Einführung und Umsetzung
Von Dr. rer. nat. Jürgen Kaack, STZ-Consulting Group
In diesem Teil der Serie geht es um die Einrichtung des Risikomanagementprozesses selbst. Es liegt auf der Hand, dass die Geschäftsführung den Anstoß hierzu geben muss.
Sie ist nicht nur im Falle einer Aktiengesellschaft (gemäß § 91 Abs. 2 AktG) zur Einführung eines Risikomanagements verpflichtet und hat für ein ordnungsgemäßes Funktionieren des Systems zu sorgen. Auch der GmbH-Geschäftsführer ist zur Einführung eines Risikomanagementprozesses verpflichtet, wenn er seine persönliche Haftung begrenzen will.
Aufbau
Bei der Einführung werden zunächst die risikopolitischen Grundsätze festgelegt, die in ihren Kernaussagen Verhaltensregeln beinhalten und alle Mitarbeiter zu einem vernünftigen Umgang mit Risiken anhalten. Sie dienen als Ausgangspunkt für die konkrete Ausgestaltung der Risikomanagementorganisation, z.B. durch den Controlling-Verantwortlichen, und sollen das Risikobewusstsein bei allen Beteiligten fördern. Schließlich werden diese Grundsätze im Unternehmen an alle Beteiligten kommuniziert und der Risikomanagementprozess erstmalig durchgeführt. Der Geschäftsführer trägt hierbei die Gesamtverantwortung gegenüber einem vielleicht vorhandenen Aufsichtsrat oder Beirat, den Anteilseignern (sofern es „externe“ Gesellschafter gibt) und dem Gesetzgeber. Da dies eine permanente Verpflichtung ist, muss sichergestellt sein, dass neu aufkommende Risiken frühzeitig erkannt werden und in den Risikomanagementprozess einfließen. Trotzdem ist der gesamte Prozess in regelmäßigen Abständen erneut durchzuführen.
Die Aufbauorganisation des Risikomanagements übernimmt in der Regel das Controlling als institutionalisierte Einrichtung. Es organisiert die Durchführung des Prozesses und unterstützt die Risikoverantwortlichen in den Unternehmensbereichen bei der Risikobewertung der weiteren Umsetzung und ist verantwortlich für eine effiziente Risikoberichterstattung gegenüber dem Management (Risk-Reporting). Seine Aufgaben bestehen außerdem in der konzeptionellen Weiterentwicklung und Ausgestaltung des Risikomanagementprozesses, aller erforderlichen Maßnahmen sowie der Prüfung der Angemessenheit und Wirksamkeit dieser Maßnahmen durch prozessunabhängige und prozessintegrierte Kontrollen. Schließlich dokumentiert das Controlling die gesamte Organisation der Risikoverantwortungen und aller Maßnahmen im Rahmen des Risikomanagements in einem Handbuch.
Die eigentliche Umsetzung des Risikomanagements erfolgt in den Unternehmensbereichen. Die operativen Einheiten (Risk-Owner) tragen einen Großteil der Verantwortung für eine funktionierende Umsetzung. Zu den Aufgaben der Prozessverantwortlichen gehören insbesondere die Identifikation und schnelle Kommunikation von Risikosachverhalten. Bei Bedarf erhalten diese dabei Unterstützung durch das Controlling. Durch ihre operative Nähe kommt dem Risk-Owner für das frühzeitige Erkennen, Beurteilen und Managen der Risiken am Ort ihres Entstehens entscheidende Bedeutung zu.
Gefahrenpotenziale erkennen, beurteilen und managen. Ein Überblick in drei Teilen: Gefahren erkennen, Risiken bewerten und Controlling aufnehmen.
Ablauf
Der Prozess des Risikomanagements vollzieht sich als ein sich wiederholender Regelkreis. Ausgehend von den in dieser Risikostrategie festgelegten Grundsätzen und Zielen erfolgt der Prozess in den Phasen
- Risikoidentifikation,
- Risikoanalyse und -bewertung,
- Risikosteuerung und Risikokontrolle bzw. -überwachung,
ehe der Kreislauf mit einer Überarbeitung der strategischen Ausrichtung von Neuem beginnt.
