Die betrieblichen Funktionen für das Risikomanagement werden in der Governance definiert und ihren jeweiligen Aufgaben und Verantwortlichkeiten zugeordnet. Wesentliche Funktionen sind zum Beispiel laut dem deutschen Corporate Governance Kodex:
• Vorstand, Aufsichtsrat und Hauptversammlung,
• Gestaltung von Risikomanagement, Compliance und interner Revision (gegebenenfalls weitere branchenspezifische Funktionen).

Entsprechend diesen recht komplexen Zusammenhängen erkennen immer mehr Unternehmen die Vorzüge eines hervorragenden Risikomanagements, um auf eine mögliche betriebswirtschaftliche Krise gut vorbereitet zu sein und frühzeitig geeignete Maßnahmen zur Gefahrenabwehr einzuleiten. Denn das Risikomanagement zielt grundsätzlich auf die Sicherung des Fortbestands und des Werts eines Unternehmens ab. Dabei bezieht diese Disziplin alle internen und externen Informationen in die Planung und Früherkennung ein. In unserer Beratung beobachten wir folgende Merkmale eines wirklich guten Risikomanagements:
• klarere Funktionstrennung zwischen Fachabteilung und Risikomanagement mit persönlichen Verantwortlichkeiten,
• Förderung einer besseren Zusammenarbeit zwischen allen Fachabteilungen, dem Risikomanagement und der Geschäftsführung durch eindeutige Regeln und Einbeziehung aller Prozesse im Unternehmen,
• Verbesserung der Entscheidungsbasis.

Dabei unterstützt das gemeinsame Erarbeiten einer unternehmensspezifischen Risikomanagementlösung die Unternehmens- und Risikokultur. Letztere – oft auch «Risk Intelligence» genannt – definiert sich als Fähigkeit einer Organisation, eine gemeinsame Risikosprache zu sprechen und aus Erfahrungswerten entscheidende Zusammenhänge von Risiken zu lernen, aber auch Wahrscheinlichkeiten und finanzielle Auswirkungen einzuschätzen und vorausschauende Konzepte und Werkzeuge zu verwenden.

Um indes für die eigene Organisation diese Vorzüge erzielen zu können, kommt das Management nicht umhin, ein spezifisch auf die Belange des Unternehmens ausgerichtetes Risikomanagement zu implementieren. Dabei stehen die Entscheider vor zahlreichen Herausforderungen: Zunächst müssen sie einen geeigneten Risikomanagementprozess gestalten und in die Unternehmensprozesse integrieren.

Wirtschaftlichkeit beachten.

Die IT-Abteilung muss gewährleisten, dass die teilweise in unterschiedlichen Systemen vorhandenen Daten gesammelt, verarbeitet und weitergeleitet werden. Dabei kommt es darauf an, dass die für die Entscheidungsfindung relevanten externen Daten erhoben und mit den internen Daten verknüpft werden. Oft ist es ein Geduldsspiel, die wirklichen
Ursache-Wirkungsbeziehungen herauszufinden und mit geeigneten Kennzahlen darzustellen.

Andererseits dürfen die Kosten nicht davonlaufen. Deshalb sollte das Projektteam beim Aufbau des neuen Risikomanagements stets das Wirtschaftlichkeitsprinzip im Auge behalten. Und die IT-Abteilung muss die Informationen so aufbereiten, dass sie die Anforderungen der externen Berichterstattung erfüllen und im Management für eine nachvollziehbare und dokumentierte Entscheidungsbasis sorgen.

Zur Bewältigung dieser Herausforderungen werden auf dem Markt IT-gestützte Systeme für Risikomanagement oder integrierte Lösungen für Governance, Risikomanagement und Compliance (GRC) angeboten. Aber auch einfache Tabellenkalkulationen auf Excel-Basis kommen zum Einsatz.

In unserem Fokus stehen die Management- und Prozessphasen-Lösungen und hier insbesondere die Enterprise GRC-Tools. Die Softwareauswahl sollte anhand klarer und einheitlicher Bewertungskriterien erfolgen. Hierbei sollten die für das Unternehmen – gemäß der individuellen Anforderungen – wesentlichen Bewertungskriterien erarbeitet und hinsichtlich der Bedeutung gegebenenfalls gewichtet werden. Wichtig ist dabei, dass der Anforderungskatalog sämtliche ökonomischen, technischen, organisatorischen und fachlich-funktionalen Bewertungskriterien enthält.

Darauf aufbauend sind bei Risikomanagementsystemen vor allem einige technische und fachlich-funktionale Kriterien entscheidend: Erstere decken unter anderem den Funktionsumfang und die Ausgestaltung der Schnittstellen zu anderen Bestandteilen des betrieblichen Informationssystems ab:
• enthaltene Module,
• Bedienungsfreundlichkeit,
• Schnittstellen zu ERP-Systemen,
• Workflow-Unterstützung,
• Performance,
• Archivierung,
• Historie,
• IT-Sicherheit.

Fachlich-funktionale Kriterien beschäftigen sich mit der Ausprägung, der Güte und der Vielfalt der Werkzeuge, die für die verschiedenen GRC-Prozessbausteine zur Verfügung stehen:
• Identifikationsmethoden,
• Bewertungsmethoden,
• Brutto-/Nettobewertung,
• Risikotreiber als Frühwarnindikatoren in der Software zugelassen,
• Maßnahmen-Controlling,
• Überwachung,
• Reporting,
• Abbildung der vorhandenen Logik.

Nach diesen und weiteren Kriterien untersuchten wir einige Softwareprodukte und kamen zu den Ergebnissen, die in der Tabelle auf Seite 19 stehen.

Fazit: Vollständige Systeme decken die wichtigsten GRC-Prozesse weitgehend ab, stellen aber keine echten integrierten Lösungen dar. In Wirklichkeit handelt es sich häufig um eigenständige, teilweise zugekaufte Module und Lösungen, die zu einem System zusammengefasst werden. Dies geschieht über Schnittstellen, die recht aufwendig anzupassen sind. Wirklich integrierte Lösungen sind noch in Arbeit. Andere Systeme bieten nur einen Baustein an oder setzen bei der Risikobewertung auf Expertenschätzungen.

Beginn mit schlanker Lösung.

Was bedeutet diese ernüchternde Realität für die Auswahl einer neuen Software für das Risikomanagement oder gar integrierte GRC-Lösungen? Antwort: Auf jeden Fall ist eine pragmatische Vorgehensweise ratsam, denn vor allem die Implementierung eines vollständigen GRC-Systems bedeutet einen hohen Aufwand und überfordert oft die Organisation und Anwender, für die der Nutzen häufig nicht nachvollziehbar ist.

Deshalb sollten sich die Unternehmen zunächst einmal mit der grundlegenden Frage beschäftigen: Was brauche ich zuerst und was ist mir sehr wichtig? Diese Konzentration auf das Wesentliche führt oft dazu, dass zunächst eine schlankere Lösung implementiert wird, die in den Folgejahren sukzessive erweitert oder verbessert wird. Dies kann auf der Basis eines
GRC-Tools oder mit vielen kleineren Tools realisiert werden. Vorteil: In der Zwischenzeit entwickeln die Hersteller auch die Integration weiter.

Durch diese pragmatische Vorgehensweise wird zudem sichergestellt, dass die im Unternehmen tätigen Menschen die neuen Prozesse und die neue Technik verstehen, beherrschen und richtig anwenden können.