Wir begegnen immer häufiger Personen, die sich als "Risikomanager" bezeichnen. Sie nehmen vielfältige Aufgaben wahr. Diese können in Richtung Finanzen, Controlling, Produktentwicklung, Qualitätsmanagement oder etwa Organisations- und Unternehmensentwicklung ausgeprägt sein. Obwohl es sich beim "Risikomanager" nicht um einen offiziell anerkannten Beruf handelt, trägt die Funktion wesentlich zur Wertschöpfung in Unternehmen und Organisationen bei. Risikomanager zu sein ist eine grosse Herausforderung.
Die Aufgaben des Risikomanagers erstreckt sich auf ganz unterschiedliche Risikobereiche wie Sach- und Vermögenswerte, Mitarbeiter, Produkte, Finanzen oder Unternehmens-Risikomanagement im weitesten Sinne usw. Sie haben einen gemeinsamen Nenner: der Prozess Risikomanagement kommt überall zum Einsatz. Die Beherrschung dieses Prozesses ist die Schlüsselfähigkeit, die ein Risikomanager braucht. Der Risikomanager kann in prozessorientierten Organisationen auch als der Eigner des Prozesses Risikomanagement bezeichnet werden.
In grösseren Organisationen kommt dem Risikomanager noch eine zweite Aufgabe zu: Risikomanagement muss sich mit den Kernaufgaben des Unternehmens vernetzen und in den gegebenen organisatorischen Rahmen passen. Dieser organisatorische Rahmen kann ein standardisiertes Management-System wie beispielsweise ISO 9001 sein oder ein individuelles, das den spezifischen Bedürfnissen der Organisation angemessen ist. Demnach besteht die zweite Schlüsselfähigkeit des Risikomanagers in der Einbettung des Risikomanagements in das Managementsystem.
Der Risikomanager als "Superman"
Der Risikomanager kann nicht im luftleeren Raum stehen. Er wird einerseits von einer Führungskraft in der Rolle des "Beauftragten der obersten Leitung für Risikomanagement" unterstützt. Andererseits arbeitet der Risikomanager stets in enger Verbindung mit dem "Risikoeigner". Diese ist Eigner eines Kernprozesses. Er ist ein Linienmanager, der durch seine Entscheidungen die Risiken (positive oder negativ) beeinflussen kann.
Der Risikomanager ist demnach eine Fachperson, die mit dem "Werkzeugkasten" des Risikomanagements vielseitig, interdisziplinär, funktionsübergreifend, kommunikativ, analytisch und vernetzt arbeiten kann. Kurz: Ein "Superman", der theoretisch alle guten fachlichen und führungsspezifischen Fähigkeiten, die man sich wünschen kann, in sich vereinigt. In der Praxis: der Risikomanager ist ein Mensch, der selbst nicht alles kann, aber vom Risikoeigner akzeptiert und respektiert ist.
Nicht nur Unterstützung, sondern Zweit-Meinung
Die nachfolgende Beschreibung der Funktion des Risikomanager stammt aus der ONR 49001 bzw. der ONR 49003, die "Anforderungen an die Qualifikation des Risikomanagers" umfassend beschreibt.
Der Risikomanager stellt sicher, dass …
- Ziel und Zweck des Risikomanagements von der obersten Leitung und von den Führungskräften als Risikoeigner verstanden werden,
- der Risikomanagement-Prozess in der Organisation eingeführt wird,
- die eingesetzten Methoden für die Risikobeurteilung geeignet sind,
- Risikobeurteilungen einem anerkannten, minimalen Standard entsprechen,
- die Maßnahmen aus Risikobeurteilungen umgesetzt werden,
- die Elemente des Notfall-, Krisen- und Kontinuitätsmanagements eingeführt und erprobt sind,
- über die Umsetzung und Wirksamkeit des Risikomanagement-Prozesses an den Beauftragten der obersten Leitung berichtet wird,
- die Schnittstellen zu anderen Führungsinstrumenten und Prozessen situationsgerecht eingerichtet werden,
- dass die Elemente des Risikomanagement-Systems im Auftrag der obersten Leitung zweckmäßig gestaltet, umgesetzt und gepflegt werden.