Risikoidentifikation
Nachdem im Rahmen der Strategiendefinition die Rahmenbedingungen, die Ausgangssituation und die Ziele des Risikomanagements ausgearbeitet sind, schließt sich die Phase der Risikoidentifikation an. In ihr werden die vorhandenen und potenziellen Risiken des Unternehmens wie in Teil 1 beschrieben ermittelt. Dies erfolgt mit Hilfe von risikoorientierten Analysen der betrieblichen Prozesse und Funktionsbereiche, durch Befragungen der Mitarbeiter (Risk-Owner) und durch Auswertungen von Dokumenten. Die Hauptaufgabe kommt dabei dem Controlling als institutionalisierter Risikomanagementeinheit und den verantwortlichen Mitarbeitern als Experten der Abteilungen zu. Als Ergebnis dieser Phase ergibt sich ein Risikokatalog, der neben den einzelnen Risiken auch deren Beschreibung sowie die betroffenen Unternehmensbereiche beinhaltet.
Analyse und Bewertung
Erforderlich ist nun eine Quantifizierung der Risiken in Schadensauswirkung und Eintrittswahrscheinlichkeit. Können Risiken nicht wertmäßig exakt ermittelt werden, sind sie zumindest qualitativ zu schätzen (in diesem Fall sind die Prämissen und Annahmen für eine spätere Überprüfung zu dokumentieren). Durch eine Multiplikation von Schadenseintrittswahrscheinlichkeit und Schadensauswirkung ergibt sich das eigentliche Risikoausmaß. Sowohl quantifizierte als auch qualitativ ermittelte Risiken werden anschließend einer Einteilung in Klassen unterzogen (z.B. in leichte, mittlere, bestandsgefährdende Risiken):
- Als leicht gelten Risiken, die ein mögliches Schadensausmaß von z.B. 10.000 Euro nicht überschreiten.
- Mittlere Risiken beinhalten ein Ausmaß zwischen beispielsweise 10.000 Euro und 100.000 Euro.
- Über einem potenziellen Risikoausmaß von z.B. 100.000 Euro gelten Risiken als bestandsgefährdend.
Diese Werte sind natürlich nicht allgemein gültig. Die für Ihr Unternehmen geltenden Werte müssen Sie entsprechend den Randbedingungen in Ihrem Geschäft definieren. Die Darstellung der Risikosituation erfolgt in einem Risikoportfolio, wie es in Teil 2 vorgestellt wurde.
Alle Aufgaben der Analyse und Bewertung der ermittelten Risiken obliegen dem Risiko-Controlling unter Rücksprache mit dem betroffenen Risk-Owner und dem oberen Management. Daran schließt sich die Phase der Bewältigung und der Steuerung der Risiken an.
Steuerung und Reporting
Die Ergebnisse der Ausarbeitungen zu Handlungsmaßnahmen zur gezielten Gegensteuerung der als wesentlich und/oder bestandsgefährdend eingestuften Risiken werden in einer Tabelle dokumentiert. Bestandsgefährdende Risiken sind dadurch gekennzeichnet, dass die Unternehmensführung bei einem Schadenseintritt nicht mehr von der Prämisse der Unternehmensfortführung (Going-Concern) ausgehen kann.
Risiken gelten für das Unternehmen dann als wesentlich, wenn sie zwar nicht der Fortführungsannahme entgegenstehen, sich aber im Falle des Eintritts stark nachteilig auf den Geschäftsverlauf bzw. die Vermögens-, Finanz- und Ertragslage auswirken und somit die künftige Entwicklung des Unternehmens beeinträchtigen. Instrumentarien zur Bekämpfung dieser Entwicklungen sind nach Analysen der bestehenden Möglichkeiten und der Ermittlung, der Beurteilung sowie der Auswahl alternativer und ergänzender Handlungsmaßnahmen einzuleiten. Dies erfolgt innerhalb eines engen Dialogs zwischen Risk-Owner, der Geschäftsführung und dem Controlling. Als Handlungsalternativen kommen, je nach Situation und Risiko, Maßnahmen zur Risikovermeidung, Risikoverminderung, Risikoüberwälzung oder Risikoduldung in Betracht.
