Andreas Kohlweiss

Next Article

Ulrich Bauer

2006 – 2012 Geschäftsführer Reditune Bornhauser, Infotainment 1999 – 2006 Geschäftsführer Sony NetServices GmbH, Berlin 2001 – 2002 Managing Director Sony E-solutions BV, Brüssel 1998 – 1999 Director E-Commerce, Sony DADC AG, Salzburg 1995 – 1998 Manager Intern. Operations, Sony DADC AG, Salzburg 1993 – 1995 Doktoratsstudium und Promotion, TU Wien 1989 – 1995 Unternehmensberater, Andersen Consulting, Wien 1987 – 1989 MBA International Marketing, University of Hawaii 1982 – 1987 Studium Wirtschaftsingenieurwesen, TU Graz

Das Interview führte Herr Dipl.-Ing. Dr. Hans-Jörg Gress

Uninachrichten

Foto: "Lead Factory" - IIM-TUGraz Foto: Lunghammer TU Graz

Ankündigung: 11th Conference on Learning Factories

Die 11th Conference on Learning Factories wird vom 30.6. bis zum 2.7.2021 an der TU Graz physisch stattfinden, sofern es die Covid-19 Situation bis dahin erlaubt. Nach der erfolgreichen Organisation und Durchführung der zehnten Lernfabrikskonferenz im April 2020, die erstmals online stattfinden musste, wird dem Conference Chair Univ.-Prof. Dr. Christian Ramsauer die Möglichkeit gegeben die Konferenz mit spannenden Workshops physisch nachzuholen. Es wurden über 130 Abstracts aus über 30 Nationen für die Konferenz zu den folgenden Konferenzthemen eingereicht:

„ Machine Learning and Artificial Intelligence in Learning Factories „ Teaching Global Value Chains in Learning Factories „ Sustainability and Circular Economy in Learning Factories „ 5G and IoT in Learning Factories „ Mixed Reality in Learning Factories „ Learning Factory Concepts

Im Rahmenprogramm sind unter anderem spannende Workshops zu den Themen digitale Produktion, Virtual Reality und Product Tear Down geplant. Je nach Covid-19-Bestimmungen wird das Programm auch durch gesellschaftliche Events ergänzt. Wir würden uns freuen, Sie bei der 11th Conference on Learning Factories im Sommer 2021 in Graz begrüßen zu dürfen.

Foto: https://pixabay.com/de/users/pixxlteufel

Walter S.A. Schwaiger, Michael Brandstätter

Unternehmensweites Risikomanagement: Reife der Implementierung – Fitness Check

Unternehmensweites Risikomanagement (Enterprise Risk Management, kurz: ERM-System) ist ein systematischer Zugang zur Identifikation und Einbindung von Risiko- und Chancen-Informationen in die Planungs- und Steuerungssysteme der verschiedenen Managementbereiche des Unternehmens. In einem von der Funk-Stiftung Hamburg geförderten Forschungsprojekt wurde an der TU Wien ein Best Practice-Reifegradmodell zur Messung der Qualität der ERM-System-Implementierung entlang des ISO-Risikomanagement-Standards (ISO-RM 2018) und des COSO-Enterprise Risk Management Frameworks (COSO-ERM 2017) entwickelt und im ERM-Maturity Assessment (ERMMA)-Online Tool für die öffentliche Nutzung verfügbar gemacht. In diesem Beitrag wird das ERM-Reifegradmodell vorgestellt und seine Nutzung durch die Maschinenbau-EWF demonstriert.

1.ERM-System: Definition und Reifegrade der Implementierung

Ein systematischer Zugang zur Identifikation und Einbindung von Risiko- und Chancen-Informationen in die Planungs- und Steuerungssysteme der verschiedenen Managementbereiche des Unternehmens liegt vor, wenn die Generierung derartiger Informationen (Information Provider) und ihre Nutzung (Information User) in der Corporate Governance verankert sind und diese ERM-Governance im Unternehmen nachhaltig umgesetzt, d.h. gelebt wird.

Abbildung 1 zeigt die drei Bestandteile des systematischen Zugangs, u.z. A) ERM-Governance, B) Risikomanagementsystem (Information Provider) und C) Risiko-basierte Planungs- und Steuerungssysteme (Information User) als die drei Dimensionen des ERMMA-Reifegradmodells. Alle drei Dimensionen sind mit jeweils drei Sub-Dimensionen untergliedert, sodass dem ERMMA-Modell eine umfassende Perspektive zugrunde liegt. Orthogonal zu den (Sub-)Dimensionen sind jeweils 5 Reifegrade (RG) spezifiziert, welche sukzessiv höhere Anforderungen an die Ausgestaltung der (Sub-)Dimensionen stellen.

