Für die Swisscom ist Risikomanagement längst mehr als

nur die Erfüllung von Corporate-Governance-Anforderungen

oder die formale Erfüllung von gesetzlichen Vorgaben, wie

etwa KonTraG. Ein proaktives Risikomanagement ist aus

Sicht der Swisscom schlichtweg notwendig. Um am Markt

erfolgreich zu sein, müssen Chancen und Risiken in der

Unternehmenssteuerung zeitnah berücksichtigt und das

Risiko-Chancen-Profil ständig optimiert werden. Nur so

entwickelt sich eine “Risiko-Kultur” über alle

Hierarchiestufen hinweg, über die der Umgang mit Risiken

auch m Alltag verbessert wird. Um das Risikomanagement

auch mit einem Tool effizient zu unterstützen, entschied sich

die Swisscom für das Schleupen-System R2C (Risk

to Chance). Diese Software bringt nicht nur mehr

Transparenz in die Risiken, sondern unterstützt das

Risikomanagement auf allen Stufen.

 

Unternehmensrisiken identifizieren, bewerten,

Strategien festlegen und umsetzen, um die

Risiken steuern zu können, das sind die

klassischen Elemente des

Risikomanagements, wie sie auch bei

Swisscom realisiert wurden. Ziel ist es, auf

der einen Seite über ein ständig abrufbares

und aktuelles Risikoprofil problematische

Entwicklungen frühzeitig zu erkennen und

damit rechtzeitig gegensteuern zu können. Auf

der anderen Seite – und das ist noch

wichtiger – sollen Risiken wo immer möglich

durch geeignete Maßnahmen gemindert oder

sogar ganz ausgeschaltet werden,

beispielsweise durch den Abschluss von

Versicherungen oder durch Verlagerung nach

außen, etwa Outsourcing einzelner Aufgaben

an Dritte. In einem ständigen Prozess soll so

die Risikostruktur des Unternehmens

insgesamt optimiert werden.

 

Bei Swisscom startete man diesen Prozess

Anfang 2001. Nicht gezwungenermaßen

durch Vorgaben des Gesetzgebers, wie das

etwa bei deutschen Unternehmen durch

KonTraG der Fall ist, sondern weil man vor

allem die Chancen erkannte, die in einem

durchgängigen Risikomanagement liegen.

Deswegen stand zunächst auch die

organisatorische Umsetzung dieses Themas

im Vordergrund – und damit die Schaffung

eines Risikobewusstseins in der gesamten

Swisscom-Gruppe.

Risiken identifizieren

Um sämtliche relevanten Risiken in einem

Konzern wie der Swisscom identifizieren zu

können, mussten erst einmal die

Voraussetzungen dafür geschaffen werden.

Bei Swisscom ist das Risikomanagement

Chefsache, und der Bereich “Risk

Management“ ist organisatorisch einem

Gruppenleitungsmitglied unterstellt. Zudem

besteht ein direkter Zugang zum

Verwaltungsrat. Im Headquarter in Bern

laufen sämtliche Fäden zusammen, werden

die Informationen verdichtet und die Prozesse

gesteuert. Identifiziert und bewertet werden

die Risiken dagegen dezentral. Dafür wurde

eine entsprechende Struktur geschaffen, mit

einer flachen Hierarchie, um die

Informationsflüsse effizient gestalten zu

können. So genannte “Risk Champions“ sind

für das Risikomanagement in den

Gruppengesellschaften oder Headquarter-

Bereichen verantwortlich. Die so genannten

“Risk Owner“ sind Mitarbeiter (meist aus der

Führungsetage), die jeweils für ein

bestimmtes Risiko in dieser Gesellschaft

verantwortlich sind. Das heißt, sie erfassen

und bewerten das Risiko und schlagen

Maßnahmen vor, wie dieses Risiko gemindert

oder ausgeschaltet werden kann. Damit sich

die Beteiligten austauschen und das

Risikomanagement gemeinsam

weiterentwickeln können, wurde zudem ein

“Risk Committee“ institutionalisiert, bei dem

sich das zentrale Risk Management und die

Risk Champions quartalsweise treffen.