Abgeschlossen wird das Risikomanagement durch die Überwachung und Kontrolle des Prozesses als Ganzem sowie der eingeleiteten Maßnahmen. Dazu bieten sich Instrumente eines internen Kontrollsystems und die Entwicklung eines Frühwarnsystems an. Das Controlling hat die Aufgabe, diese Instrumente zu koordinieren. Sollten Abweichungen von den festgelegten Zielen und Strategien auftreten, so hat die Geschäftsführung diese zu überarbeiten und neu zu verabschieden.
Im gesamten Risikomanagementprozess haben die Anweisungen, Richtlinien und die Zuteilungen der Verantwortlichkeiten top-down zu erfolgen, d.h. ausgehend von der Geschäftsführung über das Controlling zum Risk-Owner. Die Berichterstattung läuft dagegen in der Regel bottom-up ab. Dabei sollte eine Verdichtung der Informationen vom Risk-Owner über die Abteilungsleiter und das Controlling bis hin zur Geschäftsführung erfolgen. Je nach Klassifizierung eines Risikos anhand des Risikoausmaßes unterscheiden sich der Weg und die Dringlichkeit des Risk-Reportings. Risiken innerhalb der geringsten Kategorie bedürfen lediglich einer Klärung zwischen den Verantwortlichen der betroffenen Unternehmensbereiche (Risk-Owner) und dem Vertreter des Risiko-Controllings. Zwischen diesen Bereichen sind das weitere Vorgehen und die Maßnahmen zur Gegensteuerung zu klären und zu verabschieden. Mittlere Risiken erfordern ein zusätzliches Reporting an die Geschäftsführung durch das Controlling bzw. direkt durch den Risk-Owner. Die Geschäftsleitung muss diese Risiken zur Kenntnis nehmen, ohne zwingend in den Prozess der Beseitigung eingreifen zu müssen.
Entscheidend ist jedoch das Vorgehen bei Risiken mit wesentlichem oder bestandsgefährdenden Charakter. Sie sind zwingend unmittelbar an das Controlling und an die Geschäftsleitung zu berichten und verlangen eine intensive und aktive Auseinadersetzung mit den Problematiken. Bei der Erarbeitung und zur Verabschiedung von Lösungsansätzen und Handlungsalternativen sind fallweise durch den Geschäftsführer die Aufsichtsorgane oder Gesellschafter mit einzubeziehen.
Neu auftretende und identifizierte Risiken sind von den Risk-Ownern bzw. den Entdeckern unverzüglich dem Controlling mitzuteilen. Dieses untersucht die Risiken in eigenen Analysen und Bewertungen. Hiermit wird gewährleistet, dass alle auftretenden Unternehmensrisiken Beachtung finden und gleichzeitig die gezielte Bereitstellung der Informationen an die richtige Entscheidungsebene erfolgt. Das Pendant zum Informationsfluss ist der stufenweise Rückkopplungsprozess zu Entscheidungen.
Fazit: Jährlich aktualisieren
Eine einmalige Aufnahme und Bearbeitung des Risikomanagements kann nicht ausreichen, da sich Markt, Technologie und Wettbewerbsumfeld in einem dynamischen Wandel befinden. Es ist daher notwendig, das Risikomanagement mindestens einmal im Jahr zu überprüfen und bei dieser Gelegenheit nicht mehr vorhandene Risiken zu streichen, neue aufzunehmen und alle Risiken nach dem möglichen Schadensausmaß und der Eintrittswahrscheinlichkeit neu zu bewerten. Scheidet ein Mitarbeiter aus dem Unternehmen aus, der die Gegenmaßnahmen gegen ein bestimmtes Risiko bearbeitet hat, so ist natürlich auch unterjährig eine Revision und eine neue Zuordnung vorzunehmen.