Risikomanagement, Krisenmanagement

Die Abschaffung der "günstigen Gelegenheit"

Von: Jürgen Peter

Risikomanagement für die Beschaffungsabteilung

In jedem Unternehmen, jeder Behörde oder anderen Institution haben Beschaffungsmaßnahmen bekanntlich einen hohen Stellenwert. Entsprechend sind die Anforderungen an die in der Beschaffungsabteilung eingesetzten Mitarbeiter. Ihre Kompetenz kann über Wohl oder Wehe, sprich: Gewinn oder Verlust der Firma mit entscheiden. Und dennoch sind in kaum einem anderen Sektor die Versuchungen und Möglichkeiten zu illegalem Handeln so zahlreich wie hier.

Der "Beschaffer" sitzt buchstäblich am Drücker! Er entscheidet, welcher Lieferant wie zum Zuge kommt. Kein Wunder also, dass Lieferanten nicht nur auf die Qualität ihrer Produkte und Dienstleistungen achten, sondern auch auf die Gewogenheit des Abnehmers. Wo liegen beispielsweise die Grenzen zwischen einer kleinen Aufmerksamkeit und regelrechter Bestechung? Eine Frage, die gerade in Deutschland, Österreich und der Schweiz immer häufiger gestellt wird, seitdem diese einstmals so "lauteren" Länder auf der umstrittenen internationalen Liste der Korruptionsdichte weiter nach oben geklettert sind.

Der größte Risikofaktor in der Beschaffungsabteilung ist also der Mensch. Entweder wird er von sich aus aktiv oder andere verleiten ihn dazu, seine Position und anderweitigen Einfluss zum eigenen Vorteil zu nutzen. Damit bewegen wir uns aus dem Bereich der Geschäfts- und Managementrisiken, zu denen Beschaffungsgeschäfte zählen, in Richtung Kriminalitätsrisiken. Korruption, Bestechung und Bestechlichkeit, Untreue und Betrug sind kriminelle Delikte, die oft im engen Zusammenhang mit Beschaffungsmaßnahmen stehen. Diesen Risiken mit ihren unter Umständen gefährlichen Auswirkungen auf die Wirtschaftlichkeit und das Image eines Unternehmens oder einer Behörde - man denke nur beispielsweise an das Bundesamt für Wehrtechnik und Beschaffung - und damit nicht zuletzt auf das ganze Wirtschaftssystem müssen die Verantwortlichen ihre volle Aufmerksamkeit im internen Kontrollsystem widmen.

Der beste Weg, dieses Risiko zu bewältigen, ist, es rechtzeitig zu erkennen und richtig zu bewerten. Risiko-, Sicherheitsund Krisenmanagement sind die drei Säulen des Corporate-Security-Systems (siehe dazu auch Heft 1/04, Seiten 18/19). Wegen der großen Bedeutung der Präventionsarbeit in allen Organisationen wird im Folgenden das Risikomanagement etwas ausführlicher beschrieben.

Nichts dem Zufall überlassen
In der allgemeinen Betrachtung von Risiken ist davon auszugehen, dass einerseits ein Unternehmen gefährdet sein kann (beispielsweise durch Industriespionage), anderseits von ihm selbst ebenfalls Gefahren ausgehen können (etwa für die Umwelt, Gesundheit von Mitarbeitern oder Bewohnern in der Umgebung). Risikomanagement soll helfen, diese Gefahren zu minimieren oder ganz zu vermeiden.

Ein potenzieller Gefahrenherd hat oft, insbesondere im Zusammenhang mit Investitionsmaßnahmen, seinen Ursprung in Preisabsprachen, Bestechlichkeit und sonstigen schädigenden Verhaltensweisen. Im Kontext mit der Beschaffung sind die externen Kreise dieses Geschäftsablaufs gleichfalls zu beachten. Denn Bestechlichkeit setzt natürlich auf der anderen Seite Bestechung voraus, die Geschäftspartner oder künftige Lieferanten, Kunden oder gar Mitbewerber initiieren können.