„ Im Reifegrad 1 (RG1) sind die Anforderungen definiert, welche sich an den gesetzlichen Mindestanforderungen für in Unternehmen einzurichtenden ERM-Systemen orientieren. „ Im Reifegrad 2 (RG2) kommen

Überwachungs- und Prüfungsaspekte hinsichtlich der im Reifegrad 1 definierten Systeme hinzu. „ Beim Reifegrad 3 wird zusätzlich eine unternehmensweit vorliegende holistisch differenzierte

Perspektive sowie eine unternehmensweite Standardisierung der

Systeme gefordert. „ Beim Reifegrad 4 kommt die unternehmensübergreifende Perspektive hinzu, wobei das Unternehmen gesamtheitlich betrachtet und mit Double Loop-Managementsystemen geplant und gesteuert wird. „ Im Reifegrad 5 wird schließlich zudem gefordert, dass sich das

Top-Management interaktiv in die Ausgestaltung und Verbesserung der Managementsysteme einbindet.

Nach dieser kompakten ERM-System-Definition sowie Skizzierung des ERMMA-Reifegradmodells wird

Abbildung 1: Klassifikationsschema des ERMMA-Reifegradmodells (siehe Schwaiger/Brandstätter, 2020, S. 74)

nachfolgend die Implementierung des ERM-Systems in der MaschinenbauEWF beschrieben. Anschließend wird der Reifegrad der Maschinenbau-EWF-Implementierung mit dem ERMMA-Online Tool bestimmt. Schließlich wird auf die anhand des ERMMA-Feedbacks durgeführte Stärken/Schwächen-Analyse bezüglich Systemverbesserungen eingegangen.

2. ERM-System: Praktische Implementierung in der MaschinenbauEWF

Die „Maschinenbau-EWF“ ist ein Unternehmenskonstrukt, welches in Anlehnung an eine wirkliche Firma (EWF) konzipiert wurde und am Institut für Managementwissenschaften (TU-Wien) im Rahmen der experimentellen Forschung eingesetzt wird. Wie bereits der Name andeutet ist die Maschinenbau-EWF in der Maschinenbau-Branche tätig. Das Kerngeschäft des Unternehmens liegt in der Produktion und der Montage von Fertigungsmaschinen. Dabei wurde im letzten Geschäftsjahr mit einer Belegschaft von 480 MitarbeiterInnen ein Jahresumsatz von EUR 104 Mio. erzielt.

Das Unternehmen ist eigentümergeführt und hat die Rechtsform einer wirtschaftsprüfungspflichtigen Gesellschaft mit beschränkter Haftung (GmbH). Die Geschäftsführung umfasst drei Personen, wobei der Geschäftsführer (CEO) der Eigentümerfamilie entstammt. Die technische Leitung (CTO) und die kaufmännische Leitung (CFO) sind international rekrutierten Managern übertragen.

Im Unternehmen spielt der technische Aspekt – nicht zuletzt aufgrund der technischen Universitätsausbildung des Geschäftsführers – eine zentrale Rolle. Dies zeigt sich beispielsweise durch die Zertifizierung des Qualitätsmanagements nach dem ISO-Standard DIN EN ISO 9001: 2015. Seit der Umstellung auf den 2015-Standard werden auch die mit der Qualität verbundenen Risiken (Qualitätsrisiken) im Qualitätsmanagement berücksichtigt.

Im Zuge der Umstellung wurden auch das Prozessmanagement im Produktionsbereich sowie die Produktionsplanung um den Aspekt des Risikos erweitert. Konkret wurden Richtlinien zum Umgang mit Risiken im Produktionsbereich festgelegt, und die Produktionsprozesse wurden anhand dieser Richtlinien definiert und dokumentiert. Zur Sicherstellung einer lückenlosen Umsetzung werden auch alle in der Produktion tätigen Mitarbeiter hinsichtlich der neuen Vorgaben geschult. In der Produktionsplanung werden beispielsweise die mit unterschiedlichen Auslastungsgraden einhergehenden Betriebsunterbrechungsrisiken einbezogen. Die verschiedenen Risiken im Produktionsbereich werden in einem Tabellenkalkulationsprogramm systematisch dokumentiert, und die quantifizierbaren Risiken werden anhand statistischer Berechnungen aus historischen Betriebsdaten ermittelt.