Wenn der Risikomanager als eine Fachperson bezeichnet wird, hat diese in erster Linie die Aufgabe, die Risikoeigner bei der Identifikation, Analyse, Bewertung und Bewältigung der Risiken zu unterstützen. Damit kommt der Zusammenarbeit zwischen Risikoeigner und Risikomanager eine besondere Bedeutung zu.
Die Anforderungen an den Risikomanager gehen über die Unterstützungsfunktion hinaus. Er muss in der Lage sein, zu wichtigen Management-Entscheidungen eine Zweit-Meinung aus der Perspektive der Chancen und Risiken zu bilden und gegenüber dem Risikoeigner zu vertreten. Die Erwartung besteht schliesslich darin, dass der Risikomanager dem Risikoeigner zusätzliche Perspektiven aufzeigen kann.
Der Risikomanager muss das Geschäft verstehen
Ein Risikoeigner wird den Risikomanager nur akzeptieren, wenn letzterer auch die Geschäftsvorfälle versteht. Die einfache, aber entscheidende Frage lautet: Wieviel muss der Risikomanager vom Geschäft bzw. von den Risiken verstehen? Die Antwort ist einfach: sehr viel, aber nicht alles.
Ein erfolgreicher Risikomanager kennt nicht nur den Prozess des Risikomanagements, die dabei eingesetzten Werkzeuge und Methoden und allenfalls das Managementsystem seiner Organisation. Er muss in einem oder mehreren Geschäftsfeldern, wo Risikomanagement angewendet werden soll, ausgewiesene Kompetenz besitzen, um vom Risikoeigner akzeptiert zu werden.
Nachfolgend einige Beispiele:
- Ein Produkt-Risikomanager hat vorzugsweise Erfahrung in der Produktentwicklung oder im Produktmanagement.
- Ein Risikomanager für Grossprojekte muss beispielsweise das Vertragswesen und die Finanzierung von Grossprojekten im Detail kennen.
- Ein Risikomanager mit Einsatz im internen Kontrollsystem muss die Grundsätze der Rechnungslegung und Bewertung von Geschäftsvorfällen kennen.
- Ein "klinischer Risikomanager" muss Abläufe und Vorgänge in einer Klinik kennen.
- Ein Business-Risikomanager muss das Geschäft sowie die Entwicklung und Umsetzung von Geschäftsstrategien kennen.
Je länger und je erfahrener ein Risikomanager in einer Organisation ist, desto mehr wird er in der Lage sein, sich selbst verschiedene solcher Kompetenzen anzueignen, sich in den relevanten Risikofragen ein eigenes Urteil zu bilden und dieses gegenüber dem Risikoeigner und der obersten Leitung zu vertreten.
Muss der Risikomanager unabhängig sein?
Die Rolle des Risikomanagers ist nicht die einer unabhängigen Kontrollinstanz, wie es Rechnungsrevisoren bzw. die Finanzkontrolle ist. Der Risikomanager gehört eng in die Organisation und in die Entscheidungsprozesse integriert. Gleichwohl zeichnet er sich durch eine gewisse Unabhängigkeit von den Risikoeignern aus. Er sollte auch nicht diesen unterstellt sein, sondern eine fachliche Position einnehmen, die das "Vier-Augen-Prinzip" zum Tragen bringt.
Die Unabhängigkeit des Risikomanagers ergibt sich auch dadurch, dass er einen direkten Zugang zur Geschäftsleitung bzw. zum Beauftragten der obersten Leitung für Risikomanagement haben muss und dieser eine Zweitmeinung zu liefern in der Lage ist.
In der Praxis ist das Risikomanagement direkt der obersten Leitung unterstellt ist oder zumindest einer "neutralen" Position in der obersten Leitung, beispielsweise dem Finanzvorstand. Die oberste Leitung nutzt das Risikomanagement zur eigenen Meinungsbildung, um so zu ausgewogenen Entscheidungen zu gelangen.
