Risk Management bei der Schweizerischen Post - Treuhänder
Transcription
Risk Management bei der Schweizerischen Post - Treuhänder
INTERNE REVISION Beat Affolter, Martina Zehnder Risk Management bei der Schweizerischen Post Ein Erfahrungsbericht [1] Die Schweizerische Post durchläuft seit einiger Zeit einen Kulturwandel: von einem durch Reglemente und Weisungen geprägten Staatsbetrieb zu einem konkurrenzfähigen Unternehmen. Das bedingt teilweise neue Führungsinstrumente. Im folgenden wird der Ansatz der Post im Risk Management dargestellt, der sich durch Transparenz und Einfachheit und damit Verständlichkeit auszeichnet. Durch eine schrittweise Einführung konnte zudem der Aufwand minimiert und das Instrument optimal an die Anforderungen und Bedürfnisse der Linie angepasst werden. 1. Einleitung Die Post ist ein Unternehmen mit über 40 000 Mitarbeitenden und einem Umsatz von rund CHF 6 Mia. (vgl. Abbildung 1). Sie befördert jeden Tag durchschnittlich 15 Mio. Briefe und Pakete. Im Zahlungsverkehr tätigen 2 Mio. Kunden knapp 700 Mio. Transaktionen pro Jahr. Sie ist nach den SBB der grösste Personentransporteur: 90 Mio. Reisende legen jährlich 80 Mio. km zurück, wofür 2 000 Postautos eingesetzt werden. Die Post steht im Spannungsfeld von Service Public und Eigenrentabilität und wird durch Bevölkerung und Politik kritisch beobachtet. Das wirtschaftliche Umfeld der Post ist geprägt durch Dienstleistungen im Bereich des Service Public sowie durch eine zunehmende Liberalisierung der Märkte mit erhöhtem Wettbewerbsdruck und einer wachsenden Komplexität der Technologie (z.B. Einstieg ins E-Commerce-Geschäft). Aufgrund des breiten Dienstleistungs- und ProdukDer Schweizer Treuhänder 6-7/01 teangebots ist die Geschäftstätigkeit der Post mit einer Vielzahl von Risiken konfrontiert. Mit einem Risk Management besteht die Möglichkeit, solche potentiellen Risiken systematisch zu identifizieren, zu bewerten sowie hier- auf aufbauend entsprechende Massnahmen zur Risikosteuerung zu ergreifen. Die Ziele für das Risk Management bei der Post sind gemäss Abbildung 2 definiert. Der Prozess setzt sich aus fünf Phasen zusammen (Abbildung 3). In der ersten Phase geht es darum, das Risikobewusstsein des Managements zu erhöhen und damit die Akzeptanz für ein integriertes Risk Management auf allen Management Ebenen zu erhalten. In der zweiten Phase werden die potentiellen Gefahren für das zu analysierende Gebiet ermittelt (Konzern Post, einzelne Unternehmensbereiche, Konzerngesellschaften oder Projekte). In der dritten Phase werden diese Gefahren bewertet und in der vierten Phase daraufhin untersucht, ob sie angemessen bewirtschaftet werden. Schliesslich erfolgt in der fünften und letzten Phase eine Erfolgskontrolle über die Wirksamkeit des Risk Managements. Das Herzstück des Risk Managements ist – vor allem in der Einführungsphase – die Risikoanalyse, d.h. Identifikation und Bewertung der Risiken. Im Herbst 1999 erteilte die Konzernleitung einem Projektteam den Auftrag, eine postweite Risikoanalyse als Basis für ein integriertes Risk Management in allen Unternehmensbereichen durchzuführen. Das Team setzt sich aus den Leitern des Versicherungsmanagements, der Unternehmenssicherheit und der Leiterin der Internen Revision zusammen. Damit soll gewährleistet werden, dass verschiedene Sichtweisen vertreten sind und ein breit abgestütztes Vorgehen eine gute Akzeptanz ermöglicht. Folgende Ziele sollen mit der Risikoanalyse erreicht werden: Beat Affolter, Leiter Risk- und Versicherungsmanagement Die Post, Bern [email protected] • Einheitliche, postweite Gefahrenidentifikation und -gewichtung für die Bedürfnisse 553 INTERNE REVISION Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post Abbildung 1 Organigramm der Post Konzernleiter – des Linienmanagements (als Teil des Führungsprozesses) inkl. Konzernleitung und Verwaltungsrat, – der Internen Revision (als Grundlage für die Revisionsplanung), – der Externen Revision (als Grundlage zur Planung