Risk Management bei der Schweizerischen Post - Treuhänder

INTERNE REVISION
Beat Affolter, Martina Zehnder
Risk Management bei der
Schweizerischen Post
Ein Erfahrungsbericht [1]
Die Schweizerische Post durchläuft seit einiger Zeit
einen Kulturwandel: von einem durch Reglemente und
Weisungen geprägten Staatsbetrieb zu einem konkurrenzfähigen Unternehmen. Das bedingt teilweise neue
Führungsinstrumente. Im folgenden wird der Ansatz
der Post im Risk Management dargestellt, der sich
durch Transparenz und Einfachheit und damit Verständlichkeit auszeichnet. Durch eine schrittweise
Einführung konnte zudem der Aufwand minimiert
und das Instrument optimal an die Anforderungen
und Bedürfnisse der Linie angepasst werden.
1. Einleitung
Die Post ist ein Unternehmen mit über
40 000 Mitarbeitenden und einem Umsatz von rund CHF 6 Mia. (vgl. Abbildung 1). Sie befördert jeden Tag durchschnittlich 15 Mio. Briefe und Pakete.
Im Zahlungsverkehr tätigen 2 Mio.
Kunden knapp 700 Mio. Transaktionen
pro Jahr. Sie ist nach den SBB der
grösste Personentransporteur: 90 Mio.
Reisende legen jährlich 80 Mio. km
zurück, wofür 2 000 Postautos eingesetzt werden. Die Post steht im Spannungsfeld von Service Public und Eigenrentabilität und wird durch Bevölkerung und Politik kritisch beobachtet.
Das wirtschaftliche Umfeld der Post ist
geprägt durch Dienstleistungen im Bereich des Service Public sowie durch
eine zunehmende Liberalisierung der
Märkte mit erhöhtem Wettbewerbsdruck und einer wachsenden Komplexität der Technologie (z.B. Einstieg ins
E-Commerce-Geschäft). Aufgrund des
breiten Dienstleistungs- und ProdukDer Schweizer Treuhänder 6-7/01
teangebots ist die Geschäftstätigkeit
der Post mit einer Vielzahl von Risiken
konfrontiert. Mit einem Risk Management besteht die Möglichkeit, solche
potentiellen Risiken systematisch zu
identifizieren, zu bewerten sowie hier-
auf aufbauend entsprechende Massnahmen zur Risikosteuerung zu ergreifen.
Die Ziele für das Risk Management bei
der Post sind gemäss Abbildung 2 definiert. Der Prozess setzt sich aus fünf
Phasen zusammen (Abbildung 3). In der
ersten Phase geht es darum, das Risikobewusstsein des Managements zu erhöhen und damit die Akzeptanz für ein
integriertes Risk Management auf allen
Management Ebenen zu erhalten. In
der zweiten Phase werden die potentiellen Gefahren für das zu analysierende Gebiet ermittelt (Konzern Post,
einzelne Unternehmensbereiche, Konzerngesellschaften oder Projekte). In
der dritten Phase werden diese Gefahren bewertet und in der vierten Phase
daraufhin untersucht, ob sie angemessen bewirtschaftet werden. Schliesslich
erfolgt in der fünften und letzten Phase
eine Erfolgskontrolle über die Wirksamkeit des Risk Managements. Das
Herzstück des Risk Managements ist –
vor allem in der Einführungsphase –
die Risikoanalyse, d.h. Identifikation
und Bewertung der Risiken.
Im Herbst 1999 erteilte die Konzernleitung einem Projektteam den Auftrag,
eine postweite Risikoanalyse als Basis
für ein integriertes Risk Management
in allen Unternehmensbereichen durchzuführen. Das Team setzt sich aus den
Leitern des Versicherungsmanagements,
der Unternehmenssicherheit und der
Leiterin der Internen Revision zusammen. Damit soll gewährleistet werden,
dass verschiedene Sichtweisen vertreten sind und ein breit abgestütztes Vorgehen eine gute Akzeptanz ermöglicht.
