Die Telekommunikationsbranche gehört zweifellos zu den dynamischstenWirtschaftsbereichen überhaupt. Aufgrund der rasanten technologischenEntwicklung und des scharfen Wettbewerbs ist dieser Sektor jedoch auch mithohen Risiken behaftet. Dementsprechend kommt einem effektiven und effizienten Risikomanagement eine wichtige Bedeutung für die Sicherung undSteigerung des Unternehmenswerts zu. Swisscom – mit über 20.000 Mitarbei-tern und einem Umsatz von knapp 9,5 Mrd. Euro im Jahr 2002 einer der zehngrößten Telekommunikationskonzerne in Europa – hat die Vorteile, die ein pro-aktives und ganzheitliches Risikomanagement bietet, schon sehr früh erkannt.

Risiko-Kultur bei der Swisscom AG

18 RISKNEWS 01/04

Obwohl in der Schweiz keine Vorschriften existieren, die mit dem deutschen „Gesetz zurKontrolle und Transparenz im Unternehmens-bereich“ (KonTraG) vergleichbar sind und durchdie ein Unternehmen zur Einführung einesRisikomanagements verpflichtet wäre, spieltenauch bei Swisscom externe Einflüsse eine wichtige Rolle bei diesem Thema. Zum einenfordern die Finanzmärkte ein effizientes Risiko-management und eine Transparenz der Wert- undRisiko-Treiber im Unternehmen. Zum anderensetzte auch in der Schweiz nach den diversenBilanzskandalen in den USA (Enron, Worldcom,Tyco etc.) eine rege Diskussion um das ThemaCorporate Governance ein, welche durch diejüngsten regulatorischen Entwicklungen (Sar-banes-Oxley-Act) noch an Intensität gewann.„Da die Swisscom-Aktie zudem an der NewYorker Börse notiert ist, haben wir strengeVorschriften, was wir punkto ‚Internal Controls’machen müssen“, beschreibt Martin Vögeli,Head of Risk Management beim SchweizerTelekommunikationskonzern, die Rahmenbe-dingungen für das Risikomanagement.

Unterstützung durch das Top-Management

Allerdings trafen die oben genannten Anforde-rungen die Swisscom keineswegs unvorbereitet.So wurde auf Initiative des Verwaltungsrates

bereits im Jahr 2000 ein Risikomanagement-System initiiert, das seit Anfang 2001 durch dieInstitutionalisierung einer Risk-Management-Funktion sukzessive ausgebaut wird. Die Unter-stützung durch das Top-Management sollte sich insbesondere während der Einführungs-phase als wichtiger Erfolgsfaktor erweisen. „Dawir fachlich direkt dem Verwaltungsratsaus-schuss Revision (Audit Committee) unterstelltsind, hatten wir zur Etablierung des Risiko-management-Systems die notwendige Manage-ment Attention“, beschreibt Vögeli die Erfah-rungen der ersten Monate.

Trotz dieses Rückhalts von Seiten der oberstenFührungsetage mussten zu Beginn teilweisegroße Widerstände überwunden werden.„Anfangs herrschte unter den Führungskräftennatürlich Skepsis, ob ein unternehmensweitesRisikomanagement-System in der geplantenForm überhaupt notwendig ist. Als sie hörten,dass sie dem Thema Risikomanagement anläss-lich eines gruppenweiten Risk Assessmentseinen ganzen Tag ihrer wertvollen Zeit opfernsollten, hielt sich die Begeisterung zu Beginnziemlich in Grenzen“, erinnert sich Vögeli an dieSchwierigkeiten beim Start des Projekts, „aberin den Workshops konnten wir diese Bedenkendann sehr schnell zerstreuen. Am Schluss warenalle überzeugt, dass die strukturierte Auseinan-dersetzung mit dem Thema Risiko von großem

RN-Heft01_Inhalt-S2-43_RZ 29.01.2004 17:32 Uhr Seite 18

Nutzen war. Dementsprechend hoch war dannauch die Motivation, sich weiter mit demRisikomanagement zu beschäftigen.“

Es war von vornherein klar, dass die Unterstüt-zung durch das Top-Management mehr als einLippenbekenntnis sein muss. Schließlich kanndie Implementierung eines Risikomanagement-Systems und die Etablierung einer offenen Risiko-Kultur nur gelingen, wenn auch die obersteFührungsebene mit gutem Beispiel voran gehtund sich den selbst geschaffenen Prozessen und Regeln unterwirft. So wird bei Swisscom in jeder Gruppengesellschaft und im Gruppen-Headquarters jährlich ein Risk Assessmentdurchgeführt, bei dem die Risiken der jeweili-gen Organisation unter die Lupe genommenwerden und die einzelnen Geschäftsleitungs-mitglieder ihre Risiko-Situation jeweils gegen-seitig beurteilen.

