Ein Interview mit Dr. Herbert Lienhard, Senior Projekt Manager und Direktor Funk RMCE GmbH
Beschreiben Sie kurz Ihr Unternehmen. Welche Zielgruppe sprechen Sie hauptsächlich an?
Funk RMCE ist spezialisiert auf Beratungsleistungen und Softwarelösungen für integrierte Führungs- und Managementsystemen, primär Risikomanagement-, Kontroll-, Revisions- und Compliance-Systeme, vornehmlich mittelständische Industrie- und Handelsunternehmen.
Seit Einführung des KonTraG 1998 hat Risikomanagement in deutschen Unternehmen immens an Bedeutung gewonnen. Wie sehen Sie den Umsetzungsgrad insbesondere bei den mittelständischen Firmen?
Der Umsetzungsgrad in vielen Unternehmen ist noch weit davon entfernt, um die eingeführten Risikomanagement-Systeme als effiziente und effektive Führungs- und Steuerungsinstrumente bezeichnet zu werden.
2012 haben wir eine Studie aufgestellt die die Defizite aufzeigt und auch die Ursachen benennt. Oftmals werden Risiken zwar identifiziert, aber die Bewertung und Maßnahmendefinition eher stiefmütterlich behandelt. Teilweise bewerten Unternehmen gleich quantitativ, andere wiederum kommen über eine qualitative Bewertung nicht hinaus. Ein Phänomen welches sich übrigens nicht nur im Mittelstand wiederfindet.
Einen großen Mehrwert sehen wir in der Durchführung von interdisziplinären Workshops, doch aufgrund des Personalaufwandes scheuen Unternehmen diese Vorgehensweise – Das ist sehr bedauerlich, denn gerade durch den Austausch mit den Kollegen aus anderen Bereichen, können Risikolisten auf dem aktuellen Stand gehalten werden und passen sich der Unternehmensentwicklung an. Wir sehen oftmals Risikolisten in Unternehmen, die sich über Jahre hinweg inhaltlich nicht ändern, obwohl bspw. das Markumfeld ein ganz anderes geworden ist.
Sind hier deutliche Unterschiede zu anderen Ländern zu erkennen?
Ja, aber die in Deutschland eingeführten Systeme zeigen trotz Handlungsbedarf sogar noch einen respektabel höheren Stand als andere europäische Länder.
Welche neuen Entwicklungen gibt es im Bereich Risikomanagement, die derzeit die Unternehmen in Deutschland, Österreich und der Schweiz besonders beschäftigen (sollten)?
Der Vernetzung der Teilsysteme, also der integralen Betrachtung der verschiedenen Management-Systeme wird hohe Bedeutung beigemessen. Seit der Harmonisierung und der konsequenten Prozessorientierung der so genannten ISO-Normenwerke verfügen die Unternehmen über moderne und vernünftige Verhaltensweisen zur Organisation und Führung eines Betriebes. Einzelne, voneinander unabhängige Subsysteme sind ineffizient, sind ungeeignet zur gezielten Umsetzung von Unternehmenszielen und werden durch vernetzte Systeme abgelöst.
Welcher Standard / Norm hilft Ihrer Meinung nach den Unternehmen am nachhaltigsten bei der Einführung eines Risikomanagementsystems?
Die „richtige“ Norm kann nur unternehmensindividuell erfolgen. Unternehmensgröße, Leitbild, Mitarbeiter, Kunden, Branchen, rechtlicher Rahmen u. w. sind in den Findungsprozess einzubeziehen.
Unabhängig von branchenspezifischen Anforderungen ist die Norm-Gruppe ISO31000 in Kombination mit den verfügbaren Praxisleitfäden zu empfehlen. Die im ersten Eindruck generische Norm bietet einen Ordnungsrahmen für Unternehmens bescheidenster Ausprägung. Vor allem die Dokumente rund um die Regelwerke bieten eine Fülle von Hilfsmitteln zur Weiterentwicklung der bereits existierenden Risikomanagement-Aktivitäten in den Unternehmen. Praktische Umsetzungs-Leitlinien konkretisieren die in den Regelwerken aufgeführten Grundlagen, Begriffe, Methoden und Prozesse.
Gibt es branchenspezifische Unterschiede bei der Einführung von Risikomanagementsystemen?
Ja, vor allem aufgrund rechtlicher Anforderungen wie bspw. im Finanzsektor oder für pharmazeutische Unternehmen. So sind auch die Regelungen nach dem IT-Sicherheitsgesetz maßgebend für die Ausprägung der Risikomanagement-Systeme in vielen Unternehmen.
Aber es gibt noch weitere Unterschiede. Für Unternehmen der Automotive-Branche bestehen strukturbedingt hohe Ansprüche an betriebliches Kontinuitätsmanagement zur Wiederherstellung der Lieferfähigkeit nach Vorfällen und Havarien.
Nicht zuletzt ist für die Sicherheit und der Schutz des Gemeinwesens die Aufrechterhaltung der Betriebsfähigkeit ein zentrales Anliegen der Risikomanagement-Bestrebungen.
Welche Vorteile bringt die Integration der Bereiche Risikomanagement, Compliance und IKS in einer Organisation?
Der größte Nutzen liegt in der Nutzung von Synergieeffekten durch einheitliche Verfahren, Instrumente und Dokumentation. Dadurch reduziert sich der Verwaltungsaufwand gegenüber Einzelsystemen aber auch durch Vermeiden von Doppelarbeiten erheblich.
Durch den reduzierten bürokratischen Aufwand steigt die Akzeptanz durch die Beteiligten.
Die Vernetzung der Managementsysteme bringt aber auch Vorteile für die Unternehmenssteuerung. Zielkonflikte können vermieden oder aber mindestens reduziert werden. Positive Effekte sind auch bzgl. Prozess- und Organisationsstrukturen als auch der Optimierung der Schnittstellen zu erwarten.
Ein kurzes Statement zum Schluss:
Bei den meisten Risikomanagement-, Kontroll-, Compliance- und Revisionssystemen besteht trotz gesetzlicher Grundlage und den Grundsätzen für gute Unternehmensführung (Corporate Governance) erhebliches Optimierungspotenzial. Vor allem bei mittelständischen Unternehmen werden diese Systeme nur selten konsequent und konzeptgetragen umgesetzt. Über die Vernetzung und die Integration von Teilsystemen wird zwar gesprochen, aber aufgrund des noch fehlenden Verständnisses oder auch anderer Prioritäten wird die Umsetzung nur suboptimal organisiert.