Folgende Ziele sollen mit der Risikoanalyse erreicht werden:
Beat Affolter, Leiter Risk- und Versicherungsmanagement Die Post, Bern
[email protected]
• Einheitliche, postweite Gefahrenidentifikation und -gewichtung für
die Bedürfnisse
553
INTERNE REVISION
Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post
Abbildung 1
Organigramm der Post
Konzernleiter
– des Linienmanagements (als Teil
des Führungsprozesses) inkl. Konzernleitung und Verwaltungsrat,
– der Internen Revision (als Grundlage für die Revisionsplanung),
– der Externen Revision (als Grundlage zur Planung der Jahresabschlussrevision),
– der Unternehmenssicherheit (als
Grundlage für die Massnahmenplanung im Bereich Sicherheit),
– des Versicherungsmanagements
(als Basis für die Definition der
Risikofinanzierung);
• einheitliche, postweite Berichterstattung über die Risikosituation an
Verwaltungsrat, Konzernleitung und
Linienmanagement;
• einheitlicher Sprachgebrauch und
standardisierte Definitionen im Bereich Risk Management.
Risk Management und die Risikoanalyse entwickelt. Wir haben einige dieser
Ansätze analysiert und zudem mit verschiedenen Unternehmen über ihre
Erfahrungen im Bereich Risk Management diskutiert. Dabei kristallisierte
sich folgendes heraus: Basis der meisten Methoden ist eine Checkliste von
2. Evaluation der Methode
2.1 Methode
Verschiedene Unternehmensberatungsfirmen haben eigene Verfahren für das
554
Martina Zehnder, Leiterin Interne
Revision Die Post, Bern
[email protected]
Philatelie
Poststellennetz
Finanzen
Personenverkehr
Güter und Logistik
Finanzdienstleistungen
Unternehmenskommunikation
Generalsekretariat
Mail
International
Fachausschüsse
Personal
verschiedenen Gefahren oder Risiken,
welche jeweils unterschiedlich detailliert und strukturiert dargestellt werden. Im weiteren ist auch die grafische
Darstellung der Risiken überall ähnlich, nämlich ein Diagramm, in dem die
mit Eintretenswahrscheinlichkeit und
Schadenausmass gewichteten Risiken
dargestellt sind (Abbildung 4). Unterschiede zeigten sich bei der Durchführung der Risikoanalyse (top-down oder
bottom-up, ursachenbezogen oder
massnahmenorientiert, mit oder ohne
«Voting»-Software). Eine Möglichkeit
zur Aggregierung der Risiken aus
z.Bsp. Bereichsanalysen auf die Konzernebene haben wir nicht angetroffen.
Der veranschlagte finanzielle und v.a.
zeitliche Aufwand der meisten Methoden ist gross, u.E. zu gross. Als weitere
Schwachstelle von angebotenen Instrumenten erkannten wir, dass sie zu oft
einseitig entweder den Revisions- oder
den Versicherungsaspekt betonen, je
nachdem ob eine WirtschaftsprüferGesellschaft oder eine Versicherung Anbieterin ist. In einigen Fällen erschien
uns die vorgeschlagene Methode als zu
komplex und/oder zu detailliert.
Der Schweizer Treuhänder 6-7/01
INTERNE REVISION
Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post
– unterstützt die Umsetzung von Strategien und Plänen, indem die systematisch erfassten und beurteilten
Brutto- und Restrisiken sowie insbesondere die Massnahmen für eine erfolgreiche Risikobewirtschaftung eine
qualitative Aussage zur Erfolgswahrscheinlichkeit ermöglichen.
Abbildung 2
Ziele des Risk Managements Post
• Identifikation
aller Risiken, welche die
Zielerreichung eines
Unternehmens negativ
beeinflussen könn(t)en
• Quantifizierung
• Steuerung
• Finanzierung
Damit ergaben sich zusammengefasst
die Anforderungen gemäss Abbildung 5
an das neue Instrument.
und das …
• systematisch
2.3 Die «Methode Post»
• transparent
• nach einheitlichen Standards
2.2 Einflussfaktoren für die Post
Neben der Berücksichtigung der Situation der Post sind Akzeptanz, Transparenz und ein gutes Verständnis, d.h.
