Vorbereitet auf die nächste Krise
Risikomanagement und Business Continuity Management
Um Risiken erfolgreich zu kontrollieren, sind praxistaugliche Führungsinstrumente gefragt. Doch welche kommen dafür in Frage? Dieser Beitrag soll ein Leitfaden für Energieversorgungsunternehmen sein sowie einen Vergleich der Entwicklung zentraler Risiken über die vergangenen sechs Jahre aufzeigen.
Das aktuelle Marktumfeld ist kein einfaches: trübe Konjunkturaussichten, vermehrt Cyber-Attacken, Anzeichen einer zweiten Pandemiewelle, politische Instabilität im Ausland. Schweizer Firmen werden in der nächsten Zeit einige Herausforderungen meistern müssen. In der Energiebranche ist zudem ein Umdenken gefragt, um die Energiestrategie 2050 umzusetzen und am freien Markt zu bestehen. Prozesse werden überarbeitet und Beschaffungsstrategien angepasst. Dazu sind neue Kompetenzen und Systeme erforderlich.
Um langfristig erfolgreich zu sein, müssen Energieversorgungsunternehmen (EVU) sowohl externe Gefahren als auch interne Risiken frühzeitig erkennen, richtig einschätzen und mit geeigneten Massnahmen angehen. Spätestens seit dem Ausbruch des Coronavirus wurde der Mehrwert von Risikomanagement und insbesondere Business Continuity Management für alle ersichtlich. Man erkannte auch, dass bei Schweizer EVUs grosse Unterschiede im Reifegrad dieser beiden Systeme bestehen. Um den grössten Mehrwert abzuschöpfen, müssen sie dem Unternehmen angepasst sein. Pragmatische Ansätze sind gefragt, welche in der Organisation gelebt werden.
Ganzheitliche Risikosteuerung
Das unternehmensweite Risikomanagement ist das Fundament einer ganzheitlichen Risikosteuerung. Es bildet die Grundlage für weitere Managementsysteme wie ein internes Kontrollsystem und Business Continuity Management. Anderseits fliessen aus diesen untergeordneten Systemen Informationen ans unternehmensweite Risikomanagement zurück. Die Systeme stehen in Wechselwirkung zueinander.
Unternehmensweites Risikomanagement
Unternehmensweites Risikomanagement lässt sich in vier Phasen unterteilen: Identifikation, Bewertung, Steuerung und Überwachung von Risiken. In der Phase der Identifikation werden auf strategischer Flughöhe die zentralen Ereignisse identifiziert. Einzelinterviews eignen sich dazu am besten. Ganzheitliches Denken ist dabei gefragt. Die Person, welche das Interview führt, sollte Kreativitätstechniken anwenden und eine breite Erfahrung aus vergleichbaren Unternehmen mitbringen.
In der zweiten Phase des Risikomanagementprozesses, der Bewertung, werden die Risiken auf Schadensausmass, Eintrittswahrscheinlichkeit und Reputationseinfluss bewertet. Am effizientesten geschieht dies in einem Gruppenworkshop. Um die Intelligenz der Gruppe zu nutzen und Beeinflussungen durch Einzelpersonen zu vermeiden, übermitteln dazu alle Teilnehmerinnen und Teilnehmer ihre Werte anonym mittels Bewertungsgerät. Die Bewertungen werden anschliessend in der Gruppe besprochen. Um die Werte zu plausibilisieren, ist es hilfreich, wenn der Workshop-Moderator einen Benchmark der Branche heranzieht.
In der anschliessenden Phase der Steuerung von Risiken werden die Massnahmenpläne erarbeitet. Die Basis hierzu bilden wiederum Einzelinterviews. Es werden sowohl zentrale bestehende als auch vorgeschlagene neue Massnahmen aufgenommen. Am Ende dieser Phase findet in der Regel nochmals ein Workshop statt, in welchem die Massnahmenpläne durch die Gruppe validiert werden. Damit die Umsetzung und Messung der Massnahmen effizient erfolgen können, achtet der Moderator auf eine konkrete Formulierung inklusive Verantwortlichkeit und Umsetzungsplanung.