Der Risikomanager ist eine Persönlichkeit, deren Erfahrung und Kompetenz in Sachen Risiko gefragt sind. In einer Organisation mit offener Risikokultur schätzen die Risikoeigner diese Fähigkeiten und nutzen sie auch immer mehr. So findet der Risikomanager Akzeptanz und Wertschätzung beim Risikoeigner, was die Grundlage für eine wirksame Zusammenarbeit darstellt.
Berufsbilder des Risikomanagers
Es gibt kein homogenes Berufsbild für den Risikomanager. Dieses hängt stark von der Grösse der Organisation, vom vorhandenen Managementsystem sowie von der geforderten Spezialisierung in einzelnen Risikofeldern ab. Dabei stehen vor allem folgende Möglichkeiten im Vordergrund:
> In kleineren Unternehmen gibt es in der Regel keine vollamtliche Stelle eines Risikomanagers. Die Funktion kann mit dem Qualitätsmanagements zusammengefasst werden. Aufgabe dies Risiko- und Qualitätsmanagers ist es dann, das Risikomanagement im Managementsystem zu hinterlegen und die Risikoeigner mit den Werkzeugen des Risikomanagements zu unterstützen.
> Eine weitere Gestaltungsmöglichkeit liegt in der Zusammenführung des Chancen- und Risikomanagements mit der Unternehmensentwicklung. Gerade KMUs könnten durch die originelle Bündelung der Aufgaben aus dem Risikomanagement besonderen Nutzen ziehen.
> Eher weniger sind Lösungen anzutreffen, wo sich der Risikomanager mit einem (wichtigen) Teilaspekt befasst und von jener Spezialaufgabe her sich zum Chancen- und Risikomanager entwickelt. Es gibt nur sehr wenige Fälle, wo sich beispielsweise der Produkt-Risikomanager oder der "Risk and Insurance Manager" sich zum "Enterprise Risk Manager" entwickelt. Auch Spezialisten mit den Aufgaben in den Bereichen der Unternehmenssicherheit (safety, security, fraud) befassen sich in der Regel nicht mit den Geschäftsrisiken.
> In grösseren Unternehmen finden wir heute auf der oberen Führungsebene mehr und mehr eine oder gar mehrere Stellen mit dem Auftrag "Risikomanagement". In der Industrie ist die Bezeichnungen "Head of Corporate Risk Management" häufig anzutreffen, in der Finanzindustrie hingegen ist der "Chief Risk Officer" (CRO) verbreitet. Auch die Bezeichnung des "Beauftragten der obersten Leitung für das Risikomanagement" ist zu finden und wird in einem erweiterten Sinn verstanden als Leiter Risikomanagement verstanden.
> In kleineren Unternehmen ist auch der Risikomanagement-Berater als externer Fachspezialist anzutreffen. Er kann in kleineren Unternehmen durchaus die vollwertige Funktion des Risikomanagers wahrnehmen und zusammen mit den Risikoeignern die Instrumente des Risikomanagements sowie die Risikoüberwachung und Risikoprüfung wahrnehmen.
Herausforderungen des Risikomanagers
Es werden heute immer mehr Fach- und Führungskräfte im Risikomanagement ausgebildet, um in der Lage zu sein, die Funktion des Chancen- und Risikomanagements in Unternehmen und Organisationen wahrzunehmen. Dabei stellen sich mehrere Herausforderungen:
- Der Risikomanager muss fachlich anspruchsvolles Methoden und Werkzeuge beherrschen, die er einsetzen kann. Das Methodenset kann qualitativen und quantitativen Charakter haben. Dabei ist wichtig zu wissen, dass Risikomanagement keine exakte Wissenschaft ist, sondern das Verständnis der Risiken und ihrer Komplexität im Vordergrund steht.
- Der Risikomanager arbeitet immer interdisziplinär. Seine Gesprächspartner haben verschiedene Herkunft und Ausbildung: Ingenieure, Finanzspezialisten, Marketing-Fachleute, Juristen oder Betriebswirte, bei speziellen Branchen wie beispielsweise dem Gesundheitswesen auch Ärzte und Pflegende.
