Risikomanagementsysteme in Unternehmen konzentrieren sich oft nur auf wichtige Bereiche und Prozesse, so die Studie. Zudem würden die Systeme meist nur konstruiert, um Führungspersonen Informationen über bestandsgefährdende Risiken zu vermitteln. Ob das für die Zukunft reicht, daran zweifeln die Verfasser der Studie. Immer wieder würden Unternehmen hohe Verluste durch Risiken erleiden, die anfangs nicht als unternehmensrelevant eingeschätzt wurden.
Die Untersuchung zeigt, dass Banken mindestens einen Schritt voraus sind. Sie berichtet, dass Banken ab Ende 2006 aufgrund von Basel II gezwungen seien, neben externen Risiken (Marktrisiken, Kreditrisiken) auch die internen zu messen und zu steuern. Dabei sind an die verschiedenen Risikoarten gleich hohe Anforderungen an das Management zu stellen, so die Studie. Die Fortschritte bei den Banken würden sich deshalb vor allem darauf konzentrieren, Risiken zu identifizieren und zu quantifizieren.
Kaum in die Unternehmenssteuerung eingebunden
Insgesamt sei die Integration in die Unternehmenssteuerung weder in Industrie noch in Banken weit fortgeschritten. Zwar würden in der Finanzwirtschaft spezielle Methoden existieren, die Risikomanagement und Unternehmenssteuerung integrieren. Sie finden aber laut Studie hauptsächlich bei den Markt- und Kreditrisiken Anwendung.
Erste Versuche laufen bereits, operationelle Risiken in das Risk Adjusted Performance Measurement (RAPM) einzubinden. Das wird die Aussagekraft der Risikokennzahlen erhöhen, prophezeit die Untersuchung. Sie empfiehlt, dass Steuerungsprozesse auch in der Industrie stärker auf diese Werte zurückgreifen sollten.
Keine Berührungen zum Sicherheitsmanagement
Risikomanagement und Sicherheitsmanagement in der Informationsverarbeitung wurden dagegen in keinem der untersuchten Unternehmen ausreichend zusammengeführt, berichtet die Studie. Ein Manko des Sicherheitsmanagements sei, dass in Unternehmen trotz zentraler Vorgaben (in Form der Sicherheitspolitik) nur wenige Informationen über die umgesetzte Sicherheit in dezentralen Bereichen vorliegen.
Die Systeme in der Industrie würden auf dem Weg zum Reporting zu viele Informationen verlieren oder viele Informationen gar nicht aufnehmen, so die Studie. Wenn diese Informationen in Risikoinventuren ermittelt wurden, sei das nur einmalig erfolgt. Unternehmen, die solche Analysen – egal ob im Unternehmen oder in der Informationsverarbeitung – durchführten, gaben durchweg an, dass sich ihre Sicherheit in der Informationsverarbeitung beachtlich verbessert hätte.
Keine Standards, um Risiken zu erfassen
Um die Risikomanagementsysteme in Unternehmen zu verbessern, wären laut Studie vor allem mehr Personal im zentralen Risikocontrolling und Standards zur Implementierung notwendig. Für das erste Problem schlägt die Studie ein Modell der Coopetition als Strategie vor. Das hätte sich in der Finanzwirtschaft bewährt, um ein Basel-II-konformes Risikomanagementsystem zu implementieren. Die fehlenden Standards würden laut Studie auch in den nächsten Jahren ein Thema bleiben.
ibi research von der Universität Regensburg forscht rund um "Finanzdienstleistungen in der Informationsgesellschaft". Die Schwerpunkte liegen auf Retailbanking, E-Business/E-Government und Informationssicherheit. Für die Studie wurden über 20 leitende Verantwortliche aus den Bereichen Controlling, Risikomanagement sowie IT-Sicherheit befragt.
Weitere Meldungen:
Alle Abgründe auf einen Blick
Der Leichtsinn regiert
Firmen unterschätzen Risiken neuer Software
Bücher zu diesem Thema: