Wie Roche den Stellenwert des Risikomanagements im gesamten Unternehmen erhöht und eine gemeinsame Sprache für die Diskussion über Risiken eingeführt hat
INDUSTRIE
Gesundheitswesen
LOCATION
Schweiz
ANZAHL DER MITARBEITER
101.200
Der Hintergrund und die Herausforderung
Seit über 110 Jahren spielt Roche eine Vorreiterrolle im Gesundheitswesen. Als Innovator von Produkten und Dienstleistungen für die Früherkennung, Prävention, Diagnose und Behandlung von Krankheiten trägt Roche auf breiter Front zur Verbesserung der Gesundheit und Lebensqualität der Menschen bei. Roche ist weltweit führend in der In-vitro-Diagnostik und bei Medikamenten für Krebs und Transplantation und ist in anderen wichtigen therapeutischen Bereichen mit hohem medizinischem Bedarf wie Autoimmunerkrankungen, entzündlichen Erkrankungen, Virologie, Stoffwechselstörungen und Erkrankungen des zentralen Nervensystems aktiv.
Roche verpflichtet sich zur Einhaltung hoher ethischer Standards und zur Befolgung aller geltenden lokalen, nationalen und internationalen Gesetze. Die ethischen Standards des Unternehmens sind in seinen Unternehmenswerten verankert. Verantwortungsvolle Geschäftsführung umfasst auch den Ansatz der Organisation zum Risikomanagement.
Im Jahr 2007 richtete Roche eine neue Konzern-Risikomanagement-Funktion ein, um Risikoinformationen aus verschiedenen Teilen seines umfangreichen Geschäfts zu konsolidieren. Zu diesem Zeitpunkt verwendeten die verschiedenen Geschäftseinheiten eine Vielzahl von Instrumenten und Prozessen zur Identifizierung und Minderung von Risiken. Die neue Risikomanagement-Gruppe benötigte eine gemeinsame Plattform, um die verschiedenen Instrumente und Informationsprozesse zusammenzuführen, die flexibel genug sein sollte, um lokale Arbeitspraktiken zu unterstützen. Neben dem globalen Risikomanagement auf Unternehmensebene musste das Tool auch für das Risikomanagement innerhalb von Projekten geeignet sein.
Dr. Daniel Imhof, Risikodirektor bei Roche, erklärte: „Bei Roche bevorzugen wir einen pragmatischen Ansatz. Wir benötigten eine praktische Risikomanagement-Lösung, die einfach zu bedienen und leicht zugänglich sein sollte und die alle Daten sammeln würde, die wir zur Unterstützung guter Entscheidungsfindung benötigen. Darüber hinaus musste das Tool vollständig kompatibel mit Standards wie COSO und ISO 31000 sein.“
Risikomanagement für Unternehmen
Das Konzern-Risikomanagement-Team bei Roche verfolgt einen globalen Ansatz für das Enterprise Risk Management, indem es sich mit den wichtigsten Geschäftseinheiten der Organisation befasst, die Bereiche wie Marketing, Vertrieb, technische Operationen, Forschung und Entwicklung, IT, Personal, Finanzen und Recht abdecken, insgesamt etwa 25, die weltweit verteilt sind.
Jede Geschäftseinheit hat einen ernannten Risikomanager, der alle Risikoinformationen mithilfe von Project Risk Manager (PRM) koordiniert, wobei das Risikomanager-Profil für jede Geschäftseinheit je nach individuellen Anforderungen unterschiedlich sein kann. Risikoinformationen werden in den verschiedenen Einheiten je nach Kultur auf unterschiedliche Weise gesammelt und umfassen eine Mischung aus Workshops, persönlichen Gesprächen und Fragebögen. Sobald die Informationen gesammelt sind, gibt der Risikomanager sie in PRM ein, mit Details zu Überprüfungsterminen und Risikoeigentümern. Die Informationen werden für jede Geschäftseinheit konsolidiert und dann an das Konzern-Risikomanagement gesendet, wo die Informationen für die gesamte Organisation zusammengeführt und letztendlich dem Exekutivkomitee und dem Verwaltungsrat präsentiert werden.
Wir werden von einer Reihe verschiedener Funktionen um Unterstützung bei der Identifizierung, Bewertung und Dokumentation von Risiken und der Entwicklung von Strategien zur Risikominderung gebeten. Wir haben mit so unterschiedlichen Bereichen wie IT, Kommunikation, Preisgestaltung, Compliance und Produktentwicklung gearbeitet. Es ist wichtig, dass wir über die Instrumente verfügen, die es uns ermöglichen, so zu arbeiten, wie es für die jeweilige Funktion oder das Projekt am besten passt.
Projektrisiko
Eine der Aufgaben des Risikomanagementteams der Gruppe ist die Bereitstellung von Risikoberatungsdiensten. Es kann von jedem innerhalb von Roche in Anspruch genommen werden, um Fachwissen, Instrumente und Ressourcen für das Risikomanagement bereitzustellen.
Wir wollen, dass die Geschäftseinheiten und Tochtergesellschaften das Risikomanagement um seiner selbst willen nutzen, wegen der Vorteile, die es mit sich bringt, und es nicht als eine Form der Überwachung oder Kontrolle sehen.“ Imhof erklärte: „Deshalb war es uns so wichtig, die lokalen Arbeitsweisen zu erhalten und zu unterstützen, was uns durch PRM erfolgreich gelungen ist.