- Risikokommunikation und Risikokultur innerhalb einer Organisation sind Lebensgrundlagen des Risikomanagements. Diese bedingt, dass der Risikomanager intensiv mit den Risikoeignern kommuniziert, wenn er Chancen und Risiken identifiziert, aufzeigt und daraus die Konsequenzen ableitet.
- Der Risikomanager soll schliesslich ein neutraler Gesprächspartner der obersten Leitung sein (Geschäftsführung, Aufsichtsrat bzw. Verwaltungsrat). Aus deren Sicht sind die Entwicklung und Umsetzung von Strategien und die Analyse der damit verbundenen Chancen und Risiken die wichtigsten Informationsquellen für die Führungsaufgabe. Hier zur richtigen Zeit die richtigen Inputs zur Unternehmensentwicklung zu geben ist die wirkliche Herausforderung des Risikomanagers.
Autor:
Dr. Bruno Brühwiler ist Geschäftsführer der Euro Risk Limited, Zürich/Schweiz sowie Experte in der ISO TMB Working Group Risk Management und Projektleiter ONR 49000 Serie.
[Bildquelle oben: Imagestate]
Kommentare zu diesem Beitrag
http://www.tuv.com/de/vorgehensweise_bei_einer_zertifizierung_nach_onr_49000_ff.html
1. Voraudit (optional)
Die Auditoren führen eine Vorbeurteilung durch. Sie stellen dabei fest, ob und welche Anforderungen der Norm in Ihrem Unternehmen bereits umgesetzt sind.
2. Dokumentationsprüfung
Das Auditteam prüft, inwieweit die Dokumentation Ihres Risikomanagements bereits der ONR 49000 entspricht.
3. Zertifizierungsaudit
Sie demonstrieren die praktische Anwendung Ihres Risikomanagements. Unsere Auditoren prüfen die Wirksamkeit.
4. Zertifikatserteilung
Sind alle Kriterien erfüllt, erhält Ihr Unternehmen das Zertifikat. Es bescheinigt die Normenkonformität gemäß ONR 49000.
5. Überwachungsaudits
Unsere jährlichen Überwachungsaudits unterstützen Sie bei der kontinuierlichen Optimierung der Prozesse.
6. Re-Zertifizierung
Mit der Re-Zertifizierung nach drei Jahren setzen Sie Ihren kontinuierlichen Verbesserungsprozess dauerhaft fort. Ihren Partnern und Kunden dokumentieren Sie nachhaltig Ihr wirksames Risikomanagement.
Leider wird auch eine ISO31000 und auch die ONR diese Situation nicht verbessern (tendenziell eher verschlechtern, da es die Häkchenmachermentalität weiter verstärken wird) ...
Risikomgmt. ist keine Fachdisziplin sondern eine Aufgabe, die von der Projekltg. kontinuierlich angestoßen und überwacht werden muß. Unabdingbar dazu gehört der Vertrags- und Claimmgr., der seinerseits darauf achtet, daß die Aktenlage transparent, vollständig, richtig und zeitnah erstellt wird. Aktenlage heißt, alle Defizite, Änderungen, Mehrungen, etc., die entsprechenden Anspruchsgrundlagen (aus Verträgen) und der relevante Schriftverkehr.
Aus der Risikoanalyse (Workshop mit (nahezu) allen Fakultäten) entstehen entspr. Vorgehensweisen.
Risikomgmt. beginnt bei der Angebotserstellung; dortige Unschärfen (Euphemismus) im Liefer- und Leistungsumfang und/oder den Vertragsbedingungen können im Auftragsfall nur mehr als das Risiko minimierend (kontinuierlicher Kuhhandel) aber nicht nicht mehr als vermeidend behandelt werden.
Also, bei uns ist das einer der Excel-Tabellen knödelt und das wars dann ... Oke, also eigentlich kein 'Risikomanager' sondern ein 'Risikosammler und -verwalter' ... ;-) .