Witterungseinflüsse hatten 2021 bei den SBB zu etwa 200 000 Verspätungsminuten geführt – obwohl man von den heftigen Unwettern in Europa im Sommer 2021 kaum betroffen war. Gemäss dem Geschäftsbericht 2021 werden die Extremereignisse ohne Begrenzung der Erderwärmung in den kommenden Jahren noch häufiger und intensiver auftreten. Die SBB beteiligen sich deshalb am Forschungsprojekt «From Hazard to Risk» oder auf Deutsch «Prospektives Naturge fahrenmanagement SBB», mit dem man Auswirkungen des Klimawandels auf das Anlagenmanagement ableiten wird.
Konzernweite Risk Policy
Das konzernweite Risk Management, das sich an ISO31000 orientiert, basiert auf der konzernweiten Risk Policy, die die Ziele, Grundlagen und Aufgaben festlegt. Jährlich werden Risiken identifiziert, beurteilt und Massnahmen ergriffen. «Wir definieren Risiken wie folgt: Auswirkungen von Unsicherheiten auf Ziele. Dies inkludiert unter anderem finanzielle, qualitative und betriebliche Ziele wie auch Tätigkeiten und Anforderungen», sagt Angela Hunziker, Leiterin Corporate Risk Management bei den SBB.
Hier setzt die «Assurance» ein: Darunter versteht Hunziker die Gesamtheit der SBB Überwachungs- und Kontrollfunktionen, die der Führung eine Sicherheit bezüglich der Überwachung von Unternehmensrisiken und der Einhaltung von gesetzlichen und internen Vorgaben bieten. «Assurance ist heute noch nicht offiziell in den SBB-Regelwerken definiert, was ja bereits die erste Schwierigkeit dar stellt», so Hunziker. Gemäss Institute of Internal Auditors (IIA) wird «Assurance» definiert als «unabhängige Bestätigung und Vertrauen»; Assurance kann nur als «angemessen» beziehungsweise «reasonable» konzipiert werden, denn Vertrauen ist selten absolut.
Qualität der Governance steigern
Die «Combined Assurance» entspricht laut Hunziker unter Rückgriff auf Ansätze von Marc Eulerich und des Deutschen Instituts für Interne Revision einer «koor dinierten und integrierten Zusammenarbeit aller Funktionen, die direkten und indirekten Risikobezug haben und zur Verbesserung der GovernanceStruktur beitragen können». Zielsetzung sei es, entweder den Ressourcenaufwand der GovernanceFunktionen zu minimieren oder die Leistung ceteris paribus zu optimieren. Ergänzend kann diese Zusammenarbeit mit Governancerelevanten Funktionen weitere risikorelevante Bereiche einbinden. «Durch die Erfüllung der Zielsetzung steigert Combined Assurance die Qualität der Corporate Governance», sagt Hunziker.
Dynamisches Risk Management
Was statisch klingt, muss in einem Unternehmen mit sich verändernden Risiken funktionieren. «Wir zeigen die sehr dynamischen Risiken wie etwa die Fahr planrisiken nicht im jährlichen Risk Reporting», so Hunziker. «Es geht bei der Berichterstattung an Leitungsgremien wie die Divisions- und Konzernleitungen oder an den Verwaltungsrat um mittel- und langfristige Risiken.» Der mittelfristige Horizont liegt hier bei sechs Jahren.
«Unter dynamischen Risikomanagement im Sinne von ISO 31000 verstehe ich die ständige Beurteilung und Behandlung von Risiken», erklärt Angela Hunziker weiter. «Das heisst konkret: Mittelfristige Risiken werden aktualisiert, wenn etwas passiert, was die Beurteilung tangiert; das geschieht meilensteinbasiert, laufend und dynamisch. Gleichzeitig sind wir jetzt daran, Risiken stärker mit der unterjährigen Finanzplanung zu verknüpfen. Bei spiel: Rohstoffpreise, Energiepreise. Die se Betrachtung ist unterjährig, also kurzfristig und sehr dynamisch.»
Meilensteinbasierte Umsetzung
Für Angela Hunziker geht der Weg zum dynamischen Risikomanagement via Changemanagement. «Wir sind es gewohnt, ein bis zweimal jährlich die Risiken hervorzuholen, zu überlegen, wie sie sich verändert haben und sie gegebenenfalls anzupassen.» Eventuell würden dann neue Massnahmen definiert und eingeleitet. «Das soll meilensteinbasiert geschehen, also losgelöst vom Jahresprozess.» Das bedeute nicht automatisch mehr Aufwand, ganz im Gegenteil: Die Welle würde geglättet, indem nicht alles auf einen spezifischen Abgabetermin erarbeitet werden muss, sondern auf dann, wenn es sinnvoll ist.
Ein gutes Tool sei dafür auch eine Riesenstütze. Klassische Assurance leistet die interne Revision der SBB. Als «Third Line Assurance Funktion» (zur ersten Linie gehört das Management, zur zweiten Linie zählen die Hüter der Managementsysteme) prüft diese unter anderem die Funktionsfähigkeit der Second Line Assu rance Funktionen, die die Managementsysteme zur Operationalisierung von Vorgaben und zur Überwachung betreiben und die First Line bei der Umsetzung unterstützen.
«Diese aufgeführten Funktionen arbeiten sehr gut und gerne miteinander, das hat mit den Köpfen der Leitenden dieser Funktionen zu tun. Diese wollen zusammenarbeiten. Einzig dass eine koordinierende Stelle fehlt, empfinde ich als verbesserungswürdig.» Auch die interne Berichterstattung soll aufgebaut werden. Dazu gehört ein integriertes KonzernlageMonitoring mit aktuellen Bedrohungslagen und einem Zusammenspiel mit der «Second Line». Die Jahresberichte sind ebenfalls davon betroffen, denn die werden zwar zeitlich synchron fertiggestellt, aber sie sind inhaltlich noch nicht genügend aufeinander abgestimmt.
Risk Management ist kein Selbstzweck
«Das Risikomanagement ist nie Selbstzweck, sondern soll immer die Wertschöpfung ins Zentrum stellen», so Hunziker. Das gelte auch für integrierte Assurance. «Wenn wir effizienter und besser zusammenarbeiten, sparen wir Ressourcen, die dann wiederum in anderen Bereichen Gutes tun können. Vielleicht können wir diese zukünftig für beratende Tätigkeiten einsetzen, beispielsweise um den Zielkonflikt zwischen Verfügbarkeit, Sicherheit und Wirtschaftlichkeit aufzulösen.»
Dieser Artikel ist unter dem Titel «Effizienter und besser zusammenarbeiten» erstmals erschienen im Risk Management Special der «Handelszeitung» vom 7.7.2022
Lesen Sie auch