Winterthur – Das Buch der BOC Gruppe ist im Springer Gabler Verlag erhältlich. Über 30 Autorinnen und Autoren aus der BOC Gruppe haben ihre langjährigen Prozess-management-Erfahrungen im aktuellen Buch zusammengefasst. Es werden eine Vielzahl von praxiserprobten Vorgehensweisen, Handlungsempfehlungen und Techniken vorgestellt und mit vielen Beispielen illustriert.
Einen Schwerpunkt bilden Themen, denen Prozessmanagement-Fachkräfte bei ihrer täglichen Arbeit immer wieder begegnen. Hierzu zählen z. B. die Gestaltung der Prozessarchitektur durch ideales Schneiden von Prozesslandkarten, die Festlegung der Prozessverantwortung in unklaren Situationen, die Verwendung quantitativer Verfahren zur Planung und Steuerung von Prozessen oder auch die nachhaltige Implementierung von Prozessmanagement anhand eines zyklischen Vorgehensmodells. Darüber hinaus widmet sich das Buch aktuellen Trends, wie z. B. dem Einsatz der Business Process Modeling Notation (BPMN) oder dem Thema Prozess-Compliance. Des Weiteren zeigt es auf wie eine wiederholte Durchführung des IKS-Life Cycle dazu führt, das interne Kontrollsystem nachhaltig im Unternehmen zu verankern und laufend zu evaluieren und zu verbessern.
Verminderung operationeller Risiken und Gefahren
Das IKS ist auf Seiten des Geschäftsprozessmanagements ein Erfolgsfaktor, der die Effektivität und Effizienz der Geschäftsprozesse positiv beeinflusst, in dem die operationellen Gefahren/Risiken vermindert oder sogar vermieden werden können. Diese Gefahren/Risiken stellen ihrerseits wiederum einen wesentlichen Bestandteil des unternehmensweiten Risikoportfolios dar, das im Managementbereich des unternehmensweiten Risikomanagements liegt. Aus diesen Zusammenhängen heraus lässt sich das Argument ableiten, dass das IKS einen wesentlichen Erfolgsfaktor des Geschäftsprozessmanagements wie auch des Risikomanagements darstellt. Es werden Zielsetzungen wie die Nachhaltige Sicherung der Unternehmensexistenz, die Steigerung von Effektivität und Effizienz der operativen Geschäftstätigkeit oder das Erfüllen gesetzlicher Vorgaben und Normvorgaben unterstützt.
Das Zusammenspiel von Risikomanagement und IKS ist ein wichtiges Element. Dabei geht es nicht darum, das eine gegen das andere auszuspielen, sondern Verbindungsstellen zu schaffen. Die beiden Werkzeuge fliessen zusammen. Ob aufgrund des nationalen Obligationenrechts, internationaler Verpflichtungen oder aus internen Grunden: Das Risikomanagement ist für alle Schweizer Unternehmen ein zentrales Thema. Durch die Vielzahl an Standards und Vorgehensweisen wird die Umsetzung jedoch oft als bürokratisch und wenig nutzenstiftend empfunden. Ein integrierter, pragmatischer Ansatz hebt unternehmensweite Synergien. Mit Risikomanagement (RM) beschäftigen sich Unternehmen im Kern aus zwei Gründen: Es gilt zum einen, Compliance mit gesetzlichen Vorgaben sicherzustellen und zum anderen, im Fall des Falles, Verluste zu mindern oder zu vermeiden.
Praxisbeispiele
In einem Produktionsunternehmen wird der Prozess «Bestellabwicklung» (unter anderem aufgrund des direkten Einflusses auf Bilanzpositionen) im Scoping des Risikomanagements als relevant identifiziert. Die Anwendung von Risikoreferenzkatalogen ergibt als operationelles Risiko einen Zahlungsausfall durch zu hohe Kreditgewährung des Einkäufers beim Vertragsabschluss. Die Eintrittswahrscheinlichkeit und die korrelierenden Auswirkungen werden auf Basis des aktuellen Marktumfelds so hoch bewertet, dass das Risiko zum «Schlüssel-risiko» wird. Allerdings liess sich das Restrisiko im konkreten Fall anhand folgender Schritte praktisch vollkommen eliminieren:
Auf Business-Seite wurde der Geschäftsprozess durch die Definition eines Limitsystems und die Erweiterung um eine Kontrollaktivität (bewirtschaftete Kontrolle) nach dem Vier-Augen-Prinzip zur Bestellfreigabe abgeändert. Auf IT-Seite wurden daraus und durch Anwendung der ISO/IEC-27002/5-Normen sowie durch Anwendung der CAVR-Checks (Completeness, Availability, Validaty, Restricted Access) folgende Anforderungen abgeleitet:
- Sicherstellung der autorisierten Eingabe und Freigabe der Transaktionen entsprechend Rollen und Kompetenzen (Fokus auf Completeness und Validity).
- Manipulationssicherheit der zugrundeliegenden Daten und Anwendungen (Fokus auf Availability und Restricted Access).
Nutzen für das Unternehmen
Die Integration des Risikomanagements in der GPM- und EAM-Lösung sowie dessen Bewirtschaftung aus dem integrierten Managementsystem heraus liefern den Mehrwert einer engen Verzahnung des Business mit IT und Risikomanagement, ohne dabei losgelöste Silos in der Organisation zu schaffen. Dem Business wird ein gesamtheitlicher Blick auf die Risiken ermöglicht. Sicherheitsanforderungen des Business werden für die IT transparent und können in den IT-Services adäquat berücksichtigt werden. Das Risikomanagement profitiert durch Dezentralisierung der Bewirtschaftung auf Basis der etablierten GPM- und EAM-Lösungen.
Hier noch einige Tips zum integriertem Risikomanagement:
- Nutzen Sie vorhandenes, anstatt alles neu zu definieren
- Integrieren Sie GPM-, EAM- und IKS/RM Lösungen, damit vermeiden Sie organisatorische und technische Silos
- Verbringen Sie nicht zu viel Zeit bei der Wahl des Standards – diese widersprechen sich nicht und führen alle zum Ziel.
- Binden Sie die Organisation in die Bewirtschaftung des Risikomanagements ein.
- Schaffen Sie Bewusstsein für Risiken und Kontrollen – dies steigert auch die Qualität der Leistung durch die Reduktion von Fehlern.
(boc/mc/hfu)