Organisationsstruktur

Um sicher zu stellen, dass das Risikomanage-ment fest im Unternehmen verankert wird, ist es unerlässlich, die bestehenden Prozesse durcheine entsprechende Aufbauorganisation zuuntermauern und zu festigen. Wichtig ist hierbeiinsbesondere eine klare Definition der Verant-wortlichkeiten, wie auch Vögeli bestätigt: „BeiSwisscom ist Risk Management Chefsache. Die einzelnen Manager sind namentlich verant-wortlich für die Risiken und die Umsetzung entsprechender Gegenmaßnahmen.“ Um die dezentrale Identifikation und Bewertung derRisiken zu koordinieren und zu konsolidieren,wurde eine mehrstufige Risikomanagement-Organisation etabliert (vgl. Abb. 1). Zum einenexistiert auf Gruppenebene eine zentrale Abteilung, welche die übergreifenden Risiko-management-Aktivitäten innerhalb des Unter-nehmens koordiniert und voran treibt, z. B.Definition und Überwachung von Richtlinien,Sicherstellung des Reportings für die Gruppen-leitung, Koordination von Audits, Durchführunggruppenweiter Risk Assessments, Beratung undUnterstützung der unterschiedlichen Gruppen-gesellschaften oder Information und Schulungder Mitarbeiter auf allen Stufen. Mit Hilfe eines IntraNet-Auftritts ist die Thematik Risiko-management sämtlichen Mitarbeitern in derGruppe zugänglich.

Auf der Ebene der einzelnen Gruppengesell-schaften wurden so genannte „Risk Champions“etabliert, die sicherstellen, dass der vorgegebeneRisikomanagement-Prozess implementiert istund Verantwortliche für die vorhandenen Risi-

ken definiert sind. Für sämtliche Einzelrisikenauf den unterschiedlichsten Unternehmens-ebenen und -bereichen wurden schließlich sogenannte „Risk Owner“ definiert, deren Auf-gabenbereich die Identifikation, Bewertung undSteuerung von Einzelrisiken umfasst. Zusätzlichtragen sie Verantwortung für die Bestimmungdes angestrebten Risiko-Niveaus (Zielrisiko), dieFestlegung von Maßnahmen zur Risiko-Behand-lung (Risk Mitigation), das regelmäßige Repor-ting sowie die sofortige Eskalation kritischerVeränderungen an die Risk Champions. Um einForum für den gemeinsamen Informations- undErfahrungsaustausch zu bieten, wird quartals-weise ein Risk Committee durchgeführt, an welchem ein Themenschwerpunkt vertieft wird(Regulation, Projekt-Risikomanagement etc.).„Einige Gruppengesellschaften haben inzwi-schen auch selbst ein Risk Commitee gegründet,bei dem sich Mitarbeiter und Führungskräftezusammensetzen, um über die Risiken IhresGeschäfts zu diskutieren“, freut sich Vögeli über die Eigeninitiative seiner Kollegen.

Erfolgsfaktor Toolunterstützung

Mitentscheidend dafür, dass Risikomanagementbei der Swisscom nicht als gesetzlich auf-oktroyierte (und damit lästige) Pflicht, sondernvielmehr als entscheidender Beitrag zur Wett-bewerbsfähigkeit wahrgenommen wird, dürfteauch die Unterstützung durch ein geeignetesSoftwaretool gewesen sein. „Früher haben die Leute immer gesagt: ‚Wir müssen Risiko-management machen, aber wir haben nicht dienotwendigen Hilfsmittel dazu.’ Sehr wichtig waruns daher, den Mitarbeitenden ein Instrumentin die Hand zu geben, welches sie bei ihren operativen Tätigkeiten unterstützt und eineRedundanz von verschiedenen Reportings verhindert“, betont Albert-Thomas Flammer,Risk Manager und Verantwortlicher für die RM-Tools, die Rolle der Software bei der prakti-schen Umsetzung des Risk Managements. DieAuswahl eines konkreten Tools, mit dem diebisher verwendeten proprietären EXCEL- undACCESS-basierten Ansätze abgelöst werdensollten, fand daher auch unter Einbeziehung der Risk Champions statt: Es galt eine Lösungzu wählen, welche die Mitarbeiter in allenBereichen unterstützt, nicht aber beherrscht.Vor diesem Hintergrund ergab es keinen Sinn,das Risikomanagement auf komplexe Data-Warehouse-Lösungen aufzusetzen und zu ver-suchen, möglichst viele Prozesse zu automati-sieren. Denn erstens werden viele Risiken ineinem ersten Schritt nur qualitativ beschriebenoder gar nicht über die internen ERP-Systeme 19RISKNEWS 01/04

