Skip to main content
vernetzte kompetenz sicherheitsmanagement

 Integrales Risikomanagement für KMU

Von Uwe Müller-Gauss und Madeleine Renner

„Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts.“

Walter Scheel, ehm. deutscher Bundespräsident

Jede Geschäftstätigkeit ist mit Risiken und Gefahren verbunden. Es gibt unzählige Führungssysteme, um diese präventiv zu managen oder bei Eintritt eines Ereignisses korrekt zu reagieren. Wichtige Instrumente sind das Risikomanagement, das interne Kontrollsystem (IKS), das Krisenmanagement und das Kontinuitätsmanagement (BCM). Um Aufwand und Nutzen zu optimieren, empfiehlt sich für KMU ein integraler Ansatz, mit welchem Synergien genutzt und Doppelspurigkeiten beseitigt werden. 

Die Themen Geschäftskontinuitätsmanagement (engl. Business Continuity Management, BCM), Krisenmanagement (engl. Crisis Management), Risikomanagement (engl. Risk Management, RM) und Internes Kontrollsystem (IKS, engl. Internal Control System) haben an Bedeutung gewonnen. Mängel in diesen Bereichen haben in den letzten Jahren zu diversen Skandalen, Krisen und Unternehmenszusammenbrüchen geführt. Inhaber, Investoren, Gläubiger und Mitarbeitende erlitten grosse finanzielle Schäden und Reputationsverluste. Weltweit wurden nationale und internationale Anstrengungen zur verstärkten Regulierung der Unternehmensführung (Corporate Governance), unternommen. Damit wurden die Interne Kontrolle und das Risikomanagement in vielen Ländern Gegenstand staatlicher Regulierungen.

Die Schweiz hat der internationalen Entwicklung mit der Teilrevision des Revisionsrechts im Jahr 2010 Rechnung getragen. Allerdings ist nur das Ausmass der gesetzlichen Verankerung neu. Im Schweizer Gesellschaftsrecht ist festgehalten, dass die Pflicht und somit die Verantwortung für eine sorgfältige Geschäftsführung beim Leitungsorgan einer Unternehmung liegt. Zu den Pflichten gehören insbesondere Tätigkeiten, welche die langfristige Sicherung der Geschäftstätigkeit sicherstellen wie beispielsweise das Risikomanagement oder das IKS.

Auch aus betriebswirtschaftlicher Sicht ist es zwingend erforderlich, sich mit existenzsichernden Massnahmen und Instrumenten auseinander zu setzten: Einerseits präventiv, um Schäden vorzubeugen und andererseits, um bei Eintritt von „zufälligen“ oder unbeachteten Unglücks- und Störfällen die Existenz der Unternehmen zu sichern. Die Globalisierung und die sich kontinuierlich verändernden Rahmenbedingungen – insbesondere in technologischer, wirtschaftlicher und politischer Hinsicht – führen dazu, dass auf ein bewusstes und organisatorisches Risikomanagement kaum mehr verzichtet werden kann. Angesichts dessen, was auf dem Spiel steht, wird die bewusste, systematische und permanente Auseinandersetzung mit den Risiken der Unternehmung zu einer ergänzenden Führungsfunktion, die von der Unternehmensspitze wahrgenommen werden muss. Ziel ist es sicherzustellen, dass die Risiken erkannt und beurteilt werden. Anschliessend wird festgelegt, wie diese bewältigt werden. Die nur schwer quantifizierbaren Folgen einer Unterbrechung der Betriebs- oder Leistungsbereitschaft der Unternehmung sind Kunden- und Marktanteilverluste, die nur ungenügend versicherbar sind. Die Unternehmung hat somit alles Interesse, im Rahmen der praktischen Risikobewältigung zusätzlich organisatorisch und planerisch für einen derartigen Fall vorzusorgen.

Dieser Artikel wird in zwei Teilen veröffentlicht. In diesem ersten Teil werden die Instrumente Risikomanagement, IKS, Krisenmanagement und BCM vorgestellt und wichtige Erfolgsfaktoren für KMU aufgezeigt. In der nächsten Ausgabe wird dargelegt, welche Synergien durch die Integration der Instrumente genutzt werden können, sodass eine maximale Effizient sowie eine erhöhte Widerstandsfähigkeit erreicht wird.

