Obligate Instrumente für das Management
Risikomanagement und Interne Kontrollsysteme
Die Energiebranche ist im Wandel. Die Energiestrategie 2050 und eine bevorstehende Marktöffnung bringen weitreichende Veränderungen mit sich. Organisationen und Geschäftsmodelle werden überarbeitet, um langfristig im Markt bestehen zu bleiben.
Nicht nur in der Energiebranche gilt: Richtige Entscheide, um nachhaltig gewinnbringend zu wirtschaften, setzen verlässliche Managementsysteme voraus. Darum stützten sich Entscheidungsträger von Energieversorgungsunternehmen (EVU) heute – vor dem Hintergrund der Energiestrategie 2050 und der beabsichtigten vollständigen Marktöffnung – stark auf Risikomanagement und Interne Kontrollsysteme (IKS). Dies zeigt auch das Beispiel des Energie Service Biel/Bienne.
Risikomanagement und IKS wurden 2008 aufgrund der Anpassung des Schweizer Obligationenrechts zur Pflicht. Die beiden Systeme haben sich seither zu unverzichtbaren Bestandteilen einer modernen Unternehmensführung entwickelt. Obwohl die Verantwortung für die Risikoevaluation sowie die Qualität der Systeme gesetzlich beim Verwaltungsrat liegt, fliessen die Resultate noch zu wenig in den strategischen Entscheidungsprozess ein. Oft führen auch unpassende Ansätze zu unbrauchbaren Resultaten für die oberste Unternehmensstufe.
Der vorliegende Artikel dient als Leitfaden für den strukturierten Aufbau und Einsatz von Risikomanagement- und IKS-Systemen. Zwei entscheidende Faktoren helfen dem Verwaltungsrat dabei, auf effiziente Weise die aussagekräftigsten Resultate zu erzielen: die klare Abgrenzung und eine angepasste Flughöhe der beiden Systeme.
Klare Abgrenzung von Risikomanagement und IKS
Einige theoretische Ansätze versuchen heute die Verknüpfung von Risikomanagement und IKS herbeizuführen. Praktisch wäre es dienlich, nur ein Tool zu haben und beide Systeme parallel zu führen. In der Praxis sind jedoch jeweils unterschiedliche Personengruppen miteinzubeziehen, und das Vorgehen sowie die Analysetiefe unterscheiden sich erheblich.
Risikomanagement beleuchtet das Thema «Welche Risiken gefährden die strategische Zielerreichung des Unternehmens?». Dabei schaut man das ganze Spektrum von Risiken an: strategische, externe und operative. Diese Risiken werden in Bezug auf die Tragweite finanzieller und immaterieller Art bewertet, um ein Bild über die bevorstehenden Gefährdungen der Unternehmung als Ganzes zu erhalten.
Beim IKS lautet die Fragestellung: «Welche Prozessrisiken bestehen in Bezug auf die finanzielle Berichterstattung?» Der Fokus liegt hierbei auf den Finanzen und der Fehleranfälligkeit in der Abwicklung der finanziell wesentlichen Unternehmensprozesse aus buchhalterischer Sicht. Die Analyse beschränkt sich also auf einen spezifischen Bereich, ist dort aber tiefgründiger. IKS versteht sich als Qualitätssicherungsinstrument des Rechnungswesens und der daraus gewonnenen Erkenntnisse und Vorhersagen.
Angepasste Flughöhe von Risikomanagement und IKS
Oft findet man in der Praxis Ansätze vor, die aufgrund ihres Detaillierungsgrades, sowohl im Risikomanagement als auch im IKS, nur mit unverhältnismässigem Aufwand aufrechterhalten werden können. Bei solchen Systemen werden die zentralen Punkte aufgrund der Menge an Informationen und Dokumenten verwässert, und es kommt zu Doppelspurigkeiten.