In der finalen Phase, der Überwachung, werden die Instrumente im Unternehmen verankert, um Risiken und Massnahmen nachhaltig zu kontrollieren. In den meisten EVUs eignet sich dazu ein pragmatisches Excel-Tool am besten. Es gilt auch, einen dem Unternehmen angepassten Prozess sowie die Risikopolitik zu definieren. Am effizientesten geschieht dies, wenn der Moderator eine bewährte Branchenlösung heranzieht, welche er auf das Unternehmen adaptiert.
Risiken von Schweizer EVUs
I-Risk, ein Spin-off der ETH Zürich, betreut über 20 Schweizer EVUs in Risikomanagement und Business Continuity Management. In der Zeit von 2015 bis 2017 führte die Firma den beschriebenen Risikomanagementprozess in 15 EVUs durch. Von 2018 bis 2020 durchlief i-Risk den Prozess erneut mit 15 EVUs. Neue EVUs kamen hinzu, andere haben den Prozess internalisiert; neun Unternehmen unterzogen sich der Analyse erneut. Daher ist der Vergleich der Risiken aus den beiden Perioden repräsentativ.
Obenstehendes Bild zeigt die Anzahl der Nennungen von Risiken in den analysierten EVUs. Das Thema IT war in der Risikoliste von allen Unternehmen aufgeführt, Compliance bei 14. Rechts davon ist jeweils die Veränderung der Nennungen gegenüber der Analyse 2015–2017 ersichtlich. Das IT-Risiko, welches in der Vorperiode bei zwölf EVUs in der Risikoliste enthalten war, wird aktuell bei allen untersuchten Unternehmen geführt (+3 Nennungen). Die Farblegende gibt Aufschluss darüber, ob das Risiko hauptsächlich externer, operativer oder strategischer Natur ist.
Risikoverschiebung über die letzten Jahre
Die Spalte «Nennungen gegenüber 2015–2017» zeigt Veränderungen und neue Risiken. Es wurden vor allem zwei Risiken häufiger erwähnt als in der Vorperiode: «IT» und «Compliance» (jeweils +3). Die Zunahme an Cyber-Attacken verbunden mit einer Zunahme der IT-Abhängigkeit und Systemkomplexität führte dazu, dass sämtliche untersuchten EVUs nun das Risiko «IT» aufführen.
Beim Thema «Compliance» führten eher die Revision und Ausweitung des Themas zur Zunahme. 2019 wurde das öffentliche Beschaffungsrecht revidiert und demnächst wird das verstärkte Datenschutzgesetz in Kraft treten. EVUs müssen daher bezüglich Compliance-Themen noch mehr Vorsicht walten lassen. Seltener wurden vor allem die Themen «Regulatorien/Politik» (-4) und «Personal» (-3) erwähnt. Das Risiko «Regulatorien/Politik» umfasst im Wesentlichen die Aspekte der Strommarktliberalisierung. 2015–2017 schien die Umsetzung imminenter und die Firmen waren weniger gut vorbereitet. In der Zwischenzeit wurde die Einführung verschoben und viele EVUs sind besser aufgestellt.
Beim Thema «Personal» erwartet man eine gewisse Entspannung. Aufgrund der abnehmenden Konjunktur sollte es in den nächsten Jahren einfacher werden, qualifiziertes Personal zu finden. Beide Risiken sind aber weiterhin in ihrer Entwicklung zu beobachten und die Massnahmen aktiv anzugehen, sind sie doch unter den zehn häufigsten Risiken geblieben.
Die beiden neuen Risiken sind «Pandemie» und «Versorgungsengpass». Zwei externe Themen, welche jeweils tief in der Eintrittswahrscheinlichkeit sowie hoch im Schadensausmass bewertet wurden. Ihre Auswirkungen sind gesamtheitlich und gefährden das Aufrechterhalten der Grundversorgung.
Business Continuity Management
Externe Risiken mit hohem Schadensausmass und tiefer Eintrittswahrscheinlichkeit bedürfen einer besonderen Betrachtung. Bei diesen Themen greift das unternehmensweite Risikomanagement zu kurz. In diesem System werden in der Phase der Risikosteuerung vor allem präventive Massnahmen behandelt, welche die Eintrittswahrscheinlichkeit reduzieren. Bei den beiden neuen Themen «Pandemie» und «Versorgungsengpass» kann ein EVU nichts gegen die Wahrscheinlichkeit des Eintritts der Ereignisse unternehmen. Gefragt sind daher Massnahmen zum Aufrechterhalten der Organisation im Eintrittsfall. Business Continuity Management hat zum Ziel, die Widerstandsfähigkeit des Unternehmens zu stärken. Der Prozess lehnt sich stark an das unternehmensweite Risikomanagement an. Daher kann der oben beschriebene Ablauf im Business Continuity Management herangezogen werden. Untenstehend sind die wesentlichen Unterschiede der vier Phasen aufgeführt.
