe dient, jedoch häufig als Vorlage für interessierte Unter- nehmen verwendet wird. Die Ausarbeitung beinhaltet obendrein eine große Anzahl an Vorteilen für anwendende Unternehmen, einige sind in der Abb. 2 aufgeführt [Vgl. ISO 31000, B].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Vorteile in der ISO 31000

Sie ist eine Empfehlung, bestehend aus einer Reihe von Grundsätzen für ein wirkungs- volles Risikomanagement. Sie schlägt einen Risikorahmen vor, der von den Unterneh- men einzubinden ist und laufend verbessert werden sollte. Es sticht hervor, dass das Risikomanagement jederzeit auf das gesamte Unternehmen in allen Bereichen und Ebenen, Projekten und Aktivitäten angewendet werden kann [Vgl. ISO 31000, C].

3.1.3 ONR 49000:2014 ff

Die ONR 49000 ff wurde 2014 vom OECD zum „de facto world standard“ erklärt und dient als Umsetzungshilfe der ISO 31000 [Vgl. RiskNet, 2014]. Die Norm ist in 4 Teile gegliedert (s. Abb. 3 [Vgl. ONR 49000 ff.]).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Aufbau der ONR 49000:2014 ff.

In der ONR 49000 werden alle für das Risikomanagement und das Risikomanage- mentsystem benötigten Begriffe (z. Bsp. Risiko, Wahrscheinlichkeit, Risikomanage- ment, …) erläutert und es wird so ein einheitliches Verständnis über relevante Begriff- lichkeiten erzeugt.

Die ONR 49001 stellt dar, wie der Risikomanagementprozess in der ISO 31000 in der Praxis umgesetzt werden kann. Der Teil „Risikomanagementsystem“ ist von der Struktur dem Standard nach ISO Annex SL angepasst und ermöglicht so eine Ver- gleichbarkeit mit anderen Normen. Es besteht u.a. eine Darstellung über die Verant- wortlichkeiten im Risikomanagementsystem, sodass Unternehmen es in ihr eigenes integrieren können.

Die ONR 49002 beantwortet weitgehend alle Fragen zur Umsetzung des Risikomana- gements in komplexen Organisationen. Im ersten Teil wird u.a. auf die Verantwortung der obersten Leitung und auf Querschnittsrisiken eingegangen. Im zweiten Teil lässt sich ein umfassendes Methodenset, kategorisiert nach präventiven und reaktiven Zwe- cken entnehmen. Ebenfalls sind hier Kreativitätstechniken, wie das „world café“ oder die „citizen conference“ erläutert. Im dritten Teil werden Vorgehensweisen zum Kri- sen- und Kontinuitätsmanagement vermittelt und entsprechende Darstellungen zum besseren Verständnis vorgeführt.

Die ONR 49003 schreibt eine Befähigung des Risikomanagers vor, die für eine erfolgreiche Implementierung und Betrieb des Risikomanagements notwendig ist.

3.1.4 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) trat am 01. Mai 1998 als Reaktion der vermehrten Krisen in der Vergangenheit in Kraft. Es gilt als gesetzliche Vorgabe für börsennotierte Aktiengesellschaften in Deutschland, die eine umfassende Auseinandersetzung mit Risiken erfordert. Einzu- führen waren effiziente Überwachungs- und Risikomanagementsysteme, um frühzei- tig den Fortbestand einer Gesellschaft gefährdende Entwicklungen erkennen zu kön- nen [Vgl. Schitag Ernst & Young, 1998]. Die Vorgehensweise muss mindestens in einem jährlichen Bericht gerechtfertigt werden. Von nun an konnten Führungskräfte und Vorstände haftungsrechtlich stärker zur Verantwortung gezogen werden. Eine Minderheit von fünf Prozent der Aktionäre kann von jetzt an den Vorstand und den Aufsichtsrat auf Schadensersatz verklagen. Das Gesetz hinterließ jedoch noch eine Vielzahl offener Fragen, vor allem hinsichtlich der Erfassung offener Risiken. Die Umsetzung in einen systemorientierten Managementprozess einschließlich der Doku- mentation war ungeklärt [Vgl. Krunmow, 2000]. So wurden die Berichtspflichten im Lagebericht vom IDW konkretisiert. Die Wirtschaftsprüfer sind ebenso dafür zustän- dig, zu überprüfen, ob der Vorstand seine Pflichten zur Krisenfrüherkennung erfüllt hat [Vgl. Bergschneider, Karasz, Schumacher, 1999]. Alle Anforderungen des Kon- TraG können mit einem umfassenden Risikomanagementsystem jedoch erfüllt wer- den. Dieser erfolgt hier in fünf Schritten [Vgl. Saitz, Braun, 1999].