Im strategischen Management zeigt sich die „technische Unternehmenskultur“ insofern, als dass insbesondere neue Entwicklungen bzw. Möglichkeiten im Fertigungsbereich (z.B. 3D-Druck) einem Monitoring unterzogen werden. Darüber hinaus werden fallweise auch Wettbewerbsanalysen durchgeführt, wobei technologisch disruptive Veränderungen sowie strategische Verhaltensänderungen bei den wichtigsten Konkurrenzunternehmen in Erfahrung gebracht und sodann geeignete Entgegnungsmaßnahmen entwickelt werden.

Im Finanzbereich ist zur Sicherung einer zuverlässigen Berichterstattung ein internes Kontrollsystem (IKS) entsprechend den gesetzlichen Vorgaben eingerichtet. Die Ausgestaltung des IKS obliegt dem CFO. Die Interne Revision, welche im Unternehmen seit mehr als 30 Jahren eingerichtet ist, überprüft periodisch die Angemessenheit und Wirksamkeit des IKS und berichtet an den Aufsichtsrat (Prüfungsausschuss) des Unternehmens.

Der dem CFO zugeordnete Leiter der Controlling-Abteilung übt in einer Teilzeitfunktion die Agenden des Corporate Risk Managers aus. Dabei sind ihm folgende Aufgaben übertra-

Abbildung 2: ERMMA-Reifegrad-Profil der Maschinenbau-EWF

gen, u.z. die Koordination des Risikomanagementprozesses, das RisikoReporting an Geschäftsführung und die Betreuung des kaufmännischen sowie technischen Bereichs hinsichtlich der zur Messung und Beurteilung von Risiken zu verwendenden Methoden (Competence Center). Der dem CFO ebenfalls zugeordnete Treasurer übt in Teilzeitfunktion das Risikomanagement hinsichtlich der finanziellen Marktrisiken aus. Dabei werden derivative Finanzinstrumente (v.a. Optionen und Forwards) eingesetzt, um die Rohstoffpreis-, Fremdwährungs-, Zins- und Liquiditätsrisiken innerhalb der von der Geschäftsleitung vorgegebenen Limite zu halten.

Die Geschäftsführung besitzt ein stark ausgeprägtes Risikobewusstsein, welches sich nicht nur in den hohen Sicherheitsstandards und dem sorgsamen Umgang mit Qualitäts- und Finanzrisiken zeigt. Vielmehr hat die Geschäftsführung auch eine explizit formulierte Risikostrategie, wobei zwischen verschiedenen Risikoar-

ten unterschieden wird und die Höhe der einzugehenden Risiken sich an der Risikotragfähigkeit und den Unternehmenszielen orientiert. Zusammengefasst wird die Risikostrategie im risikopolitischen Grundsatz: „Das Eingehen von Risiken ist untrennbar mit unternehmerischen Tätigkeiten verbunden. Doch die eingegangen Risiken dürfen die Risikotragfähigkeit des Unternehmens nicht überschreiten, um die Existenz des Unternehmens nachhaltig zu sichern.“ An diesem Grundsatz ist das Risikomanagement des Unternehmens ausgerichtet, welches vom Corporate Risk Manager koordiniert und von der Internen Revision hinsichtlich Angemessenheit und Wirksamkeit überprüft wird.