Einfachheit, weitere Bedingungen für
die Wahl einer bestimmten Methode.
Der Risk Management-Prozess
– verbessert die Gründlichkeit der
Analysen bei der Erarbeitung und
Überprüfung der Strategien, indem
ein umfassender Gefahrenkatalog
als postweit standardisiertes Instrument zur Verfügung steht;
Nach Würdigung aller Umstände entschieden wir uns dafür, die «Philosophie» einer bestehenden Methode zu
übernehmen, um daraus die PostMethode abzuleiten. Die besonderen
Merkmale sind die zweistufige Risikobewertung (Brutto- und Restrisiko)
und die detaillierte Beurteilung der
Massnahmen. Die umfassende Analyse
der Massnahmen ist deshalb besonders
wichtig, weil der Handlungsbedarf (action plan) konkret festzulegen ist. Die
Abbildung 3
Abbildung 4
Phasen des Risk Managements
Post
Nach Schadenausmass und Eintretenswahrscheinlichkeit
gewichtete Risiken
4
Controlling
Identifikation
der Gefahren
Action Plan
Risikoanalyse
Der Aufwand für die Linie (und natürlich auch das Projektteam) muss sich
in einem vertretbaren Rahmen halten
und vollständig mit den übrigen Führungsinstrumenten, insbesondere dem
Strategieprozess, abgestimmt sein.
Eintretenswahrscheinlichkeit
Wille/Kultur
3
2
1
0
0
Die Integration von Strategie- und Risk
Management-Prozess hat zwei grundsätzliche Auswirkungen zum Ziel.
Der Schweizer Treuhänder 6-7/01
1
2
Schadenausmass
3
4
555
INTERNE REVISION
Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post
einschätzung (self assessment) der Risiken und vorhandener sowie allenfalls
neu einzuführender Massnahmen.
Abbildung 5
Anforderungen an das
Instrument Risk Management
Gemäss dem fünfstufigen Phasenmodell wurde zuerst das Instrument zur
Gefahrenidentifikation erarbeitet. In
mehreren Arbeitsschritten entwickelten wir den postspezifischen Gefahrenkatalog. Zuerst wurden auf theoretischer Basis zahlreiche Gefahren zusammengetragen. In einem Workshop
wurden sie innerhalb des Projektteams
ausdiskutiert und gruppiert. Insbesondere waren Ergänzungen zur Situation
der Post nötig, wie z.Bsp. die Aspekte
Liberalisierung oder Einflüsse der Politik. Nach der ersten Bereinigung des
Gefahrenkatalogs innerhalb des Projektteams überprüften ihn drei Konzernleitungsmitglieder auf seine Vollständigkeit und Verständlichkeit.
• Berücksichtigung der Situation der
Post
• Für verschiedenste Unternehmensbereiche anwendbar (bezüglich Art
der Geschäftstätigkeit und Grösse)
• Auf Konzernstufe aggregierbar
• Berücksichtigung des politischen
und gesellschaftlichen Umfeldes
• Einfach, transparent, verständlich,
akzeptiert
• Mit dem Strategieprozess
abstimmbar
• Instrument der Post, d.h.
beraterunabhängig
Systematik der Risikoanalyse ist in Abbildung 6 dargestellt.
Das Risk Management ist Sache und
Verantwortung der Linie im Rahmen
ihrer Geschäftsführungsaufgaben. Die
Risikoanalyse erfolgt durch die Selbst-
Wir unterteilen die Geschäftsgefahren
in 14 Hauptbereiche mit insgesamt 110
Untergefahren (Abbildung 7). Auf eine
weitere Strukturierung (z.B. operativ/
strategisch, beeinflussbar/nicht beeinflussbar, etc.) haben wir verzichtet.
