Ein Beitrag von Marco Mannes, Risikomanager EnBW
Marco Mannes
EnBW Energie Baden-Württemberg AG
Web: http://www.enbw.com
Über 2.000 IKS-Kontrollen und mehr als 1.000 Risiken transparent und übersichtlich aufzubereiten – vor dieser Herausforderung stand die EnBW noch Ende 2012. Das Unternehmen mit über 20.000 Mitarbeitern und Sitz in Karlsruhe ist das drittgrößte Energieunternehmen Deutschlands. In Zeiten der Energiewende und der Diskussion um die Sicherheit und Zukunft der Kernenergie gilt es für den Konzern, sich zukunftsfähig aufzustellen – und dies nicht nur hinsichtlich des Produktportfolios, sondern auch bezüglich der internen Prozessen und Abläufe.
Die Zielsetzung des in 2012 gestarteten Projekts war daher die bislang getrennten Prozesse für IKS und Risikomanagement zusammenzuführen, um damit die interne Akzeptanz zu verbessern, das Mengengerüst zu verringern, die Prozesseffizienz zu verbessern und letztendlich auch Synergieeffekte zu erzielen. Gleichzeitig sollte die Angemessenheit und Funktionsfähigkeit von IKS und Risikomanagementsystem sichergestellt sowie der Aufwand für die Mitarbeiter deutlich reduziert werden.
Im Rahmen des Risikomanagementprozesses aktualisieren und berichten bei EnBW bis zu 20 Konzerngesellschaften quartalsweise ihre Risiken und Chancen. Diese werden dann in einem gemeinsamen Konzernrisikobericht zusammengeführt.
Bislang lief parallel der sogenannte Jahreszyklus des Internen Kontrollsystems ab, der die Wirksamkeit der IKS-Kontrollen im Konzern sicherstellen sollte und im IKS-Jahresbericht mündete. Beide Berichte wurden den Leitungen der Geschäftseinheiten, Vorstand und Prüfungsausschuss vorgelegt. Aufgrund der Vielzahl an Kontrollen und Risiken wurde es immer schwieriger, transparent zu machen, wie Risikomanagement und IKS miteinander zusammenhängen. Die Berichte aus Risikomanagement und IKS waren weiterhin nicht vergleichbar, da keine gemeinsame Sprache gesprochen wurde. Die EnBW entschied sich daher dafür, den IKS-Prozess und den Risikomanagement-Prozess zu integrieren und stellte sich bei jeder vorhandenen IKS-Kontrolle die Frage: “Welches Risiko steckt hinter der Kontrolle?”. 2013 konnten somit die über 2.000 IKS-Kontrollen in knapp 500 Risiken überführt und der damit verbundene Aufwand drastisch reduziert werden.
Seitdem werden alle Risiken in der Risikoinventur gemeinsam erfasst und in einem ersten Schritt auf ihre Relevanz hin überprüft. Dieser Relevanzfilter ist in 6 Klassen aufgeteilt und bewertet die Risiken in Bezug auf ihre finanzielle, strategische, operative und Compliance Auswirkung. Risiken, die aufgrund des Relevanzfilters als “unwesentlich” eingestuft werden, verbleiben in den Gesellschaften und gehen in das operative Risikomanagement der Einzelgesellschaft ein.
Für die wesentlichen / relevanten Risiken wird im nächsten Schritt festgelegt, durch welche bereits vorhandenen organisatorischen Sicherungsmaßnahmen diese entschärft werden. Ergänzend können Einmalmaßnahmen oder IKS-Kontrollen die Risiken in ihrer Auswirkung und / oder Eintrittswahrscheinlichkeit reduzieren. Erst dann werden die verbliebenen Risiken in eine (Netto-) Bewertung überführt und im Risikobericht überwiegend anhand von Szenarioberechnungen und im Einzelfall auch unter Nutzung von eigenständigen Risikomodellen dargestellt. Eine Monte Carlo Simulation zeigt dann in einer Bandbreitenbetrachtung die Auswirkung der wesentlichen Risiken auf Planung, Ergebnis und Verschuldungsgrad. Der Betrachtungszeitraum liegt dabei auf den nächsten 3 Jahren.
Durch die Fokussierung auf die relevanten Risiken in einer verschlankten Organisationsstruktur konnte die Anzahl der verpflichtend zu dokumentierenden Risiken deutlich verringert werden. Mehr als 50% der zu dokumentierenden IKS-Kontrollen entfielen im Zuge der Integration der beiden Prozesse. Organisatorische Sicherungsmaßnahmen sind jetzt als Methodik zur Risikoreduktion akzeptiert und werden auch “gelebt”. Zudem wurden im Zuge der Integration der beiden Prozesse die Rollen der Prozessbeteiligten neu definiert und damit aus einem 6-Augen-Prinzip eine 4-Augen-Wirksamkeitsprüfung gemacht. Es gibt jetzt einheitliche Rollen statt der vorher getrennten IKS- und Risikomanagement-Verantwortlichkeiten. Der Validierungsaufwand reduzierte sich damit um mindestens ein Drittel.
Die Vereinheitlichung der Risikobewertung bewirkt, dass Risiken besser vergleichbar sind und sich dadurch die Transparenz der Risikoberichterstattung erheblich verbessert.
Die Steigerung der Prozesseffizienz wurde auch durch die Einführung einer neuen, integrierten IKS- und Risikomanagement-Software erreicht. In Zusammenarbeit mit der avedos business solution gmbh wurde eine IT-Lösung entwickelt, die im 3. Quartal 2014 in ausgewählten Abteilungen bzw. Tochtergesellschaften pilotiert und im 1. Quartal 2015 im gesamten Unternehmen ausgerollt wurde. Mit dieser Lösung konnten zwei Vorgängersysteme abgelöst werden, so dass auch hier erhebliche Einspareffekte realisiert wurden. Auch unser Abschlussprüfer ist davon überzeugt, dass die Anforderungen an ein wirksames IKS und Risikomanagement durch unseren integrierten Risikomanagementprozess erfüllt werden.
Das Projekt läuft noch bis Ende 2015. Aber schon jetzt zeigen die positiven Rückmeldungen insbesondere aus den Konzerngesellschaften und Gremien, dass wir hier den richtigen Weg eingeschlagen haben und durch die Integration der beiden Prozesse eine deutlich höhere Akzeptanz im Unternehmen erreichen.