«Wir brauchen kein Risikomanagement» denn «wir kennen unsere Risiken selbst am besten». Aber irgendwie macht man es dann doch, und entscheidet «aus dem Bauch heraus» oder argumentiert mit, «diese Chance können wir uns einfach nicht entgehen lassen».
Im folgenden Artikel werden einfache, aber grundlegende Fragen gestellt, die man zuerst beantworten sollte, um entscheiden zu können, ob man ein systematisches Risikomanagement in seinem Unternehmen nutzen sollte. Hierbei geht es um die Bedarfsabklärung und dem Aufzeigen von Vorurteilen. Auf ein mögliches, einfaches Risikomanagement-Model für KMU wird in einem späteren Artikel eingegangen. Sind wir zu klein für ein Risiko-Management? Das Gesamtrisiko eines Unternehmens hängt nicht mit dessen realen Grösse, wie Anzahl der Mitarbeiter oder Umsatzzahlen, zusammen. Ausschlaggebend ist die Summe der Einzelrisiken, denen es durch seine Aktivitäten und in seinem individuellen Umfeld ausgesetzt ist. Beispiele sind Reinigung und Revision von Tanks mit wenigen Personen. Ein Malergeschäft, das aus der Garage in eine neue Lokalität mit einem grösseren Lager umzieht. Eine Garage, die Oldtimer restauriert und die Gefahren kennen möchte, die von seinen Nachbarn ausgehen. Besprechen wir unsere Risiken mit dem Treuhänder? In der Regel arbeiten Kleinunternehmer mit externen Treuhändern und Grössere mit Revisionsfirmen zusammen. In diesem Kreis werden aktuelle Finanzrisiken und gegebenenfalls auch strategische Risiken besprochen. Die zentrale Frage ist, wenn wir uns bei den Finanzen absichern, wieso dann nicht für unsere Hauptgeschäftstätigkeit? Falls man betriebliche, operationelle und technische Risiken mit einem «Finanzer» bespricht, sollte man folgendes bedenken. Dessen Grundausbildung ist häufig Kaufmann mit diversen Weiterbildungen, bestenfalls Betriebswirt. Oft fehlen Finanzberatern die praktische Erfahrung in technischen Belangen. Diese ist aber unbedingt notwendig um «nicht-finanz» Risiken angemessen identifizieren und bewerten zu können. Auch zu überdenken ist, wenn man unbesehen Risikomanagement-Tools anwendet, wie sie von bekannten Revisionsfirmen oder Banken angeboten werden. Diese Tools stützen sich generell auf Methoden und Berechnungen, die auf den Schutz der Investoren ausgelegt sind. Ereignisse zeigen, dass diese erst spät reagieren und wenn, dann werden Kredite zurückgefordert bevor man sich wieder erholen kann. Man sollte auch die Risiken im Zusammenhang mit der Hauptgeschäftstätigkeit, insbesonders im «nicht-finanz» Bereich, mit einem kompetenten Spezialisten besprechen. Ziehen wir externe Berater für Fragen zu Recht, IT oder Qualität bei? Wenn intern das Know-how oder die Zeit fehlt, werden Spezialisten zum Beispiel für Gesetzes-Konformität, Daten-Security, Anlagen-Validierung, oder Audits beigezogen. Und für Fragen zu unternehmensrelevanten, betrieblichen Risiken? Ein General-Manager entscheidet aufgrund seiner integralen Übersicht. Bei Risiken löst man aber Einzelprobleme mit Spezialisten. Das führt häufig zu ineffizienten Insel-, resp. Silo-Lösungen. Einzelprobleme werden oft erst angegangen, wenn man von aussen dazu gedrängt wird, oder schon ein Schaden oder Beinahe-Ereignis aufgetreten ist. Es braucht auch für Risiken einen fachkompetenten Generalisten. Nur wer den Überblick hat, weiss welches die grössten Risiken für sein Unternehmen sind und kann sie so effektiv angehen. Ist nicht der Sicherheitsbeauftragte für betriebliche Risiken zuständig? Der SIBE, auch Sicherheitskoordinator oder auch ein Projektmanager ist nur für einen spezifischen Teil der Risken zuständig, z.B. Arbeitssicherheit oder projektspezifische, technische Risiken. Das mögen durchaus kompetente Fachkräfte sein, aber sie verfolgen in erster Linie die Ziele ihrer Hauptaufgaben und es fehlt ihnen die Gesamtübersicht. Somit werden Zusammenhänge und Effekte auf andere Unternehmensbereiche nicht erkannt. Mehrere