FACHBEITRAG

RN-Heft01_Inhalt-S2-43_RZ 29.01.2004 17:32 Uhr Seite 19

erfasst, und zweitens muss das Risikomanage-ment flexibel strukturiert sein, damit es effektiv‚gelebt’ werden kann. Das bedeutet, dass dieVerantwortung nicht an technische Systeme de-legiert werden darf.

Ein wesentliches Kriterium bei der Auswahleines konkreten Tools war für die Swisscom die Flexibilität der Software-Lösung, d. h. dieMöglichkeit, Risiken auf unterschiedlichenEbenen bzw. aus unterschiedlichen Perspektiven(Bereich, Verantwortlicher, Risiko-Art, Exposureetc.) zu analysieren. Letztlich entschied sichSwisscom für das Produkt R2C der SchleupenAG aus Ettlingen. Seit ihrer Einführung Ende 2001 wurde die Software kontinuierlich an die spezifischen Bedürfnisse der Schweizer

angepasst. Die intensive Zusammenarbeit mitdem Kunden hat sich dabei auch für denLösungsanbieter ausgezahlt. „Die Qualität desRisikomanagements der Swisscom lässt sichnicht zuletzt daran erkennen, dass von diesemKunden immer wieder wichtige Impulse fürOptimierungen unseres Produktes ausgehen“,beschreibt Ulrich Palmer, Leiter Entwicklungund Dienstleistung der Business Unit Risiko-management bei der Schleupen AG, den beider-seitigen Nutzen aus dieser Kundenbeziehung.

Prinzipiell gilt bei der Swisscom der Grundsatz,dass Risiken grundsätzlich qualitativ und quantitativ zu bewerten sind, wobei ersteresinsbesondere für diejenigen Risiken gilt, derenAuswirkungen auf den EBIT (Earnings before20 RISKNEWS 01/04

Abb. 1: Risikomanagement-Organisation bei der Swisscom AG

GG1 GG2

Audit CommitteeVerwaltungsrat

Financial Audit

Internal Audit

CEO / GL

Group Risk Owner

Group Risk Owner

Group Risk Owner

Risk ManagementSwisscom (GOR-RM)

Risk Owners

Risk Owners

Risk Owners

Risk Owners

Risk Owners

Risk Champions

CEO

Risk Champions Risk Champions

Risk Champions

CEO

Gruppen-Headquarters Strategische Gruppengesellschaften Wichtige Gruppengesellschaften Individuelle Fachrisiken

Risk Owners

Risk Owners

Risk Owners

Risk Owners

Risk Owners

Risk Owners

RN-Heft01_Inhalt-S2-43_RZ 29.01.2004 17:32 Uhr Seite 20

Interest und Taxes/Operatives Ergebnis) nichteindeutig bestimmbar sind. Zudem ist für alleRisiken eine detaillierte Ursachenanalyse zu formulieren. Anhand der erhobenen Daten wirdeine ausführliche Risk Map erstellt, welche dieEinzelrisiken nach den Dimensionen „Eintritts-wahrscheinlichkeit“ und „Auswirkung“ klassifi-ziert. Der Zeithorizont der Analyse bezieht sichin der Regel auf die Periode des Businessplansund umfasst 36 Monate. Zusätzlich werdenauch alle Risiken erfasst, bei denen zwar in diesem Zeitraum keine signifikanten Auswirk-ungen erwartet werden, die aber zu einem späteren Zeitpunkt erhebliche Konsequenzenverursachen würden.

