Prof. Dr. Werner Gleißner, Prof. Dr. Rainer Kalwait
3.1 Grundsätze
Das Planungsumfeld und die damit aufs engste verbundenen Risiken ändern sich im Zeitverlauf kontinuierlich oder sprunghaft. Die regelmäßige Überwachung der wichtigen Risiken ist ökonomisch sinnvoll und notwendig und wurde erstmals durch das KonTraG explizit eingefordert, später durch zahlreiche Ergänzungen und Änderungen von HGB, AktG und GmbHG und zuletzt durch das BilMoG im Jahre 2009 ausdrücklich und umfassend erweitert.
Gemäß den Anforderungen des KonTraG (bzw. des IDW PS 340) muss daher die Verantwortlichkeit für die Überwachung der wesentlichen Risiken, einschließlich Angaben zu Überwachungsturnus und Überwachungsumfang, klar zugeordnet und dokumentiert werden. Zudem muss die Unternehmensführung eine Risikopolitik formulieren, die grundsätzliche Anforderungen im Umfang mit Risiken fixiert (vgl. Abschnitt 2.1). Auch die Vorgabe von Limits und die Definition eines Berichtsweges für die Risiken sind hier zu dokumentieren. Aus Effizienzgründen wird das Risikomanagement meist durch eine geeignete IT-Lösung unterstützt (vgl. Abschnitt 3.2).
Die Gesamtheit aller Dokumentationen zum Risikomanagementsystem wird als Risikohandbuch bezeichnet. Typische Inhalte sind:
- Risikopolitik (risikopolitische Grundsätze des Unternehmens),
- Aufbau- und Ablauforganisation (Verantwortlichkeiten und Vorgehensweise bei der Risikoanalyse, der Risikoaggregation, der Risikoüberwachung sowie der Berichterstattung),
- Erläuterungen und Verfahrensanweisungen (verwendete Werkzeuge wie Risikofelder, Musterberichte, Überwachungsmeldungen und dergleichen) und
- Limits, d. h. Grenze für die Akzeptanz von Risiken.
Die anfänglich durchaus berechtigten Bedenken der Unternehmen, dass ein hoher zusätzlicher bürokratischer Aufwand für solch ein Risikomanagementsystem erforderlich wäre, konnte zwischenzeitlich durch straffe Organisation des Risikomanagementsystems deutlich reduziert werden, ohne auf die angestrebte Risikotransparenz verzichten zu müssen. Das Risikomanagement wird in der Praxis meist dem Controlling bzw. der kaufmännischen Leitung zugeordnet, wobei sich nur dann inhaltliche Einschränkungen ergeben, wenn nicht alle erforderlichen Informationen vorliegen oder nicht die nötigen Kompetenzen übertragen werden.
Einen wichtigen Teilaspekt eines Risikomanagements stellt das interne Kontrollsystem (IKS) dar, welches in den USA durch den Sarbanes Oxley Act und in Europa durch die sogenannte achte europäische Richtlinie eingeführt und insbesondere durch das BilMoG im Jahre 2009 in die deutsche Gesetzgebung umgesetzt wurde. Das IKS entspricht wesentlich stärker dem gewachsenen deutschen internen Controllingsystem als dem System der Internen Revision. Es trägt durch Auflagen dazu bei, dass betriebliche Abläufe, Prozesse und Verantwortlichkeiten strukturiert und dokumentiert werden, und Mängel in Rechnungslegung, Controlling und Finanzen sowie Untreue oder Betrug vermieden bzw. festgestellt werden können.
Ungeachtet der Bedeutung eines internen Kontrollsystems muss aus Perspektive eines unternehmensweiten integrierten Risikomanagements jedoch auch festgehalten werden, dass gerade die bestandsbedrohenden Risiken von Unternehmen meist nicht aus Untreue oder "Fraud" entstehen, sondern durch das Wirksamwerden strategischer Risiken und Marktrisiken.
Die folgenden Überlegungen zur organisatorischen Gestaltung von unternehmensweiten Risikomanagementsystemen in Verbindung mit Planung und Controlling erläutern die beiden grundsätzlichen (kombinierbaren) Strategien für den Auf- und Ausbau von Risikomanagementsystemen.
- Zum einen wird der sog. "Risikomanagementansatz" vorgestellt, der einen zunächst eigenständigen Prozess der Identifikation, Bewertung, Aggregation, Steuerung und Überwachung der Risiken vorsieht.
- Ergänzend wird der sog. "Controllingansatz" erläutert, der den Schwerpunkt auf ein integratives Risikomanagement legt, das soweit möglich vorhandene Managementsysteme (speziell aus Controlling und Qualitätsmanagement) nutzt. Aufgrund des erheblichen Vorteils im Hinblick auf die Effizienz wird in diesem Zusammenhang vor allem erläutert, welche vielfältigen Anknüpfpunkte es gibt, Grundfunktionalitäten des Risikomanagements in bestehende Managementsysteme zu implementieren.
Elemente von Strategien können kombiniert werden
Die beiden grundlegenden Konzeptionen stellen keine strikten Gegenpositionen dar, sondern jedes Unternehmen kann individuell Komponenten des einen und des anderen Ansatzes bei sich umsetzen.
3.2 Eigenständiger Risikomanagementansatz
Der Risikomanagementansatz ist wesentlich geprägt durch die formalen Anforderungen an ein Risikomanagement, wie speziell im KonTraG und im IDW PS 340 beschrieben. Nach KonTraG werden häufig Risikomanagementsysteme (neu) aufgebaut, die den Anforderungen des genannten P...