Bei der Identifikation fokussiert man im Business Continuity Management auf externe Risiken mit tiefer Eintrittswahrscheinlichkeit und hohem Schadensausmass. Die Basis bildet das unternehmensweite Risikomanagement, welches um Branchenszenarien ergänzt wird. Zusätzlich werden in diesem Schritt die zentralen Prozesse im Unternehmen identifiziert. Aus den oben aufgeführten Risiken werden «Pandemie» und «Versorgungsengpass» ausgewählt. Diese beiden Risiken werden in je ein präzises Szenario ausformuliert. Im nachfolgenden Beispiel wird ein zusätzliches drittes Szenario zum Thema «Terrorismus» ausformuliert.
Die identifizierten Business-Continuity-Szenarien werden anschliessend den wichtigsten Unternehmensprozessen gegenübergestellt. Die Prozessauswahl könnte beispielhaft die drei zentralen Tätigkeiten «Einkauf Strom», «Verkauf Strom (Grundversorgung)» und «Verkauf Strom (Marktzugang)» beinhalten. Bei der Bewertung der Szenarien fokussiert man ausschliesslich auf das Schadensausmass. Die Eintrittswahrscheinlichkeit ist sehr tief und wird nicht bewertet. Für die ausgewählten Szenarien wird die Wirkung auf die Prozesse bewertet. Dieser Schritt wird als Business-Impact-Analyse bezeichnet.
Zur Bewertung wird eine Sechserskala von 1 (unkritisch) bis 6 (höchst kritisch) herangezogen. In diesem Beispiel wurden über die Business-Impact-Analyse der «Versorgungsengpass» als kritisches Szenario und der «Verkauf Strom (Grundversorgung)» als kritischer Prozess bewertet. In der Phase Steuerung fokussiert man auf reaktive Massnahmen, welche den Schaden reduzieren. Man analysiert dabei hauptsächlich die kritischen Szenarien und Prozesse und schenkt jedem Aspekt der vorgängigen Bewertung (Notbetrieb, Vollbetrieb, Reputation, Finanzen, Gesetze) spezielle Beachtung, um möglichst vollständige sowie effiziente Massnahmen zu definieren. In der Praxis sind oft Redundanzen und Möglichkeiten eines Notbetriebs wichtig. Bei der Überwachung werden dieselben Instrumente eingeführt wie im unternehmensweiten Risikomanagement (Excel-Tool, Prozess, Politik), jedoch angepasst auf das Business Continuity Management.
Handlungsbedarf ist vorhanden
Schweizer EVUs stehen heute grossen Herausforderungen gegenüber: Zum einen sind Veränderungen gefragt, um am freien Markt zu bestehen und die Energiestrategie 2050 zu erfüllen. Zum anderen ist die Konjunkturaussicht eingetrübt. Vermehrte Debitorenausfälle oder gar ein Blackout sind ernstzunehmende Themen für die Zukunft. Das unternehmensweite Risikomanagement stellt die Basis für eine ganzheitliche Risikosteuerung dar. Die zentralen Risiken und Gefahren der nächsten Jahre werden auf strategischer Ebene erfasst und gesteuert. Um sich insbesondere auf verstärkt aufkommende externe Gefahren frühzeitig vorzubereiten, ist ein gut strukturiertes Business Continuity Management erforderlich. In diesem System wird auf Prozessebene die Widerstandsfähigkeit der Organisation gestärkt.
In der aktuellen Krise sind viele Schweizer EVUs bis jetzt gut davongekommen. Es wurden jedoch auch Mängel festgestellt. Unternehmen sollten nun die Dynamik nutzen, um basierend auf den gewonnenen Erfahrungen ihr Risikomanagement und Business Continuity Management zu professionalisieren. Mit überschaubarem Aufwand kann das Unternehmen damit besser auf zukünftige Bedrohungen reagieren und den erfolgreichen Weiterbestand sichern.
Kommentare