Risiken sind letztlich in ihrer Vielfalt kaum abzuschätzen. Dennoch folgt das Verfahren des Risikomanagements bestimmten Regeln. Zunächst muss die Bereitschaft bestehen, sich mit dem Thema überhaupt zu beschäftigen. Dies sollte selbstverständlich sein - ist es aber erstaunlicherweise nicht. Seit der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) von 1998 in Verbindung mit dem Aktiengesetz sind Vorstände verpflichtet, ein Überwachungssystem einzurichten, um für das Unternehmen gefährliche Entwicklungen frühzeitig zu erkennen und ihnen entgegenzusteuern.

Nach herrschender Meinung sind neben den Aktiengesellschaften auch GmbHs und Genossenschaften zu dieser Art von Selbstkontrolle verpflichtet. Ferner ist in diesem Zusammenhang "Basel II" zu beachten. Dabei ist ein Rating-Kriterium, ob es ein Überwachungssystem gibt und von welcher Qualität es ist. Der Beschaffungsprozess ist demzufolge eines der Module, auf das ein Risikomanagementsystem seine Aufmerksamkeit zu richten hat.

Nachdem Einsicht in die Notwendigkeit der Beschäftigung mit diesem Thema besteht, erfolgt als nächster Schritt die Risikoidentifikation. In jedem Betriebsablauf gib es Risikofelder, die auf ihre Relevanz im Detail zu prüfen sind. Diese Risikofelder sind generell

  • Kriminalitätsrisiken
  • Technikrisiken
  • allgemeine externe Risiken
  • allgemeine interne Risiken
  • Geschäfts- und Managementrisiken.

Dazu gehören ferner Handlungen von Mitarbeitern, die das Image eines Unter- Kreislauf des Risikomanagements nehmens beschädigen, beispielsweise wenn Verantwortliche in illegale Preisabsprachen, Gebietsaufteilungender Vertreter oder ausbeuterische Herstellungsverfahren verwickelt sind.

Mitarbeiter einbeziehen
Wichtig ist, dass im Prozess der Risikoidentifikation jeder Mitarbeiter für seinen unmittelbaren Aufgabenbereich einbezogen wird. Dieser Motivationsschub zeigt, dass zwischen Vorgesetzten und Mitarbeitern das notwendige Vertrauensverhältnis besteht und verstärkt gleichzeitig das Bewusstsein für Risiken und den Umgang mit ihnen. Gefördert werden muss darüber hinaus die Bereitschaft, jedwede Planung oder Veränderung auf damit verbundene Risiken zu prüfen. Probate Mittel zur Risikoidentifikation durch die Mitarbeiter sind Fragebögen oder regelmäßige Mitarbeitergespräche. Da nicht alle Risiken allein durch die Beschäftigten erkannt werden können, sind unter anderem die Einberufung eines Expertenrats oder eine Betriebsbesichtigung durch Verantwortliche weitere sinnvolle Maßnahmen.

Als nächster Schritt folgt die Risikoanalyse. Sie steht mit der Risikobewertung im unmittelbaren Kontext. In der Praxis des Risikomanagements bedeutet dies, die identifizierten Risiken darauf zu prüfen, ob sie zutreffend beschrieben sind und dem Unternehmensprofil entsprechen. Ist das der Fall, müssen sie bewertet werden. Kriterien dafür sind die Eintrittswahrscheinlichkeit und der geschätzte Schaden. Das erkannte Risiko ist kurz zu beschreiben. Eintrittswahrscheinlichkeit und Schadenshöhe lassen sich mit "gering", "mittel" oder "hoch" qualifizieren. Eine mit dem Schulnotensystem vergleichbare Einstufung ist allerdings sinnvoller, da der Differenzierungsgrad exakter und damit für anstehende Entscheidungen besser geeignet ist.

Eintrittswahrscheinlichkeit und Schadenshöhe korrelieren mit der Frage der Risikosteuerung. In dieser Phase der Entscheidungen zum Umgang mit Risiken treten die Verantwortlichen des Unternehmens auf den Plan. Zu den Risikosteuerungselementen gehören:

  • vermeiden
  • vermindern
  • ausgleichen (kompensieren, versichern, abwälzen)
  • selbst tragen.

Nicht alle Risiken bieten die gleichen Steuerungsmöglichkeiten. Risiken durch kriminelle Handlungen lassen sich jedenfalls legal kaum dadurch ausgleichen, dass andere damit belastet werden (abwälzen). Sie lassen sich aber durch vielerlei bauliche und technische Einzelmaßnahmen, durch Überwachung und Kontrolle sowie durch personenbezogene Regelungen vermeiden oder in ihren Auswirkungen vermindern.