der Jahresabschlussrevision), – der Unternehmenssicherheit (als Grundlage für die Massnahmenplanung im Bereich Sicherheit), – des Versicherungsmanagements (als Basis für die Definition der Risikofinanzierung); • einheitliche, postweite Berichterstattung über die Risikosituation an Verwaltungsrat, Konzernleitung und Linienmanagement; • einheitlicher Sprachgebrauch und standardisierte Definitionen im Bereich Risk Management. Risk Management und die Risikoanalyse entwickelt. Wir haben einige dieser Ansätze analysiert und zudem mit verschiedenen Unternehmen über ihre Erfahrungen im Bereich Risk Management diskutiert. Dabei kristallisierte sich folgendes heraus: Basis der meisten Methoden ist eine Checkliste von 2. Evaluation der Methode 2.1 Methode Verschiedene Unternehmensberatungsfirmen haben eigene Verfahren für das 554 Martina Zehnder, Leiterin Interne Revision Die Post, Bern [email protected] Philatelie Poststellennetz Finanzen Personenverkehr Güter und Logistik Finanzdienstleistungen Unternehmenskommunikation Generalsekretariat Mail International Fachausschüsse Personal verschiedenen Gefahren oder Risiken, welche jeweils unterschiedlich detailliert und strukturiert dargestellt werden. Im weiteren ist auch die grafische Darstellung der Risiken überall ähnlich, nämlich ein Diagramm, in dem die mit Eintretenswahrscheinlichkeit und Schadenausmass gewichteten Risiken dargestellt sind (Abbildung 4). Unterschiede zeigten sich bei der Durchführung der Risikoanalyse (top-down oder bottom-up, ursachenbezogen oder massnahmenorientiert, mit oder ohne «Voting»-Software). Eine Möglichkeit zur Aggregierung der Risiken aus z.Bsp. Bereichsanalysen auf die Konzernebene haben wir nicht angetroffen. Der veranschlagte finanzielle und v.a. zeitliche Aufwand der meisten Methoden ist gross, u.E. zu gross. Als weitere Schwachstelle von angebotenen Instrumenten erkannten wir, dass sie zu oft einseitig entweder den Revisions- oder den Versicherungsaspekt betonen, je nachdem ob eine WirtschaftsprüferGesellschaft oder eine Versicherung Anbieterin ist. In einigen Fällen erschien uns die vorgeschlagene Methode als zu komplex und/oder zu detailliert. Der Schweizer Treuhänder 6-7/01 INTERNE REVISION Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post – unterstützt die Umsetzung von Strategien und Plänen, indem die systematisch erfassten und beurteilten Brutto- und Restrisiken sowie insbesondere die Massnahmen für eine erfolgreiche Risikobewirtschaftung eine qualitative Aussage zur Erfolgswahrscheinlichkeit ermöglichen. Abbildung 2 Ziele des Risk Managements Post • Identifikation aller Risiken, welche die Zielerreichung eines Unternehmens negativ beeinflussen könn(t)en • Quantifizierung • Steuerung • Finanzierung Damit ergaben sich zusammengefasst die Anforderungen gemäss Abbildung 5 an das neue Instrument. und das … • systematisch 2.3 Die «Methode Post» • transparent • nach einheitlichen Standards 2.2 Einflussfaktoren für die Post Neben der Berücksichtigung der Situation der Post sind Akzeptanz, Transparenz und ein gutes Verständnis, d.h. Einfachheit, weitere Bedingungen für die Wahl einer bestimmten Methode. Der Risk Management-Prozess – verbessert die Gründlichkeit der Analysen bei der Erarbeitung und Überprüfung der Strategien, indem ein umfassender Gefahrenkatalog als postweit standardisiertes Instrument zur Verfügung steht; Nach Würdigung aller Umstände entschieden wir uns dafür, die «Philosophie» einer bestehenden Methode zu übernehmen, um daraus die PostMethode abzuleiten. Die besonderen Merkmale sind die zweistufige Risikobewertung (Brutto- und Restrisiko) und die detaillierte Beurteilung der Massnahmen. Die umfassende Analyse der Massnahmen ist deshalb besonders wichtig, weil der Handlungsbedarf (action plan) konkret festzulegen ist. Die Abbildung 3 Abbildung 4 Phasen des Risk Managements Post Nach Schadenausmass und Eintretenswahrscheinlichkeit gewichtete Risiken 4 Controlling Identifikation der Gefahren Action