3 Risikomanagementsysteme

3.1 Einführung Managementsysteme

3.1.1 Management

Die heute verwendeten Begriffe „Manager“ und „Management“ haben ihren etymologischen Ursprung im lateinischen Wort „maneggiare“ (= handhaben). Unter Management wird im Allgemeinen die „Leitung, Führung von Betrieben und anderen sozialen Systemen“ verstanden. Management kann nach Pischon in drei Funktionsbereiche unterschieden werden:[109]

- Gestaltung

Bereitstellung eines institutionellen Rahmens als Basis des Managements um das Gesamtsystem Unternehmen handlungsfähig und damit auch überlebens- und entwicklungsfähig zu machen.

- Lenkung

Definition von Zielen, Erarbeiten von Maßnahmen zum Erreichen der Ziele und Kontrolle der Zielerfüllung.

- Entwicklung

Ergebnis der Gestaltungs- und Lenkungsprozesse und des organisationalen Lernens im Rahmen der Managementprozesse. Selbstständige Entwicklung und Veränderung von Wissen und Know-How.

3.1.2 Managementsystem

Allgemein versteht man unter einem Managementsystem die Gesamtheit aller organisatorischen Maßnahmen, die geeignet sind das Erreichen eines festgelegten Unternehmenszieles sicherzustellen. Charakteristika für ein Managementsystem sind:[110]

- Das Managementsystem besitzt einen definierten Systemzweck.

- Das Managementsystem ist ein Ganzes, welches aus Teilen besteht.

- Die einzelnen Teile stehen untereinander in Beziehung und haben eine Beziehung zum Managementsystem als Ganzes.

- Jedes Managementsystem wird zweckentsprechend gemanagt um Integrität, Betrieb und Entwicklung aufrecht zu erhalten.

Managementsysteme lassen sich in Form einer logischen Kette von den verwandten Begriffen Managementkonzept und Managementmodell abgrenzen. Ein Managementkonzept stellt dabei die Meta-Ebene, den gedanklichen Rahmen des Managements dar. Das Managementmodell ist die konkretisierte Beschreibung eines Organisationsaufbaus und -ablaufs dar und kann damit als Umsetzungshilfe zur Realisierung des Konzepts betrachtet werden. Ein Managementsystem umfasst in die Realität umgesetzte Abläufe und Regelungen.[111]

Abbildung 3?1: Das St. Galler Modell des integrierten Qualitätsmanagements

[Quelle: eigene Darstellung in Anlehnung an Seghezzi (Integriertes Qualitätsmanagement 2003), S. 5]

Managementsysteme können nach dem St. Galler Konzept des integrierten Managements als dreidimensionale Gebilde dargestellt werden. Man unterscheidet zwischen drei hierarchischen Ebenen als erster, drei Säulen als zweiter, und der Unternehmensentwicklung als dritter Dimension.[112] Die Ebenen stellen das normative, das strategische und das operative Management dar. Normatives Management setzt mit Randbedingungen, Gesetzen und Normen mit hoher Verbindlichkeit einen Rahmen des Systems und definiert eine Politik im Sinne eines Grundsatzprogramms, welches langfristige und grundsätzliche Ziele enthält.[113] Die mittlere, strategische Ebene dient der Planung und Erstellung einer Strategie, mit der die Ziele der Managementpolitik erreicht werden können. Das operative Management dient der Umsetzung und dem Betrieb des Managementsystems in Form konkreter Maßnahmen. Die drei Säulen eines Managementsystems sind Strukturen, als der Organisationsrahmen, Aktivitäten, als Träger der Leistungserstellung und Zielverwirklichung, und das Verhalten der Mitarbeiter.[114] Die Abbildung 3-1 zeigt diese Unterteilung am Beispiel des Qualitätsmanagements auf.