Risiko für lokale Tochtergesellschaften
Roche hat weltweit etwa 150 Tochtergesellschaften, die aus lokalen Marketing- und Vertriebsorganisationen, Distributions- und Produktionsorganisationen bestehen. Es gibt kein Mandat, dass diese Organisationen Risikomanagement betreiben müssen, aber die Option besteht, sollten sie dies wünschen.
Vor diesem Hintergrund hat das Konzern-Risikomanagement-Team ein E-Learning-Paket entwickelt, das es jedem, der PRM lokal nutzen möchte, ermöglicht, mehr über Risikomanagement und die PRM-Software zu erfahren und zu beurteilen, ob es für sie geeignet sein wird. Es bietet eine Einführung in das Produkt und liefert ein gutes Maß an Hintergrundinformationen.
Für diejenigen Tochtergesellschaften, die sich für das Angebot entscheiden, führt das Konzern-Risikomanagement-Team eine zweiwöchige Bewertung durch, berichtet über alle gefundenen Risiken und schlägt Risikominderungsstrategien vor. Die Ergebnisse werden dem Management-Team der Tochtergesellschaft zur Verfügung gestellt, damit sie diese lokal weiter verwalten können.
Zentrale Überwachung des Risikomanagements
PRM wird auch vom Konzern-Risikomanagement-Team genutzt, um ihre eigene Leistung und den Risikomanagementprozess selbst zu überwachen und zu verbessern. Auf diese Weise stellen sie sicher, dass die gesamte Unternehmens-Risikomanagement-Funktion iterativ ist und kontinuierlich verbessert wird.
Als Teil dieses Prozesses hat das Team die Möglichkeit, bereits eingetretene Ereignisse zu analysieren. Das System erlaubt es den Benutzern, in der Zeit zurückzugehen, um zu überprüfen, was die wahrgenommenen Risiken waren, was tatsächlich passiert ist und wie damit umgegangen wurde. Zum Beispiel: Entsprach die Auswirkung dem erwarteten Ergebnis? Dieses rückblickende Element des Systems ermöglicht es dem Roche-Team zu verstehen, wie gut sie historisch bei der Bewältigung von Risiken waren und Lehren daraus zu ziehen.
Eine Funktion innerhalb von PRM, die das Roche-Team besonders nützlich findet, ist die Möglichkeit, ein Risiko jederzeit neu zu bewerten, wenn neue externe Informationen ans Licht kommen. Dies könnte beispielsweise der Fall sein, wenn ein Konkurrent eine klinische Studie abschließt und Ergebnisse veröffentlicht, die direkte Auswirkungen auf eines der Produkte von Roche haben könnten.
Konsolidiertes Risikomanagement der Gruppe
Der Hauptvorteil für Roche war die Konsolidierung des Konzernrisikomanagement-Prozesses durch die Verwendung eines gemeinsamen Tools, einer gemeinsamen Sprache und klar definierter Bewertungskriterien innerhalb des Project Risk Manager. Berichte, von denen einige für den Konzern individuell angepasst wurden, bieten ein wertvolles Mittel zur Kommunikation mit den Geschäftseinheiten. Führungskräften können Risikoinformationen zur Verfügung gestellt werden, ohne dass sie das Tool selbst aufrufen müssen, wodurch die Informationen für einzelne Risikoverantwortliche relevanter und leichter verständlich werden.
Die Alarmfunktionen innerhalb des PRM tragen ebenfalls dazu bei, die Kommunikation und das Risikobewusstsein zu verbessern. Warnmeldungen können zentral vom Konzernrisikomanagement an die jeweiligen Benutzer gesendet werden, oder sie können an die Risikomanager der einzelnen Geschäftseinheiten weitergeleitet werden, die dann die Warnungen an die entsprechenden Risiko- und Risikoplanverantwortlichen weiterleiten.
PRM ist über das Web zugänglich, sodass einzelne Benutzer das System von jedem Standort und auf jedem Gerät nutzen können, ohne Software lokal herunterladen zu müssen. Während dies einen einfachen Zugang gewährleistet, wird gleichzeitig sichergestellt, dass die zentrale Datenbank der Unternehmensrisikodaten gepflegt wird und somit lokale Informationssilos vermieden werden.
Daniel Imhof fasste zusammen: „Wir befinden uns nun in einer Position, in der wir global Einblick in unser Risikoprofil haben. PRM hat es uns ermöglicht, den Stellenwert des Risikomanagements in der gesamten Organisation zu erhöhen und hat uns dabei geholfen, eine gemeinsame Sprache bei der Diskussion von Risiken einzuführen, was äußerst hilfreich ist. Wir verfügen über ein pragmatisches System zur Steuerung des Unternehmensrisikomanagements, das die gesamte Organisation abdeckt. PRM zentralisiert Risikoinformationen und ermöglicht es der Organisation, die Performance, KPIs, überfällige Risiken oder Maßnahmen zu messen und generell zu sehen, wie gut wir unsere Risiken handhaben, um so bessere Geschäftsentscheidungen treffen zu können.“