Damit die Informationen management- und verwaltungsratsgerecht dargestellt werden können, muss man sich auf das Wesentliche fokussieren. Dabei sollen im Risikomanagement die 15–20 top Risiken in einer Matrix dargestellt werden. Im IKS befasst sich ein Energieversorgungsunternehmen erfahrungsgemäss mit 5–10 Schlüsselprozessen, die den wesentlichen Teil der Finanzzahlen generieren. Diese werden je mittels Flussdiagramm und Risiko-Kontroll-Matrix beleuchtet, auf Risiken überprüft und den bestehenden sowie allenfalls neu einzuführenden Kontrollen gegenübergestellt.
Vorgehen im Risikomanagement
Der Risikomanagementprozess besteht aus drei Phasen: Risikoanalyse, Massnahmenanalyse sowie Implementierung und Dokumentation. Dabei werden zuerst die zentralen Themen aufgedeckt, welche in den nächsten 5–10 Jahren zur Nichterreichung der strategischen Ziele führen könnten. Diese Themen werden anschliessend priorisiert und den operativ verantwortlichen Personen – den Risikoeignern – zugeteilt. Die Risikoeigner erarbeiten Massnahmen zur Risikobewältigung. Wichtig ist, dass die erarbeiteten Resultate in die Organisation integriert werden und eine interne Weiterführung mit den geeigneten Instrumenten möglich ist. Dazu wird in der Praxis eine Risikopolitik erstellt und ein Tool implementiert. Einfache Excel-Tools erlauben dem Verwaltungsrat und der Geschäftsleitung, eine schnelle Übersicht über die Risikoexposition und den Status der Massnahmen zu erhalten.
In diesem Beispiel sind sämtliche Resultate der Risiko- und Massnahmenanalyse enthalten. Der interne Risikomanager kann verschiedene Berichte, Analysen und Trends exportieren, um die benötigten Informationen für das Management aufzubereiten. In der Risikomatrix erkennt man die Priorisierung der Risiken. Die Aktualität der Massnahmen ist auf der Einstiegsseite – dem Dashboard – ebenfalls ersichtlich.
Zentrale Themen im Risikomanagement
In den letzten drei Jahren hat das ETH-Spin-off i-Risk bei 15 EVUs den oben beschriebenen Prozess durchgeführt. Bei allen Unternehmen war jeweils das gesamte Management am Prozess beteiligt. Untenstehend ist die Anzahl Nennungen des jeweiligen Themas ersichtlich.
Interessant ist, zu erkennen, dass die drei Themen, welche am häufigsten vorkamen, strategische Risiken darstellen. Bei 14 der 15 analysierten EVUs war das Thema Beschaffung unter den top Risiken. Eine falsche Beschaffungsstrategie kann hohe Kosten verursachen. Unter den drei am häufigsten aufgeführten Risiken sind auch «Schlüsselposition» und «Infrastruktur». Jedes Unternehmen braucht gute Mitarbeiter und besonders bei EVUs sind zahlreiche Fachkräfte wie zum Beispiel Brunnenmeister nur schwer am Markt zu finden. Zudem braucht es auf der obersten Ebene Manager mit breiter Erfahrung, welche die nötigen Veränderungen in der Firma herbeiführen können. Neben guten Mitarbeitern sind EVUs auf eine einwandfreie Infrastruktur angewiesen, damit die Versorgungssicherheit gewährleistet ist. Sie müssen daher Vorkehrungen treffen, um auf Elementarereignisse oder Sabotage reagieren zu können. Auch ist die regelmässige Erneuerung und Wartung für den Werterhalt der Infrastruktur zentral. Unter den zehn grössten Risiken haben folgende Themen in den letzten Jahren besonders an Bedeutung gewonnen:
IT: Durch zunehmende Digitalisierung und Automatisierung, das neue Datenschutzgesetz und die Häufung aufsehenerregender Fälle von Cyberkriminalität ist das Thema ins Zentrum gerückt. EVUs haben oft komplexe Strukturen, und die Verwundbarkeit der IT kann die Gefährdung der Versorgungssicherheit zur Folge haben.
Investitionen: Die anstehende Marktöffnung und die damit verbundene Anpassung der Tätigkeit sind seit vielen Jahren ein Thema. In den letzten Jahren mussten in diesem Zusammenhang immer mehr strategische Entscheide bezüglich Investitionen gefällt werden. Das Verpassen von Trends oder unerwartete Marktveränderungen stellen dabei grosse Herausforderungen dar.
