Unternehmen erfassen oft nur wenige Bereiche
Risikomanagement in den Kinderschuhen
Risikomanagementsysteme in Unternehmen konzentrieren sich oft nur auf wichtige Bereiche und Prozesse, so die Studie. Zudem würden die Systeme meist nur konstruiert, um Führungspersonen Informationen über bestandsgefährdende Risiken zu vermitteln. Ob das für die Zukunft reicht, daran zweifeln die Verfasser der Studie. Immer wieder würden Unternehmen hohe Verluste durch Risiken erleiden, die anfangs nicht als unternehmensrelevant eingeschätzt wurden.
Die Untersuchung zeigt, dass BankenBanken mindestens einen Schritt voraus sind. Sie berichtet, dass Banken ab Ende 2006 aufgrund von Basel II gezwungen seien, neben externen Risiken (Marktrisiken, Kreditrisiken) auch die internen zu messen und zu steuern. Dabei sind an die verschiedenen Risikoarten gleich hohe Anforderungen an das Management zu stellen, so die Studie. Die Fortschritte bei den Banken würden sich deshalb vor allem darauf konzentrieren, Risiken zu identifizieren und zu quantifizieren. Top-Firmen der Branche Banken
Kaum in die Unternehmenssteuerung eingebunden
Insgesamt sei die Integration in die Unternehmenssteuerung weder in IndustrieIndustrie noch in Banken weit fortgeschritten. Zwar würden in der Finanzwirtschaft spezielle Methoden existieren, die Risikomanagement und Unternehmenssteuerung integrieren. Sie finden aber laut Studie hauptsächlich bei den Markt- und Kreditrisiken Anwendung. Top-Firmen der Branche Industrie
Erste Versuche laufen bereits, operationelle Risiken in das Risk Adjusted Performance Measurement (RAPM) einzubinden. Das wird die Aussagekraft der Risikokennzahlen erhöhen, prophezeit die Untersuchung. Sie empfiehlt, dass Steuerungsprozesse auch in der Industrie stärker auf diese Werte zurückgreifen sollten.
Keine Berührungen zum Sicherheitsmanagement
Risikomanagement und Sicherheitsmanagement in der Informationsverarbeitung wurden dagegen in keinem der untersuchten Unternehmen ausreichend zusammengeführt, berichtet die Studie. Ein Manko des Sicherheitsmanagements sei, dass in Unternehmen trotz zentraler Vorgaben (in Form der Sicherheitspolitik) nur wenige Informationen über die umgesetzte Sicherheit in dezentralen Bereichen vorliegen.