Risikomanagement – kontrollierter und bewusster Umgang mit Risiken

Im Rahmen des Risikomanagements sollen Gefahren vermieden werden, welche die Kontinuität des Geschäftsganges und somit den nachhaltigen Fortbestand des Unternehmens, Teile davon oder Projekte gefährden könnten. Das Risikomanagement umfasst alle Tätigkeiten, die der Identifikation, Bewertung, angelehnt an ISO 31000Bewältigung und Überwachung der wesentlichen Risiken dienen.

Grundlage des Risikomanagements ist das Formulieren einer rationalen und klar umschriebenen Risikopolitik, welche Bestandteil der Unternehmenspolitik darstellen sollte. Sie ist darauf ausgerichtet, den Sicherheitsgedanken in den Unternehmungsentscheidungen durchgängig zu berücksichtigen und damit auch die Leitziele des Risikomanagements auf operationeller Stufe festzulegen. Nur wer eine umfassende und systematische Risikopolitik betreibt, ist in der Lage, in Kenntnis aller Umstände und damit bewusst risikofreudig zu sein, wo dies nötig und angebracht ist und auch verantwortet werden kann. Des Weiteren braucht es organisatorische Massnahmen wie die Definition von Prozessen, Aufgaben, Zuständigkeiten und Verantwortung.

Im Rahmen der Risikoidentifikation wird analysiert, welche externen oder internen Gefahren die Erreichung der Strategie respektive Unternehmensziele verhindern könnten. Anhand von Hilfsmitteln wie Checklisten, Prozess- und Gefährdungsanalysen, Workshops etc. wird versucht, die wesentlichen Risiken zu identifizieren. Aus dieser Klärung resultiert oft ein Risikokatalog. Im Rahmen der Risikoanalyse werden die identifizierten Risiken analysiert und bewertet. Die Bewertung kann mit unterschiedlichen Methoden vorgenommen werden. Weit verbreitet ist die Berechnung nach Eintrittswahrscheinlichkeit multipliziert mit Schadenausmass. Die Eintrittswahrscheinlichkeit ist jedoch meist schwer zu berechnen und bedeutet eine realitätsfremde Vereinfachung. Deshalb bewerten nachhaltige Risikomanager die Risiken mit den folgenden Metriken:

  • Schadensausmass qualitativ von «kein Schaden» bis «sehr hohe Auswirkung / Marktanteilsverlust» (I1)
  • Schadensausmass quantitativ z.B. von «50 000 bis >1 000 000» oder «%-Anteil vom Eigenkapital» etc. (I2)
  • Entwicklungszeit / Dauer bis zu Erkennen des Ereignisses von «sofort / zwingend» bis «keine Entdeckung» (A1)
  • Umgang im Ereignisfall / Ereignisbewältigung von «integriertes Krisenmanagement» bis «keine Mechanismen» (A2)
  • Kontrolle bei Risikoexposition von «volle Kontrolle» bis «keine Kontrolle» (T1)
  • Bewusstsein, Sensibilisierung für die Risikoexposition von «volles Bewusstsein» bis «unbekannt / nicht bewusst» (T2)

Die Metriken lassen sich den Bedürfnissen des Unternehmens anpassen. Die nachfolgende Abbildung zeigt ein Beispiel eines bewerteten Risikos auf.

Risiko-Nr.

Risiko-Bezeichnung

Bereich

 

17

Verletzung des Datenschutzes: Schnittstellen

(durch externe – Verpflichtungserklärungen)

Strategische Risiken

 

Risikobeschreibung

Sensible Daten gelangen an Unberechtigte bzw. werden missbraucht.

Metrik

Bewertung gemäss Workshop

Priorität

I1

Schadenausmass qualitativ

hohe Aussenwirkung und deutliche Störungen

4

I2

Schadenausmass quantitativ in CHF

bis 500.000 CHF

3

A1

Entdeckungszeit

lang/ zufällig

4

A2

Umgang im Ereignisfall

integriertes Krisenmanagement

1

T1

Kontrolle

eher gut/ direkt

2

T2

Bewusstsein

hoch

2

Abbildung 1: Metriken der Risikobewältigung

Für Risiken, welche bewusst eingegangen werden, werden im Rahmen der Risikosteuerung Massnahmen eruiert und definiert, welche das Risiko auf das gewünschte Niveau reduzieren sollen. Die Einteilung in sechs Metriken erlaubt eine feine und gezielte Steuer des Risikos. Das Beispiel in Abbildung 1 zeigt, dass bei der langen Entdeckungszeit Handlungsbedarf besteht, jedoch nicht im Umgang im Ereignisfall. Als Instrument der Risikohandhabung dienen Vermeidung, Verminderung, Überwälzen und Selbsttragen des Risikos.

ErfolgsErfolgsfaktoren für KMU im Bereich Risikomanagement

  • Rationale und klar umschriebene d.h. schriftlich festgehaltene Risikopolitik
  • Klare Regelungen der Aufgaben, Kompetenzen und Verantwortlichkeiten
  • Betrachtung des Risikomanagement als Daueraufgabe und nie als abgeschlossenen Prozess
  • Das RM ist den Mitarbeitenden bekannt und wird aktiv gelebt
  • Eine nachhaltige Bewertung und Steuerung der Risiken nach unternehmensspezifischen Metriken
  • Integration mit anderen Instrumenten (IKS, Krisenmanagement, BCM)

Internes Kontrollsystem (IKS) – ordnungsmässige und effiziente Geschäftsführung

Ziele des IKS sind eine ordnungsmässige und effiziente Geschäftsführung zu gewähren, das Vermögen und die Zuverlässigkeit des Rechnungs- und Berichtswesens sicherzustellen sowie die Einhaltung der unternehmerischen Ziele, Gesetze, Weisungen und Vorschriften zu unterstützen. Zudem dient es zur Verhinderung bzw. Aufdeckung von deliktischen Handlungen und Fehlern. Es erlaubt, die relevanten unternehmensinternen Prozesse bewusst und systematisch zu steuern und erhöht somit ihre Effizienz und Sicherheit.

Es empfiehlt sich, ein IKS-Konzept zu erstellen, in welchem die Unternehmensleitung den gewünschte Umfang und Ausbaugrad sowie die Qualität (wenig verlässlich bis optimiert) des IKS strategisch festlegt, Ziele formuliert und Kriterien für die Beurteilung der Qualität der Kontrollen festlegt sowie die Aufgaben und Verantwortlichkeiten regelt. Weitere wichtige Grundlagen sind die Dokumentationen der wesentlichen Unternehmensprozesse und eine Aufstellung der bestehenden Kontrollen. Auch wenn ein Unternehmen noch kein systematisches IKS unterhält, hat es bereits eine Vielzahl von Kontrollen wie z.B. die Kollektivunterschrift, 4-Augen-Prinzip, Funktionentrennungen, Zugriffs- und Zutrittsbeschränkungen etc.. Durch eine systematische Aufnahme der IST-Situation können Doppelspurigkeiten und Kontrollücken aufgedeckt werden. Meist führt dies zu einer Optimierung der Geschäftsprozesse. Anschliessend wird eine Risikobeurteilung vorgenommen – denn es gilt  der Grundsatz: ohne Risiko braucht es keine Kontrolle. Dabei werden die Risiken identifiziert und bewertet. Anschliessend werden für die Risiken Kontrollen definiert und in einer Übersicht (meist Kontrollmatrix genannt) festgehalten.

Erfolgsfaktoren für KMU im Bereich IKS

  • Klare und realistische Festlegung der Ziele und der angestrebten Qualität
  • Ausrichtung der Kontrollen auf die Unternehmensziele und die Risiken, welche die Erreichung der Unternehmensziele gefährden können
  • Klare Regelungen der Aufgaben, Kompetenzen und Verantwortlichkeiten
  • Das IKS ist den Mitarbeitenden bekannt und wird aktiv gelebt
  • Kein ausschliesslicher Fokus auf die finanzielle Berichterstattung (Financial Reporting), sondern auch Beachtung der Felder « Wirksamkeit und Effizienz der Geschäftstätigkeit (Operations) » und « Gesetzes- und Normenkonformität (Compliance)».
  • Integration mit anderen Instrumenten (RM, Krisenmanagement, BCM)

Business Continuity Management (BCM) – Bewältigung des Restrisikos

Mit einem Business Continuity Management (BCM) soll sichergestellt werden, dass die ‚lebensnotwendigen‘ Aktivitäten eines Unternehmens nach internen oder externen Ereignissen aufrecht erhalten resp. zeitgerecht wiederhergestellt werden und finanzielle sowie reputative Folgeschäden minimiert werden können.