Vom Risikoatlas zum individuellen

Risikoprofil

Erarbeitet wurde zunächst

telekommunikationsspezifisches

Risikoinventar in Form eines Risikoatlas, der

aus 45 generischen Risiken, eingeteilt in 4

Risiko-Kategorien besteht. Mit Hilfe dieser

Risikolandkarte werden die

unternehmensspezifischen Risiken

identifiziert und einzeln bewertet, entweder

quantitativ nach Eintrittswahrscheinlichkeit

und Auswirkung (EBIT-Auswirkung in der

Zeitspannne von drei Jahren, in CHF) oder

qualitativ. Die Risiken werden danach in einer

Risk Map dargestellt. Nach dieser Bewertung

müssen dann Strategien und Maßnahmen

entwickelt werden, um die Risiken zu

minimieren. Der Erfolg dieser Maßnahmen

muss ständig kontrolliert werden. Denn

Risikomanagement ist ein ständiger Prozess,

der nur vorangetrieben werden kann, wenn

der Erfolg auch kontrolliert wird. Dass hier

althergebrachte Methoden auf Basis von Excel

oder MS Access an ihre Grenzen stoßen,

versteht sich fast von selbst. Denn zum einen

müssen die Informationen dezentral erfasst

und von unten nach oben verdichtet werden,

so dass die Gruppenleitung und der

Verwaltungsrat jederzeit und schnell einen

Überblick über die gesamte Risiko-

Entwicklung sowohl über die gesamte

Gruppe als auch für die einzelnen

Tochtergesellschaften erhält. Ein absolutes

Muss ist auch ein Berechtigungskonzept,

welches garantiert, dass die im Tool

erfassten Mandanten nicht gegenseitig Zugriff

auf die Daten der anderen Mandanten haben.

Das Risikomanagement leben, nicht

automatisieren

Neben Sicherheitsaspekten spielt aber auch

die Akzeptanz eines Softwaresystems eine

wichtige Rolle. Deswegen wurden die Risk

Champions anlässlich des Risk Committees

in die Evaluation des Systems einbezogen.

Denn es galt eine Lösung zu wählen, die die

Mitarbeiter in allen Bereichen unterstützt und

nicht “beherrscht”, vom Risk Owner bis hinauf

zum CEO. “Es macht keinen Sinn, im

Risikomanagement auf komplexe Data

Warehouses aufzusetzen und zu versuchen,

möglichst viele Prozesse über definierte

Grenzwerte zu automatisieren. Denn erstens

sind viele Risiken allenfalls qualitativ

beschreibbar oder gar nicht über die internen

ERP-Lösungen erfasst, und zweitens muss

das Risikomanagement ‚gelebt’ werden. Das

bedeutet aber auch: man darf die

Verantwortung nicht an technische Systeme

delegieren“, so Albert-Thomas Flammer zu

den Grundanforderungen an die neue

Lösung. Eine Philosophie, die R2C von

Schleupen durchgängig unterstützt. Denn

R2C ist als Werkzeug konzipiert, das von der

Erfassung über die Bewertung der Risiken

bis hin zum Reporting sämtliche

Arbeitsschritte des Risikomanagements

unterstützt, und dabei dennoch leicht und

schnell einzuführen ist. In nur sechs Monaten

konnten sämtliche Informationen und

Strukturen im System hinterlegt und

zusätzliche, von Swisscom benötigte

Funktionalitäten eingerichtet werden, bevor

man Ende 2001 in den Echtbetrieb ging. Der

Schulungsaufwand für die Mitarbeiter war

dabei minimal. Nach einer nur halbtägigen

Schulung waren die Mitarbeiter in der Lage,

mit dem System umzugehen.

Schrittweise wird das Risikomanagement

nun bei Swisscom ausgebaut und optimiert.

Und: es wird auch auf neue Bereiche

ausgedehnt. “Gerade im Projektmanagement

ist die ‚Risk Awareness’ heute in der Regel

noch nicht optimal ausgeprägt. Dabei steckt

gerade im Projektbereich ein großes

Potenzial für Effizienzsteigerungen durch

Minimierung von Risiken. So wurde nach dem

Business-Risiko-Atlas jetzt auch ein Projekt-

Risiko-Atlas entwickelt, mit dem die

unterschiedlichsten Projekte abgedeckt

werden können, mit einer kompletten

Risikostruktur und vordefinierten

Einzelrisiken. “Die Swisscom ist auf dem

Weg, eine echte ‚Risiko-Kultur’ zu entwickeln.

Ein Prozess, der sich sicherlich noch über

einige Jahre hinzieht, der aber entscheidend

zum Erfolg der ganzen Gruppe beitragen

kann“, so Martin Vögeli, Head of Risk

Management bei Swisscom. Ganz wichtig für

ihn: diese Kultur muss das ganze

Unternehmen durchdringen

Autor:Uwe Pagel

Weitere Informationen:

 

Schleupen AG – Martina Nawrocki

Tel.: +49 5031 963 330 – Fax: +49 5031 963

295

vertrieb@schleupen.de - www.schleupen.de