Gerichtsurteile belegen zudem, dass das Delegieren dieser Verantwortung nicht möglich ist! Steht das nicht schon alles im Risikobericht der Versicherung? Ja und nein, die Versicherung deckt nur jene Risiken ab, für die man auch versichert ist. In der Regel sind das Sachgüter (Feuer, Wasser, Diebstahl), Haftpflicht und gegebenenfalls Maschinenbruch und Betriebsunterbruch. Beachten sie dabei auch, dass dieser Bericht in erster Linie zur Festlegung der Prämie dient. Gerade kleinere Unternehmen fallen oft einfach in die Branchenklassierung. Bei grösseren Unternehmen wird hingegen häufig auf den Standort mit dem Hauptrisiko fokussiert. Bedenken sie zudem, dass die Versicherungen ihre eigenen Risiken mit Maximalsummen und Einschränkungen in der Police stark beschränken. Auch wenn sie mit einem Broker zusammen arbeiten gilt die Formel, das primäre Ziel ist seine Provision. Was nützen uns die Inspektionen der Behörden? Oder auch, wir haben ja eine Arbeitsbewilligung, dort wurde doch alles überprüft. Eine Arbeitsbewilligung ist nur gültig, wenn sich in der Vergangenheit nichts Wesentliches verändert hat und Inspektionen von Arbeitsamt, SUVA oder Feuerversicherung sind stark auf ihre Fachkompetenzen angereichert. Es geht hier im Wesentlichen um das Erkennen und Eliminieren bestehender Missstände. Werden Punkte beanstandet oder Massnahmen verordnet, ist dieser Umstand schon eingetreten und man ist gezwungen diese Änderungen umzusetzen. Reicht eine SWOT-Analyse vor einer Strategiesitzung nicht aus? Die Stärken-Schwächen-Chancen-Bedrohungs-Analyse ist in der Tat eine einfache Methode, um eine schnelle Übersicht einer Situation zu erhalten. Sie hängt allerdings stark vom Moderator und den Teammitgliedern ab. Erfahrungsgemäss setzt sich dabei der «Stärkste» mit seiner Meinung durch. Auch werden damit vernetzte Risiken und Quereinflüsse zu wenig berücksichtigt. Die SWOT-Analysenmethode ist kein Risikomanagement. Die Kontrolle und Reduktion der Gefahren und damit der Risiken, um die strategischen Ziele zu erreichen wird dabei vernachlässigt. Wird nicht für jedes neue Produkt eine FMEA durchgeführt? Eine Fehlermöglichkeits- und -Einfluss-Analyse oder ähnliche Methoden zur Risikoidentifikation (u.a. HAZOP, Bow-tie) werden häufig in der Entwicklung neuer Produkte, bei der Einführung neuer Prozesse und Anlagen oder auch grösseren Änderungen durchgeführt. Für was sie eingesetzt werden und deren Ablauf ist in der Regel normativ festgelegt. Diese Risikoanalysen werden durch das entsprechende Projektteam und manchmal von Vertretern der Qualität durchgeführt. Zudem werden diese in einem klar definierten Rahmen angewendet und sind auf festgelegte Schutzziele fokussiert, z.B. erforderliche Qualität, Zertifizierung, Ausfall vermeiden, etc. Es sind Risikoanalysen und damit nur ein, wenn auch wichtiger, Teil des Risikomanagements. Was nützen die Checklisten, die wir verwenden? Checklisten werden häufig von Branchenverbänden, von «vergleichbaren» Firmen oder von Versicherungen übernommen. Grundsätzlich handelt es sich dabei um eine Auflistung von möglichen Gefährdungen. Dabei wird die individuelle Situation ausser Acht gelassen. Diese Gefahrenlisten dienen nur als Hilfsmittel zur Identifizierung von relevanten Risiken im Rahmen einer individuellen Risikoanalyse. Checklisten werden auch zur Sicherstellung eines systematischen Abarbeitens von Kontrollen und Massnahmen im Fall eines Ereignisses genutzt. Diese beruhen üblicherweise auf einer vorausgegangenen, ausführlichen Risikoanalyse. Allgemein bekannt sind sie aus der Aviatik. Aber auch hier gilt, ein Jumbo ist keine Piper. Und trotzdem stürzen doch immer wieder Flugzeuge ab. Eine Checkliste unterstützt eine Risikoanalyse und ist nur ein Puzzleteil eines Risikomanagements. Deckt unser Betriebsunterbruchs-Plan den operativen Bereich bereits ab? Ein Betriebsunterbruchs-Plan oder auch Business Continuity Plan (BCP) ist