Plan Risikoanalyse Der Aufwand für die Linie (und natürlich auch das Projektteam) muss sich in einem vertretbaren Rahmen halten und vollständig mit den übrigen Führungsinstrumenten, insbesondere dem Strategieprozess, abgestimmt sein. Eintretenswahrscheinlichkeit Wille/Kultur 3 2 1 0 0 Die Integration von Strategie- und Risk Management-Prozess hat zwei grundsätzliche Auswirkungen zum Ziel. Der Schweizer Treuhänder 6-7/01 1 2 Schadenausmass 3 4 555 INTERNE REVISION Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post einschätzung (self assessment) der Risiken und vorhandener sowie allenfalls neu einzuführender Massnahmen. Abbildung 5 Anforderungen an das Instrument Risk Management Gemäss dem fünfstufigen Phasenmodell wurde zuerst das Instrument zur Gefahrenidentifikation erarbeitet. In mehreren Arbeitsschritten entwickelten wir den postspezifischen Gefahrenkatalog. Zuerst wurden auf theoretischer Basis zahlreiche Gefahren zusammengetragen. In einem Workshop wurden sie innerhalb des Projektteams ausdiskutiert und gruppiert. Insbesondere waren Ergänzungen zur Situation der Post nötig, wie z.Bsp. die Aspekte Liberalisierung oder Einflüsse der Politik. Nach der ersten Bereinigung des Gefahrenkatalogs innerhalb des Projektteams überprüften ihn drei Konzernleitungsmitglieder auf seine Vollständigkeit und Verständlichkeit. • Berücksichtigung der Situation der Post • Für verschiedenste Unternehmensbereiche anwendbar (bezüglich Art der Geschäftstätigkeit und Grösse) • Auf Konzernstufe aggregierbar • Berücksichtigung des politischen und gesellschaftlichen Umfeldes • Einfach, transparent, verständlich, akzeptiert • Mit dem Strategieprozess abstimmbar • Instrument der Post, d.h. beraterunabhängig Systematik der Risikoanalyse ist in Abbildung 6 dargestellt. Das Risk Management ist Sache und Verantwortung der Linie im Rahmen ihrer Geschäftsführungsaufgaben. Die Risikoanalyse erfolgt durch die Selbst- Wir unterteilen die Geschäftsgefahren in 14 Hauptbereiche mit insgesamt 110 Untergefahren (Abbildung 7). Auf eine weitere Strukturierung (z.B. operativ/ strategisch, beeinflussbar/nicht beeinflussbar, etc.) haben wir verzichtet. Parallel wurde die Bewertungsskala erarbeitet (Abbildung 8). Beim Schadenausmass sind vier Skalen definiert, wobei die Frankenskala gewährleistet, dass die Risiken aggregierbar sind. Viele der gängigen Verfahren arbeiten mit den Begriffen klein, mittel, gross o.ä. Für die Post ist dieser Ansatz nicht zweckmässig, weil – unterschiedliche Bewerter Unterschiedliches unter diesen Begriffen verstehen und – die Unternehmensbereiche der Post sehr unterschiedlich gross sind (z. B. schlägt ein kleines Risiko beim Geschäftsbereich Briefpost ungleich mehr zu Buche als ein grosses Risiko beim Geschäftsbereich Expresspost). Auch bei der Definition der Eintretenswahrscheinlichkeit versuchen wir möglichst konkrete Ansatzpunkte für die einheitliche Bewertung zu geben und Verfälschungen durch besonders optimistische oder pessimistische Ansichten auszuschliessen (Bemerkung: Abbildung 6 Systematik der Risikoanalyse Post Schritt 1 Bruttorisiko Schritt 2 Massnahmen und deren Beurteilung Schritt 3 Restrisiko E Massnahme Wirkung Bewertung E 1 nnn 2 nnn 3 nn 4 usw. Beurteilung der Massnahmen S (4 Kriterien und deren Erfüllungsgrad) S 556 Der Schweizer Treuhänder 6-7/01 INTERNE REVISION Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post (Schadenausmass multipliziert mit Eintretenswahrscheinlichkeit). Vielmehr wollen wir darstellen, dass der gleiche Erwartungswert ganz andere Massnahmen zur Risikobegrenzung erfordern kann. Hohes Schadenausmass kombiniert mit tiefer Wahrscheinlichkeit und hohe Wahrscheinlichkeit kombiniert mit tiefem Schadensausmass ergeben den gleichen Erwartungswert. Im ersten Fall ist es jedoch nötig, das Risiko abzusichern und/oder eine Notfallplanung zu erarbeiten. Im zweiten Fall müssen insbesondere das interne Kontrollsystem sowie Präventivmassnahmen verbessert werden, um die Frequenzschäden