Prof. Dr. Werner Gleißner, Prof. Dr. Rainer Kalwait
Der Risikomanagementansatz ist wesentlich geprägt durch die formalen Anforderungen an ein Risikomanagement, wie speziell im KonTraG und im IDW PS 340 beschrieben. Nach KonTraG werden häufig Risikomanagementsysteme (neu) aufgebaut, die den Anforderungen des genannten Prüfungsstandards entsprechen. Dabei wurde Risikomanagement meist als eigenständiges Managementsystem verstanden, das alle Risiken identifiziert, bewertet, aggregiert und regelmäßig überwacht.
Die Risikoidentifikation wird hierbei im Wesentlichen durch separat für diesen Zweck turnusmäßig einberufene Workshops (Risk Assessments) durchgeführt. Für die laufende Überwachung bereits bekannter Risiken werden Risk Owner benannt, die in festgelegten zeitlichen Abschnitten die Risiken betrachten, um mögliche Veränderungen des Risikoumfangs anzuzeigen – der Turnus ist dabei weitgehend losgelöst von anderen Aktivitäten der Risk Owner und anderen Managementprozessen (z. B. Budgetierung). Häufig wird für das Risikomanagement auch eine isolierte IT-Lösung implementiert, die keinerlei Bezug zur Unternehmensstrukturen wie Planung und Controlling aufweist. Selbst das Risikoreporting wird meist unabhängig und parallel zu anderen, existierenden Reportingstrukturen aufgebaut.
Als eine allgemeine Voraussetzung für die Funktionsfähigkeit eines Risikomanagementsystems kann die Schaffung einer zentralen Stelle (im Folgenden als zentrales Risikocontrolling bezeichnet) genannt werden. Darunter kann in den einzelnen Unternehmensbereichen bzw. