Zusammenfassung
Um die dauerhafte und personenunabhängige Funktionsfähigkeit der getroffenen Maßnahmen sicherzustellen und um die Erfüllung der Pflichten des Vorstands nachzuweisen, ist es erforderlich, das Risikomanagementsystem des Unternehmens zu dokumentieren.
Risikomanagementsysteme bedürfen einer laufenden Überwachung durch systemimmanente Kontrollen. Dabei ist es erforderlich, dass alle Phasen des Risikomanagementprozesses kontrolliert werden.
Der Beitrag zeigt, wie ein Risikomanagementsystem im Unternehmen organisiert, dokumentiert und kontrolliert werden kann.
1 Eigene Organisationseinheit vs. Integration in den Controllerdienst
Anbindung im Unternehmen
Risikomanagement muss im Unternehmen institutionalisiert werden. Dazu ist auch die Definition eines Verantwortungsbereichs "Risikomanagement" erforderlich. In Abhängigkeit von der Unternehmensgröße wird bei größeren Unternehmen in der Regel eine eigene Organisationseinheit "Risikomanagement" (auch als "Corporate Risk Management" bezeichnet) eingerichtet. Bei kleineren und mittleren Unternehmen wird diese Aufgabe auch vom Controllerdienst (auch fälschlicherweise in der betrieblichen Praxis als "Controlling"-Abteilung bezeichnet) durch einen Risikocontroller wahrgenommen.
Aufgabe operativer Einheiten
Risikomanagement ist nicht Aufgabe einer wie auch immer bezeichneten und wo auch immer organisatorisch angesiedelten Organisationseinheit, sondern Risikomanagement geht jeden Mitarbeiter im Unternehmen an und ist primär Aufgabe der operativen Bereiche.
Daraus folgt, dass die Umsetzung des Risikomanagements in die tägliche Unternehmenspraxis in den Aufgaben- und Verantwortungsbereich der operativen Einheiten fällt. Die Bereichs- und Prozessverantwortlichen sind zuständig und verantwortlich für das Risikomanagement in ihrem Arbeitsbereich. Diese Aufgabenzuordnung ist schon allein deshalb sinnvoll, da die Risiken vor Ort entstehen (z. B. in der Produktion) und der vor Ort Zuständige und Verantwortliche (z. B. Produktionsleiter) das Risikopotenzial am besten erkennen, bewerten und diesem entsprechend gegensteuern kann. Von ihm geht auch die Risikokommunikation aus.
Aufgaben einer OE "Risikomanagement"
Eine (zentrale) Organisationseinheit "Risikomanagement" bzw. der Risikocontroller nimmt dabei in der Regel nur unterstützende und koordinierende Aufgaben mit vereinheitlichendem Charakter wahr:
Mögliche Aufgaben des Risikocontrollers
- Unterstützen der Risikoverantwortlichen in den Unternehmensbereichen und -prozessen bei der Umsetzung des Risikomanagements in den jeweiligen Verantwortungsbereichen,
- konzeptionelle (Weiter-)Entwicklung und Optimierung des Risikomanagementsystems,
- Implementieren und Anpassen des konzipierten Risikomanagementsystems,
- Erarbeiten konzern-/unternehmenseinheitlicher Standards als Grundlage der dezentralen Aktivitäten des Risikomanagements,
- Dokumentation der Risikomanagementorganisation und ggf. Maßnahmen zur Risikosteuerung,
- Sicherstellen einer effizienten Risikokommunikation,
- Sicherstellen einer einheitlichen Reaktion der Bereichs- und Prozessverantwortlichen auf gleichartige Probleme,
- Förderung der Akzeptanz des Risikomanagementsystems und des Aufbaus einer ausgeglichenen Risiko- und Kontrollkultur.
2 Dokumentation des Risikomanagementsystems
IDW-PS 340 als Dokumentationsrahmen
Um die dauerhafte und personenunabhängige Funktionsfähigkeit der getroffenen Maßnahmen sicherzustellen und um die Erfüllung der Pflichten des Vorstands nach § 91 Abs. 2 AktG nachzuweisen, ist es erforderlich, die Maßnahmen einschließlich des Überwachungssystems angemessen zu dokumentieren. Die Dokumentation des Risikomanagementsystems sollte sich an den Vorgaben des Prüfungsstandards 340 (PS 340) des Instituts der Wirtschaftsprüfer (IDW) orientieren
Dokumentation mittels Risikomanagementhandbuch
Die Erstellung eines Risikomanagementhandbuchs dient der Dokumentation des Risikomanagementsystems und der Information der Mitarbeiter des Unternehmens. Inhalte des Risikomanagementhandbuchs sind u. a. die organisatorischen Regelungen und Maßnahmen zur Errichtung des Risikomanagementsystems und die Darstellung der aktuellen Risikosituation des Unternehmens.
Beispiele für Inhalte des Risikomanagementhandbuchs:
- Risikostrategie,
- risikoorientierte Verhaltensregeln,
- Definition der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können,
- Grundsätze der Risikoidentifikation und -bewertung (z. B. Vollständigkeitsprinzip),
- aktuelle Risikosituation des Unternehmens,
- eingeleitete Risikostrategien im Rahmen der Risikosteuerung,
- Grundsätze der Risikokommunikation (Methodik, Ablauf),
- Festlegung von Aufgaben und Verantwortlichkeiten,
- Darstellung der vorhandenen Risikoüberwachung,
- Grundsätze der Kontrolle des Risikomanagementsystems.
Risikomanagementhandbuch
Das Risikomanagementhandbuch ist das Ergebnis sowohl der Konzeption als auch der Umsetzung eines im gesamten Unternehmen einheitlich institutionalisierten und in die übrigen Managementsysteme integrierten Risikomanagementprozesses.
Darüber hinaus sollte auch eine allgemeine Leitlinie für den Umgang mit Risiken im Unternehmen heraus...