zu vermindern. Abbildung 7 Gefahrenkatalog Post 1 Strategie/Kunden 2 Kunden/Markt 3 Leistungserbringung 4 Preispolitik 5 Projekte/externe Dienstleistungen 6 Reporting/Controlling 7 Sicherheit 8 Eigen- und Haftpflichtschäden 9 HRM 10 IT 11 Finanzen 12 Corporate Governance 13 Rechtliche Aspekte 14 Kommunikation/Image 3. Umsetzung in Abbildung 8 fehlen die vorher erwähnten Details). Mit der grafischen Darstellung verzichten wir auf die blosse Berechnung eines mathematischen Erwartungswerts tung durchgeführt. Dabei gelangte ein reduziertes Instrumentarium zur Anwendung, indem die Qualität und Wirksamkeit der Massnahmen lediglich global und intuitiv zu beurteilen waren. Mit der Durchführung der Risikoanalyse auf Konzernstufe wurde ein Konsens über die Risikosituation auf transparente und systematische Weise erreicht. Diese Phase dauerte von August bis Oktober 2000. Im Oktober 2000 gab die Konzernleitung die nächste Phase frei. Im Januar 2001 wurde schliesslich auch der Verwaltungsrat über das neue Führungsinstrument und die Resultate auf Konzernstufe informiert. 3.1 Risikoanalyse auf Stufe Konzern 3.2 Verbreitung in die Konzernbereiche Die Risikoanalyse wurde in mehreren kurzen Workshops mit der Konzernlei- Im Verlauf des Jahres 2001 werden die Voraussetzungen geschaffen, um das Abbildung 8 Bewertungsskala Eintretenswahrscheinlichkeit 4 Nicht tragbar Handlungsbedarf in 1. Priorität Ist zu erwarten Präventive Massnahmen 3 Zu definierender Handlungsbedarf in 2. Priorität Vermeiden Kann vorkommen Akzeptiertes Restrisiko, evtl. Handlungsbedarf in 2. Priorität 2 Wenig wahrscheinlich Vorsorgliche Massnahmen Akzeptieren 1 (selber tragen) (-Versichern Notfallplanung) Unwahrscheinlich 0 Schadenausmass 0 1 2 3 4 Geld-/Sachwerte Betrieb Personen Image 558 Der Schweizer Treuhänder 6-7/01 INTERNE REVISION Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post wer Anzahl Tage Kommentar Projektteam 300 3 Personen während 2 Jahren Assistent 100 Befristete Stelle Externe Unterstützung 30 Konzernleitung 10 mehrere Informationen anlässlich von KL-Sitzungen; Workshops 400 Workshops auf Stufe Geschäftsleitung sowie Detailarbeiten in Teams Bereiche und Konzerngesellschaften Risk Management als Teil des Strategieprozesses in 14 verschiedenen Konzernbereichen zu implementieren. Wir entschieden uns, im Einführungsjahr den Risk Management Prozess in den Konzernbereichen separat durchzuführen und durch das Projektteam umfassend zu unterstützen. Dies er- Der Schweizer Treuhänder 6-7/01 laubt uns, das neue Instrument eng begleitend einzuführen und dessen Anwendung zu schulen. Damit ist u.a. auch sichergestellt, dass konzernweit mit einer einheitlichen Risikosprache gesprochen wird. Die Einführungsphase gliedert sich gemäss unserem generellen 5-Phasen Modell in die Schritte Kick-off Meeting mit der Geschäftsleitung, Workshops zur Anpassung des Gefahrenkatalogs auf die Situation des entsprechenden Bereichs, Bewertung der Bruttorisiken, Analyse und Bewertung der Massnahmen, Bewertung der Restrisken und schliesslich die Berichterstattung. Zeitlich setzten wir uns zum Ziel, dass bis zum Start der jährlichen Strategieüberprüfung im Herbst das neue Instrument für das Risk Management bei sämtlichen Unternehmensbereichen eingeführt und die volle Verantwortung an die Linie übergeben ist. In den Workshops zur Anpassung des Gefahrenkatalogs sind die 14 Gefahrenbereiche sowie die 110 Einzelgefahren fest vorgegeben, um die Vergleichbarkeit innerhalb des Konzerns zu gewährleisten. Hingegen soll der Gefahrenkatalog mit bereichsspezifi- 559 INTERNE REVISION Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post schen Beispielen, resp. Szenarien, konkretisiert und ggf. mit weiteren Gefahren ergänzt werden. Nicht relevante Risiken werden als solche markiert, aber nicht gelöscht. Damit werden zwei Ziele erreicht: einerseits eine massgeschneiderte Anpassung auf die jeweilige Situation und andererseits die Gewährleistung einer einheitlich verstandenen Risikosprache. 