Schleupen AG

Effizientes Risikomanagement beginnt in den Köpfen der Mitarbeiter

Swisscom arbeitet im Risikomanagement mit R2C von Schleupen

Für die Swisscom ist Risikomanagement längst mehr als
nur die Erfüllung von Corporate-Governance-Anforderungen
oder die formale Erfüllung von gesetzlichen Vorgaben, wie
etwa KonTraG. Ein proaktives Risikomanagement ist aus
Sicht der Swisscom schlichtweg notwendig. Um am Markt
erfolgreich zu sein, müssen Chancen und Risiken in der
Unternehmenssteuerung zeitnah berücksichtigt und das
Risiko-Chancen-Profil ständig optimiert werden. Nur so
entwickelt sich eine "Risiko-Kultur” über alle
Hierarchiestufen hinweg, über die der Umgang mit Risiken
auch m Alltag verbessert wird. Um das Risikomanagement
auch mit einem Tool effizient zu unterstützen, entschied sich
die Swisscom für das Schleupen-System R2C (Risk
to Chance). Diese Software bringt nicht nur mehr
Transparenz in die Risiken, sondern unterstützt das
Risikomanagement auf allen Stufen.

Unternehmensrisiken identifizieren, bewerten,
Strategien festlegen und umsetzen, um die
Risiken steuern zu können, das sind die
klassischen Elemente des
Risikomanagements, wie sie auch bei
Swisscom realisiert wurden. Ziel ist es, auf
der einen Seite über ein ständig abrufbares
und aktuelles Risikoprofil problematische
Entwicklungen frühzeitig zu erkennen und
damit rechtzeitig gegensteuern zu können. Auf
der anderen Seite – und das ist noch
wichtiger – sollen Risiken wo immer möglich
durch geeignete Maßnahmen gemindert oder
sogar ganz ausgeschaltet werden,
beispielsweise durch den Abschluss von
Versicherungen oder durch Verlagerung nach
außen, etwa Outsourcing einzelner Aufgaben
an Dritte. In einem ständigen Prozess soll so
die Risikostruktur des Unternehmens
insgesamt optimiert werden.
Bei Swisscom startete man diesen Prozess
Anfang 2001. Nicht gezwungenermaßen
durch Vorgaben des Gesetzgebers, wie das
etwa bei deutschen Unternehmen durch
KonTraG der Fall ist, sondern weil man vor
allem die Chancen erkannte, die in einem
durchgängigen Risikomanagement liegen.
Deswegen stand zunächst auch die
organisatorische Umsetzung dieses Themas
im Vordergrund – und damit die Schaffung
eines Risikobewusstseins in der gesamten
Swisscom-Gruppe.

Risiken identifizieren

Um sämtliche relevanten Risiken in einem
Konzern wie der Swisscom identifizieren zu
können, mussten erst einmal die
Voraussetzungen dafür geschaffen werden.
Bei Swisscom ist das Risikomanagement
Chefsache, und der Bereich "Risk
Management" ist organisatorisch einem
Gruppenleitungsmitglied unterstellt. Zudem
besteht ein direkter Zugang zum
Verwaltungsrat. Im Headquarter in Bern
laufen sämtliche Fäden zusammen, werden
die Informationen verdichtet und die Prozesse
gesteuert. Identifiziert und bewertet werden
die Risiken dagegen dezentral. Dafür wurde
eine entsprechende Struktur geschaffen, mit
einer flachen Hierarchie, um die
Informationsflüsse effizient gestalten zu
können. So genannte "Risk Champions" sind
für das Risikomanagement in den
Gruppengesellschaften oder Headquarter-
Bereichen verantwortlich. Die so genannten
"Risk Owner" sind Mitarbeiter (meist aus der
Führungsetage), die jeweils für ein
bestimmtes Risiko in dieser Gesellschaft
verantwortlich sind. Das heißt, sie erfassen
und bewerten das Risiko und schlagen
Maßnahmen vor, wie dieses Risiko gemindert
oder ausgeschaltet werden kann. Damit sich
die Beteiligten austauschen und das
Risikomanagement gemeinsam
weiterentwickeln können, wurde zudem ein
"Risk Committee" institutionalisiert, bei dem
sich das zentrale Risk Management und die
Risk Champions quartalsweise treffen.