Die hier verwendete Methode zum Aufbau und der Implementierung eines BCM richtet sich nach den aktuellen Standards und Guidelines des Business Continuity Instituts (BCI, London). Auch die Eidgenössische Bankenkommission (EBK) und die Schweizer Bankiervereinigung (SBVg) stützen sich bei ihren Empfehlungen und Mindestanforderungen auf dieses Vorgehen. Es hat sich bewährt, die Bankenmethoden auch in anderen Branchen anzuwenden oder zu adaptieren.

Die Methode besteht grundsätzlich aus einer wiederkehrenden Abfolge von 5 Phasen, welche von der Analyse des eigenen Geschäfts (Phase 1) bis hin zur regelmässigen Pflege des aufgebauten BCM reicht.

Hauptbestandteil der ersten Phase bildet zusammen mit einem Risk Assessment die sogenannte Business Impact Analysis (BIA). Mit dieser Analyse werden die kritischen Aktivitäten und Prozesse eines Unternehmens ermittelt. Die BIA ist das Rückgrat des BCM, weil aus den generierten Resultaten die Strategien entwickelt werden (Phase 2), mit denen ein Unternehmen auf den Unterbruch oder die Störung einer kritischen Aktivität reagieren will. Die BIA und die Entwicklung von BCM-Strategien werden von der EBK als verbindlicher, aufsichtsrechtlicher Mindeststandard erachtet und gemäss Art. 3 des BankG als Bewilligungsvoraussetzung zum Geschäftsbetrieb erachtet.

In Phase 3 werden Reaktionen, sogenannte Business Continuity Plans (Notfallpläne), im Hinblick auf einen Unterbruch einer kritischen Geschäftsaktivität entwickelt. Diese Pläne dokumentieren die Vorgehensweisen im Falle eines Ereignisses und bestimmen die Ressourcen, die notwendig sind um die unterbrochenen Aktivitäten wiederherzustellen.

Um das BCM im Unternehmen zu verankern, muss das Bewusstsein der Mitarbeitenden für die Notwendigkeit eines BCM geschaffen und geschult werden (BCM-Kultur) (Phase 4).

In Phase 5 werden die Komponenten des BCM getestet und geübt, weil sich ein Unternehmen ständig verändert. Tests und Übungen identifizieren Schwachstellen des BCM und ermöglichen Anpassungen.

 

 

 

 

Erfolgsfaktoren für KMU im Bereich BCM

  • Die kritischen Prozesse sind bekannt
  • Eine Überlebensstrategie garantiert den Fortbestand
  • Notfallpläne helfen bei einem schnellen Wiederanlauf resp. Notbetrieb
  • Schnellstmögliche Wiederherstellung des Normalbetriebs ist möglich
  • Integration mit anderen Instrumenten (RM, IKS, Krisenmanagement)

Krisenmanagement – handlungs- und entscheidungsfähig bleiben

Das Krisenmanagement dient zur Bewältigung ausserordentlicher Ereignisse. Es soll sicherstellen, dass im Ereignisfall durch zeitgerechte und gezielte Massnahmen der Schutz der Mitarbeitenden gewährleistet werden kann und Schäden an Vermögenswerten und dazugehörige Folgeschäden auf eine Minimum begrenzt werden können.

Das Krisenmanagement verfolgt die folgenden Ziele:

  • Schadenbegrenzung (Mitarbeitende, Betrieb, Dritte)
  • Aufrechterhaltung bzw. Wiederherstellung der wichtigsten Betriebsabläufe
  • Zeitgerechte, aktive, transparente und verlässliche, auf die Zielgruppen ausgerichtete interne und externe Kommunikation (Schutz des Rufes der Unternehmung als glaubwürdiges Unternehmen)
  • Rasche Wiederherstellung des Normalzustandes

Die Bewältigung von Krisenfällen erfordert eine Organisationsform und Führungsstrukturen, die

  • sehr rasch – auch ausserhalb der Bürozeiten – funktionstüchtig sind
  • eine klare, auf die ausserordentliche Lage abgestimmte Aufgabenabgrenzung vorsehen
  • Entscheidungen in kurzer Frist ermöglichen
  • Sonderkompetenzen für die zeitgerechte Anordnung von Massnahmen beinhalten
  • frei sind von Prestigedenken und Beharren auf Zuständigkeiten aus dem Alltag
  • die notwendigen Infrastrukturen zur Verfügung stellen, so dass zielführendes Arbeiten möglich ist und die Infrastrukturen auch dann funktionieren, wenn die im Normalfall verwendeten Mittel ausfallen

Das Krisenmanagement besteht aus den folgenden drei Säulen:

 

