Mit Einführung eines Risikomanagements reduziert sich die Geschäftsführerhaftung. Sie wollen ein Risikomanagement einführen? Lesen Sie im dritten Teil mehr über den Aufbau und die Implementierung.
Zahlreiche gesetzliche Bestimmungen im Aktienrecht, HGB sowie im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) fordern ein betriebliches Risikomanagementsystem. § 91 Abs. 1 AktG verlangt "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungs-System einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden“.
Auch das HGB fordert in § 317 Abs. 4 HGB "für ein angemessenes Risikomanagement und eine interne Revision Sorge zu tragen“.
Aufbau des Risikomanagementsystems
Grundlage eines Risikomanagementsystems ist die Festlegung der unternehmensspezifischen risikopolitischen Grundsätze, durch die das Risikobewusstsein aller Mitarbeiter geschärft wird. Diese sind zu dokumentieren und zu kommunizieren. Dabei ist sicherzustellen, dass ein einheitliches Verständnis im Unternehmen herrscht.
Je nach Größe des Unternehmens gibt es einen eigenen "Risk-Management-Bereich“ oder die Aufgaben werden in Fach- und Personalunion mit einer anderen Abteilung (z. B. Controlling) wahrgenommen. Auf jeden Fall ist ein verantwortlicher "Risikomanager“ zu bestimmen. Von dort aus erfolgen Aufbau und Implementierung des Risikomanagementsystems sowie die laufende Beratung der Risikoverantwortlichen sowie die Risikoberichterstattung.
Darüber hinaus erfolgt dort auch die kontinuierliche Weiterentwicklung des Risikomanagementsystems (Aufnahme und Bewertung neuer Risiken) nebst Dokumentation, wie es auch bei Qualitätsmanagementsystemen üblich ist.
Die operative Umsetzung des Risikomanagements erfolgt in den Unternehmensbereichen. Die "Risk-Owner“ tragen im Wesentlichen die Verantwortung für eine funktionierende Umsetzung durch Identifikation und schnelle Kommunikation von Risikosachverhalten in ihrem Bereich.
Ablauf des Risikomanagementprozesses
Zentrales Element des Risikomanagementsystems ist der Risikomanagementprozess, der einen sich wiederholenden Regelkreis darstellt, der auf der definierten Risikostrategie und den darin festgelegten Grundsätzen und Zielen basiert und jährlich aktualisiert werden muss.
Phase 1: Beschreibung der Risiken
In dieser Phase werden die Risiken mittels risikoorientierten Analysen der betrieblichen Prozesse und Funktionsbereiche ermittelt und beschrieben. Dies erfolgt in der Regel durch Befragungen der Führungskräfte und Mitarbeiter (Risk-Owner) und durch Auswertungen einschlägiger Unterlagen. Das Ergebnis dieser Phase ist ein Risikokatalog für alle betroffenen Unternehmensbereiche, der eine möglichst detaillierte Beschreibung der Risiken enthält.
Phase 2: Quantifizierung und Bewertung der Risiken
In Phase 2 erfolgt die Quantifizierung der Risiken in Eintrittswahrscheinlichkeit und Schadensauswirkung. Können Risiken wertmäßig nicht exakt beziffert werden, sind sie zu schätzen (in diesem Fall sind die Prämissen und Annahmen der Schätzung zu dokumentieren).
Die Verknüpfung von Schadenseintrittswahrscheinlichkeit und Schadensauswirkung ergibt das eigentliche Risikoausmaß. Quantifizierte und geschätzte Risiken werden anschließend einer Einteilung in Klassen unterzogen (z. B. in leichte, mittlere oder Existenz gefährdende Risiken).
Die ermittelten Werte der klassifizierten Risiken haben keine Allgemeingültigkeit, sondern sind unternehmensspezifisch in ihren Auswirkungen. Allerdings haben Existenz gefährdende Risiken bei allen Unternehmen eines gemeinsam: Eine Unternehmensfortführung ist bei Realisierung dieser Risiken als unwahrscheinlich anzusehen.
Phase 3: Risikosteuerung und Risikokontrolle sowie Berichtswesen
Phase 3 des Risikomanagementprozesses beinhaltet die Überwachung und Kontrolle des Prozesses als Ganzem sowie der abgeleiteten Gegenmaßnahmen. Dies erfolgt mittels Instrumenten interner Kontrollsysteme und der Entwicklung eines betrieblichen Frühwarnsystems. Der Risikomanager hat dabei die Aufgabe, diese Instrumente aufzubauen und zu koordinieren.
Der Risikomanagementprozess erfolgt in der Regel top-down, d.h. von der Geschäftsführung über den Risikomanager bis zu den operativen Bereichen (Risk-Owner). Vorgaben sind von der Geschäftsführung anzuweisen und von den nachgelagerten Stellen umzusetzen. Die Berichterstattung dagegen läuft meist von unten nach oben (bottom-up), indem die Informationen vom Risk-Owner (operative Einheit) über den Risikomanager bis hin zur Geschäftsführung verdichtet werden.
Dieser Prozess ist kontinuierlich im Unternehmen anzuwenden, um neue Risiken zu erkennen und diesen wirksam zu begegnen.