Strukturen/Prozesse: Um am Markt fit zu sein, müssen Firmen schlanke Strukturen und Prozesse aufweisen. Auch hier werden sich immer mehr EVUs bewusst, dass alteingeschlichene Prozesse aufgebrochen und optimiert werden müssen.
Vorgehen beim Energie Service Biel/Bienne
Beim ESB delegierte der Verwaltungsrat die Umsetzungsverantwortung des Risikomanagements an die Geschäftsleitung. Es wurde ein Top-down-Ansatz gewählt. Anhand von Einzelinterviews erläuterte jedes Geschäftsleitungsmitglied die Risiken und Chancen sowohl seines Bereichs als auch des gesamten Unternehmens. i-Risk stellte aus den Ergebnissen einen Risikokatalog mit 16 Punkten zusammen und erstellte einen Benchmarking-Vergleich. Die Geschäftsleitung bewertete sämtliche Themen in einem Workshop in Bezug auf Schadensausmass, Reputationseinfluss und Eintrittswahrscheinlichkeit. Dabei wurde mit anonymen Bewertungsgeräten gearbeitet, um nicht von den anderen Teilnehmern beeinflusst zu werden. Zu sämtlichen 16 Themen wurden Massnahmen ausgearbeitet und in einem Workshop validiert. Die Implementierung und Dokumentation erfolgte mittels Risikopolitik und Excel-Tool.
Vorgehen im IKS
In der ersten Phase der Risikoanalyse beim IKS werden die wesentlichen finanzrelevanten Schlüsselprozesse anhand von Wesentlichkeitsgrenzen in Bezug auf die Jahresrechnung (Bilanz und Erfolgsrechnung) definiert. Die etablierten Wesentlichkeitsgrenzen betragen in der Regel ungefähr 5% der Bilanzsumme und ungefähr 10% der Erfolgsrechnung. Weitere Jahresrechnungspositionen, die besonders risikobehaftet sind, müssen unabhängig von ihrer Grösse ebenfalls einbezogen werden. Anschliessend werden in der Prozessanalyse die Arbeitsabläufe je Schlüsselprozess aufgenommen. Die Dokumentation erfolgt in der Regel in Form von Flussdiagrammen. Dies ermöglicht, während der Erstellung, eine Diskussion der bestehenden Arbeitsabläufe und bietet zugleich die Möglichkeit zur Prozessoptimierung. Anhand der erstellten Prozessdokumentationen werden Prozessrisiken identifiziert. In der dritten Phase, der Kontrolldokumentation, werden die Kontrollen beschrieben, welche den identifizierten Risiken gegenübergestellt werden. Dazu gehört eine detaillierte Kontrollbeschreibung zum Ablauf der Kontrolle, genaue Ausführungen zur Kontrolldokumentation als Durchführungsbeweis, die Nennung des Kontrolldurchführenden und die Festlegung der Kontrollfrequenz. Die geeignetste Dokumentationsform dafür ist eine Risiko-Kontroll-Matrix für jeden Prozess. Ein zusammenfassendes IKS-Cockpit ermöglicht einen schnellen Überblick zur Vollständigkeit und Aktualität der IKS-Daten, den analysierten Schlüsselprozessen und den definierten Kontrollen.
Zentrale Prozesse im IKS
UntenstehendeTabelle fasst die Resultate der Risikoanalysen in neun von i-Risk analysierten EVUs in den letzten zwei Jahren zusammen. Sie dient als Beispielübersicht der Schlüsselprozesse, die für ein IKS im EVU-Umfeld erwartet werden dürfen.