4. Aufwand für die Einführung des Risk Managements Das Projektteam hat die gesamte Erarbeitung der Methode und deren Einführung als «Zusatzbeschäftigung» zum ordentlichen Pflichtenheft geleistet, temporär unterstützt durch einen Assistenten für Begleitung und Administration (März bis Ende 2001). Die externe Unterstützung umfasste in der Anfangsphase rund 30 Personentage für Coaching. Der eigentliche Aufwand ergibt sich natürlich aus der zeitlichen Beanspruchung der Konzernleitung sowie der Bereichsgeschäftsleitungen. Dieser Aufwand wird sich in den Folgejahren massiv reduzieren, da einerseits das Instrumentarium eingeführt und andererseits der Risk Management Prozess in den Strategieprozess integriert ist. Künftig erfolgt lediglich die Überarbeitung der Vorjahresdaten aufgrund der ermittelten Veränderungen (Unternehmen, Umfeld, u.dgl.). 5 . Wichtige Erkenntnisse 1. Die Durchführung einer Risikoanalyse für einen grossen und heterogenen Konzern wie die Post ist eine anspruchsvolle Angelegenheit. Es zeigt sich, dass die Risikolage je nach Geschäftsbereich sehr unterschiedlich ist. Um Aussagen auf Konzernstufe zu erhalten, ist es äusserst wichtig, dass eine einheitliche Sprache und ein einheitlicher Massstab angewendet werden. Es ist eine der Hauptaufgaben des Projektteams, dies zu unterstützen. 560 2. Die Durchführung der Risikoanalyse in Workshops trägt dazu bei, unterschiedliche Ansichten innerhalb eines Leitungsgremiums sichtbar zu machen als Basis für die Konsensbildung und für tragfähige Entscheide. 3. Gewisse Themenbereiche, wie z. B. Unternehmenskultur, Wissensmanagement, Mitarbeiterführung, Unternehmensethik, u.ä., sind schwierig zu bewerten. Die Methode zwingt jedoch die entsprechenden Gremien, sich intensiv damit auseinander zu setzen und das darin enthaltene Gefahrenpotential zu ermitteln. 6. Fazit und Ausblick Die Skepsis gegenüber neuen Führungsinstrumenten ist bei der Linie gross und damit das Risiko eines Scheiterns ebenso. Bei der Linie ist das Thema Risk Management nicht vordringlich, ganz im Gegensatz zur Diskussion in den einschlägigen Kreisen, wo die Schlagworte Risk Management oder Corporate Governance schon fast inflationär gebraucht werden. Die Entwicklung in der Bankbranche oder im Ausland (z. B. Deutschland) weisen allerdings darauf hin, dass ein institutionalisiertes Risk Management als Führungsinstrument zunehmend an Bedeutung gewinnt. Die Post hat vor allem aus Ressourcengründen ein schrittweises Vorgehen gewählt, was sich sehr bewährt hat. Während der eher langen Entwicklungsphase begann die Idee des Risk Management Teil der Unternehmenskultur zu werden. Durch die Entwicklung einer eigenen Post Methode ist ein hohes Verständnis gewährleistet. Anmerkung 1 Für Literaturhinweise siehe z. B. Der Schweizer Treuhänder 10 und 11/2000. Der vorliegende Artikel ist ein reiner Erfahrungsbericht und verzichtet deshalb auf weiterführende Literaturangaben. RESUME La gestion des risques et la Poste suisse La Poste traverse actuellement un changement de culture: elle passe d’une entreprise publique imprégnée de règlements et de directives à une entreprise compétitive. Cela implique l’utilisation de nouveaux outils de gestion. être simple, compréhensible et transparente et sa mise en place doit exiger le moins de coûts supplémentaires possible. Enfin, il faut trouver un langage commun ainsi qu’une échelle uniforme et les appliquer à toute l’entreprise. La Poste a développé son propre outil de gestion des risques, basé sur les procédures connues et respectant les données de l’entreprise. Outre les objectifs de base, il doit être accepté par toute la «ligne» (entités responsables de l’entreprise); sa formulation doit L’introduction de la gestion des risques se fait par étapes et de haut en bas, à commencer par la direction du groupe. L’introduction par étapes a permis de réduire les coûts et d’adapter les besoins aux besoins de la ligne. BA/MZ/AFB L’Expert-comptable suisse 6-7/01