3.2 Normatives und strategisches Risikomanagement

Die wichtigste Aktivität des normativen Managements ist die Formulierung einer Risikopolitik, welche die harten Randbedingungen und die langfristigen, übergeordneten Ziele eines Risikomanagements beschreibt. Daraus lässt sich auf strategischer Ebene eine Risikostrategie entwickeln, die mittelfristige Ziele setzt, die für Art und Größe von Risiken, die das Unternehmen betreffen, qualifiziert und quantifiziert sind.[115]

3.2.1 Risikopolitik

Die Risikopolitik, die einen Teilbereich der allgemeinen Unternehmenspolitik darstellt, wird von der obersten Unternehmensführung bestimmt. Damit übernimmt die oberste Führung die Gesamtverantwortung für Risiko. Betrachtet man die Säule Verhalten nach dem St. Galler Konzept, so wird die Risikopolitik stark von der aus der Unternehmenskultur abgeleiteten Risikokultur beeinflusst. Einen Minimalrahmen der Risikopolitik bilden die gesetzlichen Anforderungen und Normen für Unternehmen wie beispielsweise das KonTraG oder spezifisch für Unternehmen der Medizintechnik die DIN EN ISO 14971:2000 Medizinprodukte - Anwendung des Risikomanagements auf Medizinprodukte. Ziele werden stark von den für ein Unternehmen gültigen Werten beeinflusst. Es sind zum Beispiel folgende programmatische und universelle Aussagen zu den Risikozielen zu erwarten:[116]

- Das Unternehmen betreibt ein Risikomanagement, welches über die Erfüllung gesetzlich zutreffender Verpflichtungen hinausgeht.

- Das Unternehmen hat das Ziel, die größten Risiken für den Fortbestand des Unternehmens zu beherrschen und auf ein vertretbares Maß zu reduzieren. Es wird dabei zwischen unvermeidbaren Kernrisiken und tendenziell zu transferierenden Risiken unterschieden.

- Das Unternehmen führt ein Risikomanagement, welches die Risiken auch für Shareholder, Kunden, Mitarbeiter und sonstige Stakeholder begrenzt und ihre Werte schützt.

- Das Unternehmen geht mit neuen Technologien, mit neuen Produkten und an neuen Märkten bewusst vertretbare Risiken ein. Dabei begrenzt das Risikomanagement nicht nur möglichen Schaden und Verlust, sondern führt als aktives Chancenmanagement möglichen Nutzen und Gewinn herbei.

- Das Unternehmen setzt sich ein Limit für den eigenen Risikoumfang, aus welchem der Umfang des Eigenkapitalbedarfs ersichtlich wird.

- Das Unternehmen hat ein angestrebtes Rating-Ziel.

3.2.2 Risikostrategie

Strategische Aspekte richten die Entscheidungen und das Handeln des Unternehmens auf die normative Unternehmenspolitik und damit auf die Ziele der Unternehmung aus. [Meier 2005:144] Im Bereich des Risikomanagements legt die Risikostrategie eine Methodik zum Umgang mit Risiken fest.

Grundsätzlich kann man zwischen zwei generellen Richtungen von Strategien unterscheiden, die in der Praxis gemeinsam eingesetzt werden:[117]

- Risiko präventiv managen: Risiken werden bereits vor ihrem Entstehen dahingehend beeinflusst, sie nicht oder in geringem Maße entstehen zu lassen

- Risiko repressiv managen: Ziel ist es das Ausmaß von bereits existenten Risiken zu minimieren

Ziel der Risikostrategie als Rahmen der Risikobewältigung ist nicht die Minimierung des Unternehmensrisikos, sondern eine Optimierung des Ertrag-Risiko-Profils.[118] Man kann vier Strategien zum Umgang mit Risiko unterscheiden:

Risikovermeidung ist die gezielte Verringerung bis hin zur Eliminierung von Risiko durch Maßnahmen, wie zum Beispiel den Ausstieg aus einem riskanten Geschäftsfeld oder Projekt. Risikovermeidung greift dabei nicht am Risiko an, sondern bewegt die Unternehmensposition.

Risikoreduzierung setzt dagegen direkt am Risiko an. Über eine ursachenorientierte Minderung der Eintrittswahrscheinlichkeit wie z.B. durch verstärkte Wartung von Maschinen oder Maßnahmen zur wirkungsorientierten Minderung der Schadenshöhe, z.B. Reduzierung der Fixkosten durch Outsourcing, wird die Risikoposition verändert, ohne Ertragsmöglichkeiten, wie bei der Vermeidung von Risiko,...