Die Themengebiete «Allgemeines Kontrollumfeld», «IT», «Finanzabschlusserstellung» und «Budgeterstellung» betreffen übergreifend alle Positionen einer Jahresrechnung. Üblicherweise werden darunter alle Organisations- und Führungsinstrumente zusammengefasst, die Organisationswerte vermitteln und die ordentliche Geschäftsführung sicherstellen. Die ersten drei Themen wurden von allen untersuchten EVUs berücksichtigt, wobei die IT-Themen bei zwei Unternehmen innerhalb des allgemeinen Kontrollumfeldes abgedeckt wurden. Interessanterweise wurde der Budgeterstellungsprozess nur bei zwei Unternehmen separat aufgeführt, die gleichzeitig auch die einzigen Unternehmen ohne Selbstständigkeit waren (eingegliedert in Stadt/Gemeinde). Die restlichen Prozesse beziehen sich konkret auf wesentliche Buchhaltungspositionen. Die Prozesse «Energielieferung/Netznutzung/Dienstleistungen», «Beschaffung/Einkauf», «Personalaufwand» und «Anlagebuchhaltung/Sachanlagen/Projekte» wurden je nach Anwendbarkeit bei allen begleiteten EVUs als relevant für das IKS definiert. An dieser Stelle zu erwähnen gilt, dass einige EVUs im Bereich der Anlagebuchhaltung und Leistungsverrechnung vom Prozessablauf und den implementierten Kontrollen her noch Verbesserungspotenzial aufweisen, welches durch die IKS-Analysen aufgedeckt wurde. Das Thema «Beteiligungen/Konsolidierung» spielt nur für die ganz grossen EVUs eine wesentliche Rolle, was zu einer separaten Nennung führte. Alternativ bietet sich auch die Berücksichtigung der entsprechenden Risiken im Prozess «Finanzabschlusserstellung» an. Ebenfalls werden dort üblicherweise die Risiken im Zusammenhang mit den flüssigen Mitteln untergebracht. Alle Unternehmen haben diese Positionen berücksichtigt, nur zwei davon erfassten hingegen einen separaten Prozess dazu.
Vorgehen beim ESB
Die Risikoanalyse im IKS wurde im Kreise des Projektteams um den Generalsekretär und den Leiter Finanzen und Dienste durchgeführt. Ausgehend von der Jahresrechnung (Bilanz und Erfolgsrechnung) wurde dabei jede Position anhand der Wesentlichkeitsgrenze und der inhärenten Risiken analysiert. Pro Schlüsselprozess wurden zur Prozessanalyse in halbtägigen Workshops – wobei das Projektteam durch Schlüsselmitarbeiter aus den Prozessen ergänzt wurde – die wesentlichen Arbeitsschritte sowie Prozessrisiken aufgezeichnet und mittels Flussdiagrammen dargestellt. Anhand der erstellten Prozessdokumentation wurden den Prozessrisiken anschliessend die entsprechenden Kontrollen in sogenannten Risiko-Kontroll-Matrizen gegenübergestellt und dokumentiert. Dies erfolgte ebenfalls in halbtägigen Workshops im gleichen Gremium wie bei der Prozessanalyse. Die Resultate jeder Phase wurden nach ihrer Erarbeitung jeweils von der Geschäftsleitung im Rahmen ihrer ordentlichen Sitzungen präsentiert und genehmigt. Die letzte Genehmigung umfasste zusätzlich eine IKS-Arbeitsanweisung, die den internen IKS-Prozess für die Zukunft regelt und die damit verbundenen Verantwortlichkeiten definiert. Ein Excel-Tool enthält alle erarbeiteten Resultate und dient als Basis für die interne Weiterführung des IKS.
Konklusion und Mehrwert für die EVUs
Gut strukturierte und auf die Unternehmensgrösse angepasste Risikomanagement- und IKS-Systeme liefern im Resultat verlässliche Frühindikatoren, die dem Verwaltungsrat und dem Management als Basis für strategische Entscheide dienen. Der Erarbeitungsprozess selbst ist ein zentrales Element. Der fruchtbare Austausch während den Risikomanagement-Workshops und die Optimierung der Arbeitsabläufe als Nebenprodukt des IKS sind mindestens gleich wichtig wie das Endprodukt.
Durch klare Abgrenzung der Themen und der Wahl der angebrachten Flughöhen führen Risikomanagement- und IKS-Systeme weder zu einer signifikanten Zusatzbelastung für die Organisation noch zum berühmt-berüchtigten Papiertiger. Auch hier gilt immer wieder: Weniger ist mehr.
Kommentare