Wie in den meisten Unternehmen, war auch das Risikomanagement der Swisscom in derAnfangsphase fast ausschließlich qualitativorientiert. Im Lauf der Zeit rückten jedoch quan-titative Aspekte immer stärker in den Mittel-punkt. Vor kurzem wurde beispielsweise einTool zur Szenarioanalyse eingeführt, welchesden Mitarbeitern erlaubt, ihre Annahmen undRisiko-Einschätzungen auch unter verändertenBedingungen überprüfen zu können. „Als Tech-nologiekonzern muss die Swisscom natürlichgewisse Risiken eingehen, um entsprechendeChancen zu realisieren. Wenn ein Geschäfts-führer vor dem Verwaltungsrat die Chancenplausibel darstellen kann und die Auswirkungentransparent macht, nimmt man gegebenenfallsauch die damit verbundenen Risiken in Kauf“,beschreibt Flammer den Nutzen einer solchenBetrachtung. Deshalb ist auch jeder Risk Ownerverpflichtet, für die wesentlichen Risiken seinesVerantwortungsbereichs drei Szenarien (z. B.„upside case“, „mid case“ und „downside case“)zu definieren, die dann auf Gruppenebene aggregiert und konsolidiert werden. Auf dieseWeise kann die Unternehmensleitung die künf-tige Risiko-Situation der Swisscom AG unter verschiedensten Prämissen analysieren.

Interne und Externe Risiko-Kommunikation

Der Wandel, den das Risk Management derSwisscom AG in den letzten Jahren durchge-macht hat, ist vielleicht am deutlichsten amUmgang der Mitarbeiter mit den eigenen Risiken abzulesen. „Früher hat man eher zu-rückhaltend über Risiken gesprochen, heutewerden Chancen und Risiken offen gegenein-ander abgewogen. Man sagt ganz klar: ‚Okay –ich habe hier ein Risiko – können wir damitleben? Ja oder Nein?‘ Und die Geschäftsleitungentscheidet dann eben. Die Leute leben mit

ihren Risiken, sie wissen, damit umzugehen undmüssen nichts mehr verstecken“, beschreibtFlammer die veränderte Einstellung der Mit-arbeiter und Führungskräfte.

Eine solch offene Risiko-Kultur und Kommuni-kation endet bei der Swisscom nicht an den„Werkstoren“. Vielmehr legt das Unternehmenauch großen Wert auf den engen Kontakt mitexternen Stakeholdern. Während viele Unter-nehmen allzu oft Nebelkerzen werfen, anstattihre Mitarbeiter, Gläubiger und Aktionäre offenüber die Risiken zu informieren, versucht dieSwisscom AG auch hier, größtmögliche Trans-parenz walten zu lassen. „Wir scheuen uns nicht,unsere Shareholder klar über unsere und damitauch ihre Risiken zu informieren. So wird imamerikanischen Geschäftsbericht über mehrereSeiten die Risiko-Situation der Swisscom be-schrieben“, charakterisiert Vögeli die Kommu-nikationspolitik seines Unternehmens.

Die Zukunft des Risikomanagementsbei der Swisscom

Bei der Swisscom wird in nächster Zukunft einerseits die Konsolidierung des bisher Erreich-ten im Blickpunkt stehen, d. h. insbesondere dernötige Feinschliff von Prozessen und Systemen,die Ergänzung zusätzlicher Funktionalitätenund die stärkere Automatisierung von derzeitmanuell durchgeführten Tätigkeiten. Anderer-seits werden sich die Fachfunktionen im Risiko-Bereich neben den formalen Aspekten vermehrtden inhaltlichen Fragestellungen widmen. Da-neben wird das Risikomanagement jedochauch schrittweise auf neue Gebiete ausgedehnt.„Gerade im Projektmanagement ist die ‚RiskAwareness’ heute noch nicht optimal. Dabeisteckt vermutlich gerade in diesem Bereich einnicht zu unterschätzendes Potenzial für Effi-zienzsteigerungen durch gezielte Adressierungvon Risiken“, meint Vögeli im Hinblick auf dieanstehenden Aufgaben.

Neben den vielfältigen technischen Verbesse-rungen und inhaltlichen Erweiterungen dürfteaber wiederum der Risiko-Kultur die entschei-dende Bedeutung für die Weiterentwicklung desRisikomanagements zufallen. Nur wenn es ge-lingt, die derzeit herrschende Offenheit für die-ses Thema auch in Zukunft aufrecht zu erhalten,wird das Risikomanagement der Swisscom AGauch künftig seiner Rolle als wesentlicher Er-folgsfaktor bei der Sicherung und Steigerung desUnternehmenswerts gerecht werden können.

<fr/re> 21RISKNEWS 01/04

FACHBEITRAG

RN-Heft01_Inhalt-S2-43_RZ 29.01.2004 17:32 Uhr Seite 21