Parallel wurde die Bewertungsskala
erarbeitet (Abbildung 8). Beim Schadenausmass sind vier Skalen definiert,
wobei die Frankenskala gewährleistet,
dass die Risiken aggregierbar sind.
Viele der gängigen Verfahren arbeiten
mit den Begriffen klein, mittel, gross
o.ä. Für die Post ist dieser Ansatz nicht
zweckmässig, weil
– unterschiedliche Bewerter Unterschiedliches unter diesen Begriffen
verstehen und
– die Unternehmensbereiche der Post
sehr unterschiedlich gross sind (z. B.
schlägt ein kleines Risiko beim
Geschäftsbereich Briefpost ungleich
mehr zu Buche als ein grosses Risiko
beim Geschäftsbereich Expresspost).
Auch bei der Definition der Eintretenswahrscheinlichkeit versuchen wir
möglichst konkrete Ansatzpunkte für
die einheitliche Bewertung zu geben
und Verfälschungen durch besonders
optimistische oder pessimistische Ansichten auszuschliessen (Bemerkung:
Abbildung 6
Systematik der Risikoanalyse Post
Schritt 1
Bruttorisiko
Schritt 2
Massnahmen und deren Beurteilung
Schritt 3
Restrisiko
E
Massnahme
Wirkung
Bewertung
E
1 nnn
2 nnn
3 nn
4 usw.
Beurteilung der Massnahmen
S
(4 Kriterien und deren Erfüllungsgrad)
S
556
Der Schweizer Treuhänder 6-7/01
INTERNE REVISION
Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post
(Schadenausmass multipliziert mit
Eintretenswahrscheinlichkeit). Vielmehr wollen wir darstellen, dass der
gleiche Erwartungswert ganz andere
Massnahmen zur Risikobegrenzung erfordern kann. Hohes Schadenausmass
kombiniert mit tiefer Wahrscheinlichkeit und hohe Wahrscheinlichkeit
kombiniert mit tiefem Schadensausmass ergeben den gleichen Erwartungswert. Im ersten Fall ist es jedoch
nötig, das Risiko abzusichern und/oder
eine Notfallplanung zu erarbeiten. Im
zweiten Fall müssen insbesondere das
interne Kontrollsystem sowie Präventivmassnahmen verbessert werden, um
die Frequenzschäden zu vermindern.
Abbildung 7
Gefahrenkatalog Post
1 Strategie/Kunden
2 Kunden/Markt
3 Leistungserbringung
4 Preispolitik
5 Projekte/externe Dienstleistungen
6 Reporting/Controlling
7 Sicherheit
8 Eigen- und Haftpflichtschäden
9 HRM
10 IT
11 Finanzen
12 Corporate Governance
13 Rechtliche Aspekte
14 Kommunikation/Image
3. Umsetzung
in Abbildung 8 fehlen die vorher erwähnten Details).
Mit der grafischen Darstellung verzichten wir auf die blosse Berechnung
eines mathematischen Erwartungswerts
tung durchgeführt. Dabei gelangte ein
reduziertes Instrumentarium zur Anwendung, indem die Qualität und
Wirksamkeit der Massnahmen lediglich global und intuitiv zu beurteilen
waren.
Mit der Durchführung der Risikoanalyse auf Konzernstufe wurde ein Konsens über die Risikosituation auf transparente und systematische Weise erreicht. Diese Phase dauerte von August
bis Oktober 2000.
Im Oktober 2000 gab die Konzernleitung die nächste Phase frei. Im Januar
2001 wurde schliesslich auch der Verwaltungsrat über das neue Führungsinstrument und die Resultate auf Konzernstufe informiert.