I. Vorgaben der Unternehmensleitung:

Die Unternehmensleitung gibt einen sog. Risk Management Framework vor. Er besteht aus den Elementen:

i. Kommunikation Unternehmensziele

Als maßgebliche Vorgabe müssen klar verständliche, mögliche und bestenfalls quantifizierte Ziele kommuniziert werden.

ii. Risikobereitschaft

Die maximale Tragweite von Risiken und Grenzen zur weiteren Behandlung von Risiken, abhängig von ihren Maßen wird hier festgelegt.

iii. Abgrenzung Betrachtungsbereiche

Zuordnung der verantwortlichen Bereiche und Prüfung, ob jene Bereicheüber die notwendigen Kompetenzen verfügen.

iv. Aufgabenverteilung innerhalb des Überwachungssystems

v. Organisatorische Einbindung

vi. Kommunikation und Information

Entsprechende Kommunikation und Information an alle Beteiligten muss sichergestellt sein.

II. Erstellung eines Risikoportfolios

Risiken sind systematisch zu identifizieren zu bewerten. Ebenfalls sind hier Gegenmaßnahmen festzulegen und in einem nicht abzuschließenden Gegenmaßnahmenkatalog kategorisiert zu dokumentieren. Kategorien für Gegenmaßnahmen können beispielsweise aus dem technischen, organisatorischen, vertraglichen oder finanziellen Bereich stammen.

III. Festlegung der Eskalationskriterien und des Berichtwesens

Jede operative Einheit ist für seine Risiken selbst verantwortlich. Wird allerdings eine Größenordnung überschritten übernimmt die nächsthöhere Ebene die Entscheidungsverantwortung. Die Größenordnungen sind anhand des Risikoportfolios fest zu definieren.

Alle bis hierhin erfolgten Erkenntnisse und Arbeiten müssen im jährlichen Risikobericht dokumentiert werden.

IV. Integration des Risikomanagements in die Steuerungsprozesse

Das Risikomanagement und seine Prozesse dienen als Entscheidungsgrundlage für bestehende und neue Projekte. Alle ausgeführten Tätigkeiten können mit dem Risikomanagementprozess gerechtfertigt werden.

V. Risikocontrolling

Das Risikocontrolling macht die aktuelle Risikosituation unternehmens- und konzernweit transparent und bereitet eine Gesamtdarstellung für die Unternehmensleitung vor.

Dieses Risikomanagementsystem ist die Mindestanforderung an ein Risikomanagement börsennotierter deutscher Aktiengesellschaften. Die aufgeführten Punkte sind also immer in die Risikomanagementprozesse zu integrieren.