ein Dokument, welches die Existenz eines lokalen Business Continuity Management nachweist. Er soll aufzeigen, wie die Firma im Fall eines Ereignisses organisiert ist und welche Massnahmen vorgesehen sind, um die Liefersicherheit auch dann weitestgehend gewährleisten zu können und ist standortgebunden. Falls sie noch keinen BCP haben, empfiehlt es sich einen zu erarbeiten. Es gilt aber, ein isolierter Business Continuity Plan ist nur die halbe Miete. Es ist wesentlich effizienter, wenn er Teil eines integralen Risikomanagements ist, weil man so die Synergien von Risikomanagement, Betriebsunterbrechung und Liefersicherheit nutzen kann. Auf dieses Thema wird in einem späteren Artikel ausführlicher eingegangen. Reicht denn das Risikomanagement, wie es in der Qualitätsnorm geregelt ist nicht? Tatsächlich hat der Qualitätsstandard ISO 9001-2015 im Kapitel 6.1 «Risiken und Chancen» einen Abschnitt, der einen «risikobasierten Ansatz» der Qualität zulässt. Das heisst, Massnahmen zur Qualitätssicherung können neu risikoabhängig umgesetzt werden. In der Erläuterung steht, «Unternehmen, die bereits ein Risikomanagement etabliert haben, können dieses um Qualitätsmanagement-Aspekte erweitern. Kleinere Unternehmen müssen solche umfangreichen Instrumente aber nicht einführen. Wichtig ist allerdings, die Risiken und Chancen auf strategischer, wie auf operativer Ebene zu klären und entsprechende Massnahmen einzuführen.» Entweder man hat ein Risikomanagement oder macht es nur für die Qualität. Da der Qualitätsbereich bekanntlich sehr weit gefasst ist, hat man aber nahezu denselben Aufwand und erhält dafür nur einen Teil des Nutzens. Von einem Alleingang durch den Qualitätsmanager wird daher abgeraten. Wäre das nicht nur ein weiterer Prozess und damit ein grosser Mehraufwand? Es gibt zwar einige Standards für Risikomanagement (ISO 31000, ERMCOSO, usw.). Insbesonders der ISO-Standard unterliegt aber keiner Zertifizierungspflicht. Er kann als Leitfaden herangezogen werden und ist flexibel auf individuelle Situationen anwendbar. Der Prozess ist dabei lediglich ein Vehikel, um systematisch ans Ziel zu gelangen. Einzelne Aufgaben des Risikomanagements lassen sich oft in bereits bestehende Prozesse, wie IKS, Qualität, Arbeits- und Gesundheitsschutz oder dem internen Audit integrieren. Wesentlich zentraler sind folgende vier Kriterien: Firmeninterne Risikokultur, Integration von Risikoüberlegungen in die Entscheidungsfindung, Zugang und Kommunikation der Risikoinformationen und kontinuierliche Verbesserung, insbesonders unter dem Blickwinkel eines angestrebten Wachstums. Warum sollte ein Risikomanagement von Nutzen sein? Jeder wägt Risiken ab, auch privat. Aber jeder macht es individuell unterschiedlich. Gefahrenerkennung, Risikowahrnehmung, Umgang mit und Akzeptanz von Risiken sind stark persönlichkeitsabhängig. Wollen sie das in ihrem Unternehmen? Sinn eines Risikomanagements ist es unter anderem diese Punkte durch ein geregeltes Vorgehen und angemessene Vorgaben über ein Unternehmen hinweg weitestgehend zu vereinheitlichen. Mit einem individuell angemessenen Risikomanagement werden Entscheide qualitativ besser, womit sich ein Unternehmen langfristig von der Konkurrenz abheben kann. Je früher man damit anfängt, desto besser. TeRiskCo Gitzi · Andreas Gitzi Berater für betriebliches Risikomanagement Dorneckstrasse 10 · 4421 St. Pantaleon Telefon 076 569 37 38 info@teriskco.ch · www.teriskco.ch
0 Comments
Leave a Reply. |
ArchivKategorien
Alle
|
Partnerwebsites:
|
kmuverband - netzwerk-ag - netzwerk-appenzell - netzwerk-basel - netzwerk-bern - netzwerk-freiburg - netzwerk-glarus - netzwerk-gr - netzwerk-luzern - netzwerk-nidwalden - netzwerk-obwalden - netzwerk-schaffhausen - netzwerk-schwyz - netzwerk-solothurn - netzwerk-stgallen - netzwerk-thurgau - netzwerk-uri - netzwerk-verlag - netzwerk-wallis - netzwerk-zuerich - netzwerk-zug - netzwerk-liechtenstein
|