3.1 Risikoanalyse auf Stufe
Konzern
3.2 Verbreitung in die
Konzernbereiche
Die Risikoanalyse wurde in mehreren
kurzen Workshops mit der Konzernlei-
Im Verlauf des Jahres 2001 werden die
Voraussetzungen geschaffen, um das
Abbildung 8
Bewertungsskala
Eintretenswahrscheinlichkeit
4
Nicht tragbar
Handlungsbedarf in 1. Priorität
Ist zu erwarten
Präventive
Massnahmen
3
Zu definierender
Handlungsbedarf in 2. Priorität
Vermeiden
Kann vorkommen
Akzeptiertes Restrisiko, evtl.
Handlungsbedarf in 2. Priorität
2
Wenig wahrscheinlich
Vorsorgliche
Massnahmen
Akzeptieren
1
(selber tragen)
(-Versichern
Notfallplanung)
Unwahrscheinlich
0
Schadenausmass
0
1
2
3
4
Geld-/Sachwerte
Betrieb
Personen
Image
558
Der Schweizer Treuhänder 6-7/01
INTERNE REVISION
Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post
wer
Anzahl Tage
Kommentar
Projektteam
300
3 Personen während 2 Jahren
Assistent
100
Befristete Stelle
Externe Unterstützung
30
Konzernleitung
10
mehrere Informationen anlässlich
von KL-Sitzungen; Workshops
400
Workshops auf Stufe Geschäftsleitung sowie Detailarbeiten in
Teams
Bereiche und Konzerngesellschaften
Risk Management als Teil des Strategieprozesses in 14 verschiedenen Konzernbereichen zu implementieren.
Wir entschieden uns, im Einführungsjahr den Risk Management Prozess in
den Konzernbereichen separat durchzuführen und durch das Projektteam
umfassend zu unterstützen. Dies er-
Der Schweizer Treuhänder 6-7/01
laubt uns, das neue Instrument eng begleitend einzuführen und dessen Anwendung zu schulen. Damit ist u.a.
auch sichergestellt, dass konzernweit
mit einer einheitlichen Risikosprache
gesprochen wird.
Die Einführungsphase gliedert sich
gemäss unserem generellen 5-Phasen
Modell in die Schritte Kick-off Meeting
mit der Geschäftsleitung, Workshops
zur Anpassung des Gefahrenkatalogs
auf die Situation des entsprechenden
Bereichs, Bewertung der Bruttorisiken,
Analyse und Bewertung der Massnahmen, Bewertung der Restrisken und
schliesslich die Berichterstattung.
Zeitlich setzten wir uns zum Ziel, dass
bis zum Start der jährlichen Strategieüberprüfung im Herbst das neue Instrument für das Risk Management bei
sämtlichen Unternehmensbereichen
eingeführt und die volle Verantwortung an die Linie übergeben ist.
In den Workshops zur Anpassung
des Gefahrenkatalogs sind die 14 Gefahrenbereiche sowie die 110 Einzelgefahren fest vorgegeben, um die Vergleichbarkeit innerhalb des Konzerns
zu gewährleisten. Hingegen soll der
Gefahrenkatalog mit bereichsspezifi-
559
INTERNE REVISION
Beat Affolter, Martina Zehnder, Risk Management bei der Schweizerischen Post
schen Beispielen, resp. Szenarien, konkretisiert und ggf. mit weiteren Gefahren ergänzt werden. Nicht relevante
Risiken werden als solche markiert,
aber nicht gelöscht. Damit werden zwei
Ziele erreicht: einerseits eine massgeschneiderte Anpassung auf die jeweilige Situation und andererseits die Gewährleistung einer einheitlich verstandenen Risikosprache.
4. Aufwand für die Einführung
des Risk Managements
Das Projektteam hat die gesamte Erarbeitung der Methode und deren Einführung als «Zusatzbeschäftigung»
zum ordentlichen Pflichtenheft geleistet, temporär unterstützt durch einen
Assistenten für Begleitung und Administration (März bis Ende 2001).
Die externe Unterstützung umfasste in
der Anfangsphase rund 30 Personentage für Coaching. Der eigentliche
Aufwand ergibt sich natürlich aus der
zeitlichen Beanspruchung der Konzernleitung sowie der Bereichsgeschäftsleitungen.