3.2 Umsetzung in der Industrie

Laut KonTraG sind alle börsennotierten Aktiengesellschaften mit Ausstrahlungswir- kung auf andere Rechtsformen dazu verpflichtet ein Risikofrüherkennungssystem zu führen. In der unternehmerischen Praxis wird die Bedeutung des Risikomanagements allgemein als sehr hoch engeschätzt. Hierbei ist ein klarer Aufwärtstrend zu beobach- ten. So wurden die Risikomanagementsysteme infolge der Wirtschaftskrise 2008 bei rund ein Drittel aller Unternehmen ausgebaut. Jedoch gibt es speziell im Risikoma- nagementprozess seitens der Unternehmen eigene Unzufriedenheit aufgrund der man- gelhaften Umsetzung [Vgl. Zentis, Czech, Prefi, Schmitt, 2011, E]. Hier wird meist nur der erste Schritt, die Risikoidentifikation durchgeführt. Die Ergebnisse des Risi- komanagementprozesses sind aufgrund der fehlenden Standardisierung und Ver- gleichbarkeit in der Bewertung nur unzureichend aussagekräftig und oftmals nicht re- produzierbar. Dies bezieht sich hauptsächlich auf mittelständige oder kleinere Unter- nehmen und ist darauf zu begründen, dass hier beispielsweise die Ressourcen für kom- petente Risikomanager oder Risikomanagementsoftwares fehlen. Der notwendige Zeitaufwand, die Kosten, die fehlende Wirksamkeitsüberprüfung und die ohnehin knappen Ressourcen sind derzeitig zu große Herausforderungen für eine erfolgreiche Risikobehandlung [Vgl. Zentis, Czech, Prefi, Schmitt, 2011, E]. Die bessere Umset- zung besteht somit bei großen Unternehmen, deren Vorgehensweise zur Bewältigung dieser gängigen Herausforderungen umgesetzt wird (s. Kapitel 5). Der Abb. 4 ist zu entnehmen, dass sich die Zuständigkeit für Risikomanagement noch weitgehend beim Vorstand oder in der Geschäftsführung sammelt [Löffler, Bömelburg, Schöffel, Zähres, Beyer, Megerle, Augsten, 2011]. Der Einfluss der Geschäftsführung ist im Risikomanagement unabdingbar. Über laufende Untersuchungen im Risikomanagement wird die Geschäftsführung mit Kennzahlen und aktuellen Zwischenständen im regelmäßigen, meist quartalsweisen Turnus informiert [Vgl. Düren, J., Kudiß, R., Bürger, B., Tilch, T., 2011]. Auffällig gering ist die Zuständigkeit im Qualitätsmanagement. Dem steigenden Interesse des Risikomanagements und der Revision zur DIN EN ISO 9001 folgend, dürfte dieser Anteil in Zukunft jedoch wachsen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Zuständigkeiten im Risikomanagement

Der Einfluss der Geschäftsleitung kann ebenfalls im praktischen Teil der Arbeit nachgewiesen werden.

Von Interesse ist auch, wie ein Risikomanagementprozess im Unternehmen geführt wird. Bestenfalls sollte dies über einen standardisierten Prozess in nachvollziehbarer Weise durchgeführt werden. ISO 31000 stellt dabei ein Beispiel als Leitfaden dar [Vgl. ISO 31000, D]. Werden die Rahmenwerke in der Umsetzung des Risikomanagements in Abb. 5 verglichen, kann festgehalten werden, dass nur 14% aller Unternehmen ein standardisiertes Rahmenwerk abarbeiten [Vgl. Löffler, Hilliegaard, Meyer, Bömel- burg, Schöffel, Zähres, Beyer, 2014]. Im Folgeschluss wird der Risikomanagement- prozess nach ISO 31000 noch nicht im vollen Maße umgesetzt. Die meisten Unterneh- men haben ihren eigenen Risikomanagementprozess konzipiert und ihn an ihren indi- viduellen Anforderungen und Managementsystemen angepasst.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Rahmenwerke des Risikomanagements

4. Der Risikomanagementprozess nach ISO 31000

4.1 Allgemeines

Der Risikomanagementprozess beschreibt aufeinander abgestimmte Tätigkeiten zum Leiten und Lenken einer Organisation bezüglich Risiken. Der Risikomanagementpro- zess wird in der Literatur vielfältig ausgeführt, besteht jedoch immer aus einem Kern- prozess zur Identifikation, Analyse, Bewertung und Bewältigung von Risiken und mehreren Nebenprozessen, wie zum Beispiel der Überwachung dieser Risiken und der ständigen Kommunikation nach außen [Vgl. Scharer, 2002]. Der Risikomanagement- prozess ist ein Teil des Risikomanagementsystems und ist an den Anforderungen des KonTraG gebunden. Genaugenommen beschreibt er den Teil der Umsetzung (=Do) im PDCA-Zyklus [Vgl. Winkler, 2014].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Risikomanagementsystem

4.2 Aufbau des Risikomanagementprozesses nach ISO 31000

Abb. 7 beschreibt den idealtypischen Risikomanagementprozess nach ISO 31000 [Vgl. ISO 31000, D]. Hierbei ist der oben erwähnte Kernprozess, beschrieben durch Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobewältigung, zu erkennen. Neben diesen Kernprozess sind die Nebenprozesse Überwachung und Überprüfung und Kommunikation und Konsultation notwendig.

[...]