Im Führungsmanagement ist ein zum Voraus definierter und geschulter Krisenstab jederzeit abrufbereit. Bei Kriseneintritt nimmt dieser seine Tätigkeit sofort auf. Er ist in der Regel von seinen operativen Tätigkeiten entbunden und verfolgt einzig das Ziel der erfolgreichen Bewältigung der Krise. Der Krisenstab organisiert sich so, dass er jederzeit rasch und unkompliziert Zugang zu den benötigten Informationen hat. Er ist in der Regel am Ort des Geschehens vertreten. Damit er stets handlungsfähig bleibt, muss er sich auch den Informations- und Kommunikationslead sichern. Er wird über wichtige Entwicklungen stets auf dem Laufenden gehalten und ist verantwortlich für die Steuerung der Kommunikation.

Das Kommunikationsmanagement dient dazu, dass die Unternehmung mit «einer Stimme» kommuniziert. Kommunikation in Krisen ist Chefsache, er oder sie nimmt in der Öffentlichkeit Stellung. Daneben äussert sich nur der offizielle Mediensprecher oder von ihm autorisierte Fachpersonen zu entsprechenden Fachfragen. Der Kommunikationsverantwortliche im Krisenstab ist für die Koordination und Steuerung sämtlicher Kommunikationsmassnahmen verantwortlich. Mit dem Kommunikationsmanagement werden folgende Ziele verfolgt:

  • «60 – 3 – 1 Regel» einhalten (60 Minuten für 1. Statement gegenüber den Medien, 3 Stunden bis Ereignismanagement voll operationell ist, 1 Tag für die Entwicklung des Aktionsplans)
  • Rasche und offene Kommunikation, um Missverständnisse zu vermeiden
  • Dank klarem Informations- und Kommunikationsvorgehen wird das Image der Unternehmung in der Öffentlichkeit gestärkt
  • Die kommunikative Führung und Umsetzung wird durch die Unternehmenskommunikation sichergestellt.

Mit dem Care Managementwird das Ziel der psychologischen Notfallbetreuungverfolgt.Es geht darin insbesondere um

  • die Bewältigung eines traumatischen Ereignisses durch psychologische Notfallbetreuung
  • die Wiederherstellung des psychologischen Wohlbefindens und der geistigen Leistungsfähigkeit
  • die Vorbeugung einer langfristigen posttraumatischen Belastungsstörung
  • die Erhaltung der Arbeitsfähigkeit

Erfolgsfaktoren für KMU im Bereich Krisenmanagement

  • Bewältigung von ausserordentlichen Ereignissen mit eigenen und fremden Ressourcen
  • Kommunikations-Lead sicherstellen
  • Schaden eingrenzen und schnellstmöglich beheben
  • Auch in der Krise handlungs- und entscheidungsfähig bleiben
  • Integration mit anderen Instrumenten (RM, IKS, BCM)

Integrales [RMHW1] Risikomanagement - ganzheitliche Sicherung der Geschäftstätigkeit

In der letzten Ausgabe wurden die vier Instrument Risikomanagement, IKS, Krisenmanagement und BCM erläutert und Erfolgsfaktoren (???) für KMU aufgezeigt. In dieser Ausgabe wird dargelegt, wie die Instrumente sinnvoll integriert in die Unternehmung (???) werden können.

Ganzheitliches umfassendes Risikomanagement, welches in unserer Definition die vier Bereiche Risikomanagement, Krisenmanagement, BCM und IKS beinhaltet, ist heute gefragt. Einerseits kann nur durch das Zusammenspiel der Instrumente die Widerstandsfähigkeit (engl. Resilience) des Unternehmens optimal sichergestellt werden. Andererseits können durch die Integration Doppelspurigkeiten behoben und Synergien genutzt werden, was die Effizienz erhöht und neben der erhöhten Sicherheit auch operative Einsparungen mit sich bringen kann. In der Praxis werden diese vier Bereiche jedoch vielfach separat behandelt, was die Nutzung dieser Potentiale vermindert. Zudem besteht in KMU häufig eine unübersichtliche Ansammlung von Konzepten, Ansätzen und Instrumenten, was ein deutlicher Ressourcenaufwand bedeutet.