3. ERM-System: Reifegrad der Implementierung 4. ERM-System: Stärken/Schwächen-Analyse

zung der Risikoinformationen in den niedrigeren Reifegraden fehlen diese Planungs- und Steuerungssystemen Funktionalitäten. Somit zeigt das in aufweist. Die Ursachen für diesen Un- Abbildung 2 dargestellte ERMMAterschied sind im auf der linken Seite Profil, dass in den Sub-Dimensionen von Abbildung 2 dargestellten „ER- mit Reifegraden von 1 keine derart MMA-Profil“ zu erkennen. Dieses soliden Systeme vorliegen und somit Profil zeigt für die drei Dimensionen eine gewisse Schwachstelle zu orten die jeweils drei zugehörigen Sub- ist. In der Dimension C zeigt sich Dimensionen. Zumal sich die Score- hingegen beim Reifegrad von 4 in der Werte für die Dimensionen wiederum C3-Sub-Dimension eine große Stärke. als gleichgewichtete Durchschnitte über die jeweiligen Sub-Dimensionen berechnen, erklärt sich der hohe Score für die Dimension C durch den Reifegrad (RG) von 4 in der C3-Sub- Zur tiefergehenden Analyse der dimension. Der niedrige Wert in der Stärken und Schwächen der ERMDimension B ergibt sich insbesondere System-Implementierung gibt das aus den beiden niedrigen Reifegraden ERMMA-Feedback die dazu benövon 1 in den B2- und B3-Subdimen- tigten Hinweise. Wie in der Wirtsionen. schaftsprüfung häufig üblich beginnt eine solche Analyse zumeist beim Für die Interpretation der erreich- Risikomanagement-Prozess (B1-Subten Reifegrade gibt das in Abbildung Dimension). Ein Blick in Abbildung 3 1 dargestellte ERMMA-Klassifikati- zeigt einen Reifegrad von 2 (RG2) für Der Controller der Maschinenbau- onsschema, welches das theoretische die B1-Sub-Dimension. Somit – siehe EWF nutzte das ERMMA-Online Fundament des ERMMA-Online „Erreichter Inhalt“ – liegt in ausgeTool, um den sich für das Unter- Tools darstellt, die benötigte Orien- wählten Bereichen des Unternehmens nehmen im ERMMA-Klassifikati- tierung. Dieses Wissen ist erforder- ein überwachter und geprüfter Risionsschema ergebenden Reifegrad zu lich, um die unterschiedlichen Rei- komanagementprozess vor. Zur Erermitteln. Das Ergebnis ist in Abbil- fegrade in den 9 Sub-Dimensionen reichung eines höheren Reifegrades dung 2 zu sehen: Mit einem ERM- inhaltlich interpretieren zu können. (RG3) – siehe „Ausstehender Inhalt MA-Gesamt-Score von 1,78 nimmt Zumal in allen Sub-Dimensionen ein für höheren Reifegrad“ – bedarf es das Unternehmen den 34. Rang unter Reifegrad von mindestens 1, was sich der Etablierung derartiger Prozesse allen das ERMMA-Monitoring-Tool in etwa mit der Erfüllung von gesetz- in allen wichtigen Unternehmensbenutzenden Unternehmen, welche auf lichen Mindestanforderungen deckt, reichen. Folglich fehlt im Unterneh100 % normiert sind, ein. Das Un- erreicht ist, steht die regulatorische men die unternehmensweite Veranternehmen liegt somit am unteren Ampel auf „Grün“. Die Reifegrade kerung des Risikomanagements in Ende des ersten Drittels, d.h. 33 % von 2 entsprechen in den Dimensi- allen wichtigen Bereichen. Um dies der Unternehmen haben ein besseres onen A und B soliden Systemen, wel- zu bewerkstelligen, bedarf es einer und 65 % haben ein schlechteres Ge- che Überwachungs- und Prüfungs- konzeptionell vereinheitlichten Hesamtergebnis. Der Gesamt-Score von funktionalitäten inkludieren. Bei rangehensweise, derzufolge in allen 1,78 berechnet sich als gleichgewichteter Durchschnitt über die in den drei Dimensionen A, B und C erreichten Score-Werte, u.z. 1,67 in der „ERM-Governance“Dimension (A), 1,33 in der „Risikomanagementsystem“Dimension (B) und 2,33 in der „Planungs- und Steuerungssysteme“-Dimension (C). Die Unterschiede in den drei Score-Werten für die Dimensionen zeigen an, dass die in Dimension B erfolgende Generierung von Risikoinformationen einen deutlich geringen Reifegrad als die in Dimension C erfolgende Nut- Abbildung 4: Feedback-Informationen bezüglich Dimension A: ERM-Governance

Abbildung 5: Homepage von ERMMA-Online –https://ermma.imw.tuwien.ac.at In diesem Managementsystem werden nicht nur relevante Risiken gesteuert, vielmehr wird dort z.B. in der Produktionsplanung auch der Trade Off zwischen der Performance und den Risiken (risikoadjustierte Performance-Messung) explizit einbezogen.

Wie in Abbildung 4 zu sehen ist, enthält das ERMMA-Feedback auch noch die von der Geschäftsführung eingestufte Zufriedenheit mit den durch die ERM-System-Implementierung verfügbar gemachten Risiko- und Chanceninformationen. Darin zeigt sich, das Verständnis der Geschäftsführung sowie die Bereitschaft, die im Feedback erhaltenen Anregungen für die Verbesserung der Implementierung zu nutzen.