Die jeweilige Entscheidung bestimmt die Folgerungen im Einzelfall, also die Risikomaßnahmen. Die Eintrittswahrscheinlichkeit und der mögliche Schaden bestimmen Art und Intensität der Maßnahmen des Risikomanagementsystems. Dies wiederum hängt von den damit verbundenen Kosten ab. So entsteht ein Beziehungsgeflecht, aus dem sich als tatsächliche Risikomaßnahme statt einer optimalen Lösung oft ein Kompromiss auf vielleicht unterer oder mittlerer Lösungsebene ergibt.

Abschluss als Neubeginn
Der Prozess des Risikomanagements findet in der Risikokontrolle seinen vorläufigen Abschluss, der zugleich wieder ein Neubeginn ist. Nicht umsonst wird der Prozess der Risikostrategie als Kreislauf bezeichnet. Inzwischen gibt es Systemprogramme, die bei der systematischen Erfassung der Risiken ein sinnvolles Gerüst bieten und letztlich ermöglichen, die Risikokontrolle elektronisch unterstützt zu jeder Zeit und für jeden Komplex durchzuführen.

Beschaffungsaufgaben haben je nach Unternehmensstruktur unterschiedliche Wertigkeiten, die aber immer auf einem relativ hohen Niveau angesiedelt sind. Sie beeinflussen die Kostenseite eines Unternehmens und sind gegebenenfalls Voraussetzung für den unternehmerischen Erfolg. Der Beschaffungsprozess ist ein Teil unternehmerischen Wirkens und daher nicht, wie gelegentlich beschrieben, notwendigerweise mit einem eigenen Risikomanagementsystem zu versehen. Allerdings gebührt diesem Bereich eben besondere Aufmerksamkeit.

Handelsunternehmen und das produzierende Gewerbe sind in ihrem wirtschaftlichen Erfolg besonders von den Konditionen abhängig, mit denen sie einkaufen können. Die dabei zur Verfügung stehenden Finanzmittel bieten leider allzu oft den Anreiz für illegale Machenschaften. Erkennbare Risiken gehen von Herstellern und Lieferanten der benötigten Produkte aus, ferner von Transporteuren und Vertragspartnern, Materialbeschaffern, Lagerverwaltern, Auslieferern und Verkäufern. In jeder Stufe dieser Supply Chain besteht die Möglichkeit illegaler Machenschaften.

Der alte Satz "Vertrauen ist gut, Kontrolle ist besser" sollte hier wörtlich genommen werden. Finanzentscheidungen von großer Tragweite dürfen auf Dauer nicht einzelnen Mitarbeitern alleine überlassen bleiben. In Zusammenhang mit der Bekämpfung von Korruption, die nicht ausschließlich bei Beamten unter Strafandrohung steht, sondern auch für Angestellte in der Wirtschaft gilt (§§ 298, 299ff. StGB), sind Möglichkeiten aufgezeigt, derartige Vergehen zu vermeiden. Allerdings ist das Unrechtsbewusstsein gegenüber Preisabsprachen oder Gewährung von Vergünstigungen recht gering ausgeprägt, wenn dadurch wirtschaftliche Erfolge in Aussicht stehen.

Um Schäden jedweder Art, also wirtschaftliche oder auch Imageschäden, von einem Unternehmen abzuwenden, bleibt gerade im Zusammenhang mit dem Beschaffungssektor nur der Weg der unerbittlichen Kontrolle. Dabei sollte nicht von vornherein nur Misstrauen dieses Handeln begründen, sondern auch der Wille zum Schutz der an diesem Prozess Beteiligten. Dieser Aspekt ist deutlich herauszustreichen, wenn gerade im Beschaffungsbereich besonders intensiv Kontrollen spürbar gemacht werden. Diese müssen sein, um Fehlverhalten zu vermeiden, das sich "aus der günstigen Gelegenheit" begründet. Dieser Gedanke ist vermittelbar und akzeptabel.

Autor: Jürgen Peter, Leitender Kriminaldirektor a. D., ist Mitglied im Initiativkreis "Vernetzte Sicherheit" der Consulting Plus Sicherheitsberatung & Service GmbH, Berlin.

03.03.2011

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40