Die Hochschule Luzern – Wirtschaft hat sich deshalb zusammen mit Thomson Reuters, dem Fachverein BCMnet.CH sowie der Beratungsunternehmung RFM Dr. Imfeld in einem Forschungsprojekt dieser Thematik gewidmet. Das Projekt wird durch die Kommission für Technologie und Innovation KTI der Schweizerischen Eidgenossenschaft (KTI) mitfinanziert. Ziel des Forschungsprojektes ist die Entwicklung eines Instrumentariums zur ganzheitlichen Sicherung der Geschäftstätigkeit für KMU und damit auch die Erfassung von Doppelspurigkeiten, Synergien und Unterschieden. Es soll eine für KMU erschwingliche und maximal effiziente Lösung erstellt werden. Kernstück ist die Erarbeitung eines Knowledge Frameworks, welches die vier Themen sinnvoll und verständlich integriert sowie Checklisten, Supporttools und ein Benchmark bereitstellt.

Aufgrund einer ersten Schnittstellenanalyse wurde ein Interdependenzen-Modell erarbeitet. Dieses ist in Abbildung 2 ersichtlich.

 

Abbildung 2: Interdependenzen eines integralen Risikomanagements

Strategische Interdependenz

 

Bereits auf der strategischen Ebene zeigen sich Synergien. Die strategische Fragestellung « wie geht das Unternehmen mit Risiken um?» umfasst bei einem integralen Risikomanagement alle vier Bereiche. Somit werden die Strategien und Ziele aus einer Gesamtsicht definiert. Ein Dokument, und nicht wie es sonst üblich ist mehrere, hält diese schriftlich fest. Abbildung 3 zeigt ein mögliches Inhaltsverzeichnis für ein solches Dokument auf:

Abbildung 3: mögliches Inhaltsverzeichnis eines integrierten Strategiedokuments

Operative Interdependenz

Synergien auf operativer Ebene sind in Abbildung 2 graphisch ersichtlich. Die wichtigsten werden nachfolgend genauer erläutert:

Eine Synergie zeigt sich im Rahmen der Risikoidentifikation und –beurteilung. Es ist zu empfehlen, diese nicht isoliert in den einzelnen Bereichen durchzuführen, sondern im Hinblick auf ein integrales Risikomanagement   eine gesamtheitliche Betrachtngsweise einzunehmen. So können eine erhöhte Effizienz erzielt und Lücken vermieden werden.

Auch im Rahmen der Dokumentation der Systeme zeigen sich wesentliche Potentiale. Gerade bei kleineren Unternehmen ist zu empfehlen, das Risikomanagementhandbuch mit der Kontroll-Matrix aus dem IKS zu kombinieren, sodass die Risiken und Massnahmen nicht in separaten Dokumenten dokumentiert sind.

Die nachfolgende Tabelle zeigt auf, wie eine integrale Dokumentation beispielsweise aussehen könnte:

Prozess

Risikoanalyse

Massnahmen

 

Risiko

Risikomassnahme

Kontrollmassnahme

Abbildung 6: Beispiel eines integralen Risikokatalogs

Ebenfalls können das BCM-Handbuch sowie das Krisenmanagement-Handbuch gut in ein Dokument integriert werden.

Beispielhaftes Inhaltsverzeichnis

 

Abbildung 7: beispielhaftes Inhaltsverzeichnis eines integrierten BCM- und Krisenmanagement-Handbuch

Ob eine Integration aller vier Dokumentationen sinnvoll ist, muss im Einzelfall geprüft werden.

Des Weiteren ergeben sich durch einen integralen Ansatz Synergie und Einsparungspotentiale in den Bereichen Information und Kommunikation, Überwachung und Reporting sowie im Controlling.

Ist Ihr Risikomanagement effizient und/ oder effektiv?

Auf den ersten Blick würde die Feststellung, dass sich die Wirkung eines integralen Risikomanagements nicht erst im Ereignisfall zeigt, als richtig eingeschätzt. Dies ist mitunter ein Grund, warum Risikomanagement nicht selten als allenfalls notwendige und eventuell aufwendige Aufgabe wahrgenommen wird. Die Qualität eines solchen Managementsystems ist demnach nicht unbedingt hoch und unter Normalbedingungen auch nicht messbar, was in sich konsistent ist. Folgt man der aufgezeigten Vision einer Unternehmensstrategie, bei der die vier Bereiche integral gemanagt werden, dann sind Effektivität und Effizienz sehr wohl messbar, denn das integrale managen von Risiken ist nichts anderes als die Ermöglichung einer «long-term licence to operate» und Sicherstellung einer nachhaltigen Entwicklung des Unternehmens.

 

nach oben