Dieser Aufwand wird sich in den Folgejahren massiv reduzieren, da einerseits das Instrumentarium eingeführt
und andererseits der Risk Management Prozess in den Strategieprozess
integriert ist. Künftig erfolgt lediglich
die Überarbeitung der Vorjahresdaten
aufgrund der ermittelten Veränderungen (Unternehmen, Umfeld, u.dgl.).
5 . Wichtige Erkenntnisse
1. Die Durchführung einer Risikoanalyse für einen grossen und heterogenen Konzern wie die Post ist eine anspruchsvolle Angelegenheit. Es zeigt
sich, dass die Risikolage je nach Geschäftsbereich sehr unterschiedlich
ist. Um Aussagen auf Konzernstufe
zu erhalten, ist es äusserst wichtig,
dass eine einheitliche Sprache und
ein einheitlicher Massstab angewendet werden. Es ist eine der Hauptaufgaben des Projektteams, dies zu
unterstützen.
560
2. Die Durchführung der Risikoanalyse in Workshops trägt dazu bei, unterschiedliche Ansichten innerhalb
eines Leitungsgremiums sichtbar zu
machen als Basis für die Konsensbildung und für tragfähige Entscheide.
3. Gewisse Themenbereiche, wie z. B.
Unternehmenskultur, Wissensmanagement, Mitarbeiterführung, Unternehmensethik, u.ä., sind schwierig zu
bewerten. Die Methode zwingt jedoch die entsprechenden Gremien,
sich intensiv damit auseinander zu
setzen und das darin enthaltene Gefahrenpotential zu ermitteln.
6. Fazit und Ausblick
Die Skepsis gegenüber neuen Führungsinstrumenten ist bei der Linie
gross und damit das Risiko eines Scheiterns ebenso. Bei der Linie ist das
Thema Risk Management nicht vordringlich, ganz im Gegensatz zur Diskussion in den einschlägigen Kreisen,
wo die Schlagworte Risk Management
oder Corporate Governance schon fast
inflationär gebraucht werden.
Die Entwicklung in der Bankbranche
oder im Ausland (z. B. Deutschland)
weisen allerdings darauf hin, dass ein
institutionalisiertes Risk Management
als Führungsinstrument zunehmend an
Bedeutung gewinnt.
Die Post hat vor allem aus Ressourcengründen ein schrittweises Vorgehen gewählt, was sich sehr bewährt hat.
Während der eher langen Entwicklungsphase begann die Idee des Risk
Management Teil der Unternehmenskultur zu werden. Durch die Entwicklung einer eigenen Post Methode ist ein
hohes Verständnis gewährleistet.
Anmerkung
1 Für Literaturhinweise siehe z. B. Der Schweizer Treuhänder 10 und 11/2000. Der vorliegende Artikel ist ein reiner Erfahrungsbericht und verzichtet deshalb auf weiterführende Literaturangaben.
RESUME
La gestion des risques
et la Poste suisse
La Poste traverse actuellement un
changement de culture: elle passe
d’une entreprise publique imprégnée de règlements et de directives à
une entreprise compétitive. Cela implique l’utilisation de nouveaux outils
de gestion.
être simple, compréhensible et transparente et sa mise en place doit exiger
le moins de coûts supplémentaires
possible. Enfin, il faut trouver un langage commun ainsi qu’une échelle
uniforme et les appliquer à toute
l’entreprise.
La Poste a développé son propre outil
de gestion des risques, basé sur les
procédures connues et respectant les
données de l’entreprise. Outre les objectifs de base, il doit être accepté par
toute la «ligne» (entités responsables
de l’entreprise); sa formulation doit
L’introduction de la gestion des risques se fait par étapes et de haut en
bas, à commencer par la direction du
groupe. L’introduction par étapes a
permis de réduire les coûts et d’adapter les besoins aux besoins de la ligne.
BA/MZ/AFB
L’Expert-comptable suisse 6-7/01