5. ERM-System: Fitness Check

Bereichen ein holistischer Ansatz mit kontextspezifisch differenzierten Ausgestaltungen zur Anwendung kommt.

Beim Schulungssystem (B2) und beim Informationssystem (B3) zeigt der jeweilige Reifegrad von 1 eine gewisse Schwäche an. Es liegen zwar jeweils elementare Ansätze vor, doch fehlen weitergehende Bildungsmaßnahmen bzw. eine überwachte und überprüfte IT-Infrastruktur für das Risikomanagement in zumindest ausgewählten Unternehmensbereichen.

In Abbildung 4 werden FeedbackInformationen in Form von erreichten und ausstehenden Inhalten für die ERM-Governance-Dimension (A) gegeben. Der Reifegrad von 2 bei der Risikostrategie (A1) zeigt an, dass in partiellen Bereichen überwachte und überprüfte Strategien eingerichtet bzw. für die Überwachung und Überprüfung Personen verantwortlich sind. Ein holistisch-differenzierter Ansatz über alle wichtigen Unternehmensbereiche fehlt allerdings. Gleiches gilt für die nicht mehr explizit gezeigte Risikoorganisation (A3). Beim ebenfalls nicht mehr gezeigten Risikoverständnis (A2) gibt es aufgrund des dort erreichten Reifegrades von 1 eine Schwachstelle. Zumal in den verschiedenen Unternehmensbereichen unterschiedliche Sichtweisen bezüglich der jeweiligen Risiken vorherrschen, bedarf es eines entsprechend differenzierten Risikoverständnisses, wobei zumindest zwischen reinen (nur Verlustpotentiale) und spekulativen Risiken (Gewinn- und Verlustpotentiale) unterschieden wird.

Für die Dimension (C), i.e. Risiko(basierte) Planungs- und Steuerungssysteme gibt es ebenfalls Feedback-Informationen, welche aber aus Platzgründen nicht mehr bildlich dargestellt werden. Im Strategischen Managementsystem (C1) werden relevante Risiken (Key Risks) bei der Strategie- und Zielfestlegung einbezogen, was den Reifegrad von 2 begründet. Für den Reifegrad 3 wäre es notwendig, die relevanten Risiken nicht nur einzubeziehen, sondern diese auch proaktiv zu steuern. Der Reifegrad von 1 im Finanzmanagementsystem (C2) zeigt eine Schwachstelle an, zumal dort die relevanten Risiken nicht in die Strategie- und Zielfestlegung einbezogen werden, sondern lediglich mit Risikolimitsystemen gesteuert werden. Das operative Managementsystem deutet mit dem Reifegrad von 4 auf eine beachtenswerte Stärke hin. Das ERMMA-Online Tool ist generisch konstruiert und nicht auf spezielle Branchen zugeschnitten. Es gibt den Unternehmen – mit Ausnahme der Finanzdienstleister, welche sehr spezifische aufsichtsrechtliche Zusatzanforderungen haben – eine präzise Standortbestimmung hinsichtlich des Reifegrads ihrer jeweiligen ERMSystemimplementierung sowie konkrete Informationen hinsichtlich der Systemverbesserung. Das Tool steht kostenlos zur Nutzung bereit.

Referenzen:

COSO-ERM 2017. Enterprise Risk Management Integrating with Strategy and Performance, Committee of Sponsoring Organizations of the Treadway Commission, https://www.coso.org/. ISO-RM 2018. Risk Management – Guidelines (ISO 31000:2018), https:// www.iso.org/standard/65694.html.

Sie wollen sich testen lassen? So funktioniert’s (siehe TOP GEWINN September 2018): 1. Registrieren Sie sich unter https://ermma.imw.tuwien.ac.at. Dazu benötigen Sie eine gültige E-Mail-Adresse, ein Passwort und den Registrierungscode: ERMMA25. Die Anmeldung ist anonym. 2. Nach der Registrierung bekommen Sie einen Benutzernamen an die von Ihnen angegebene E-Mail-Adresse geschickt. 3. Mit Ihrem Benutzernamen und Ihrem Passwort können sie sich anmelden und die Reifegradanalyse durchführen (Dauer ca. 30 Minuten). 4. Nach Beendigung bekommen Sie sofort die Ergebnisse, die Sie als PDF herunterladen können. 5. Darüber hinaus können Sie künftig diese Analyse jährlich aktualisieren, um die Entwicklung des Reifegrads Ihres Unternehmens zu monitoren.