Vom Risikoatlas zum individuellen
Risikoprofil

Erarbeitet wurde zunächst
telekommunikationsspezifisches
Risikoinventar in Form eines Risikoatlas, der
aus 45 generischen Risiken, eingeteilt in 4
Risiko-Kategorien besteht. Mit Hilfe dieser
Risikolandkarte werden die
unternehmensspezifischen Risiken
identifiziert und einzeln bewertet, entweder
quantitativ nach Eintrittswahrscheinlichkeit
und Auswirkung (EBIT-Auswirkung in der
Zeitspannne von drei Jahren, in CHF) oder
qualitativ. Die Risiken werden danach in einer
Risk Map dargestellt. Nach dieser Bewertung
müssen dann Strategien und Maßnahmen
entwickelt werden, um die Risiken zu
minimieren. Der Erfolg dieser Maßnahmen
muss ständig kontrolliert werden. Denn
Risikomanagement ist ein ständiger Prozess,
der nur vorangetrieben werden kann, wenn
der Erfolg auch kontrolliert wird. Dass hier
althergebrachte Methoden auf Basis von Excel
oder MS Access an ihre Grenzen stoßen,
versteht sich fast von selbst. Denn zum einen
müssen die Informationen dezentral erfasst
und von unten nach oben verdichtet werden,
so dass die Gruppenleitung und der
Verwaltungsrat jederzeit und schnell einen
Überblick über die gesamte Risiko-
Entwicklung sowohl über die gesamte
Gruppe als auch für die einzelnen
Tochtergesellschaften erhält. Ein absolutes
Muss ist auch ein Berechtigungskonzept,
welches garantiert, dass die im Tool
erfassten Mandanten nicht gegenseitig Zugriff
auf die Daten der anderen Mandanten haben.

Das Risikomanagement leben, nicht
automatisieren

Neben Sicherheitsaspekten spielt aber auch
die Akzeptanz eines Softwaresystems eine
wichtige Rolle. Deswegen wurden die Risk
Champions anlässlich des Risk Committees
in die Evaluation des Systems einbezogen.
Denn es galt eine Lösung zu wählen, die die
Mitarbeiter in allen Bereichen unterstützt und
nicht "beherrscht”, vom Risk Owner bis hinauf
zum CEO. "Es macht keinen Sinn, im
Risikomanagement auf komplexe Data
Warehouses aufzusetzen und zu versuchen,
möglichst viele Prozesse über definierte
Grenzwerte zu automatisieren. Denn erstens
sind viele Risiken allenfalls qualitativ
beschreibbar oder gar nicht über die internen
ERP-Lösungen erfasst, und zweitens muss
das Risikomanagement ‚gelebt’ werden. Das
bedeutet aber auch: man darf die
Verantwortung nicht an technische Systeme
delegieren", so Albert-Thomas Flammer zu
den Grundanforderungen an die neue
Lösung. Eine Philosophie, die R2C von
Schleupen durchgängig unterstützt. Denn
R2C ist als Werkzeug konzipiert, das von der
Erfassung über die Bewertung der Risiken
bis hin zum Reporting sämtliche
Arbeitsschritte des Risikomanagements
unterstützt, und dabei dennoch leicht und
schnell einzuführen ist. In nur sechs Monaten
konnten sämtliche Informationen und
Strukturen im System hinterlegt und
zusätzliche, von Swisscom benötigte
Funktionalitäten eingerichtet werden, bevor
man Ende 2001 in den Echtbetrieb ging. Der
Schulungsaufwand für die Mitarbeiter war
dabei minimal. Nach einer nur halbtägigen
Schulung waren die Mitarbeiter in der Lage,
mit dem System umzugehen.

Schrittweise wird das Risikomanagement
nun bei Swisscom ausgebaut und optimiert.
Und: es wird auch auf neue Bereiche
ausgedehnt. "Gerade im Projektmanagement
ist die ‚Risk Awareness’ heute in der Regel
noch nicht optimal ausgeprägt. Dabei steckt
gerade im Projektbereich ein großes
Potenzial für Effizienzsteigerungen durch
Minimierung von Risiken. So wurde nach dem
Business-Risiko-Atlas jetzt auch ein Projekt-
Risiko-Atlas entwickelt, mit dem die
unterschiedlichsten Projekte abgedeckt
werden können, mit einer kompletten
Risikostruktur und vordefinierten
Einzelrisiken. "Die Swisscom ist auf dem
Weg, eine echte ‚Risiko-Kultur’ zu entwickeln.
Ein Prozess, der sich sicherlich noch über
einige Jahre hinzieht, der aber entscheidend
zum Erfolg der ganzen Gruppe beitragen
kann", so Martin Vögeli, Head of Risk
Management bei Swisscom. Ganz wichtig für
ihn: diese Kultur muss das ganze
Unternehmen durchdringen

Autor:Uwe Pagel

Weitere Informationen:

Schleupen AG – Martina Nawrocki

Tel.: +49 5031 963 330 – Fax: +49 5031 963
295

vertrieb@schleupen.de - www.schleupen.de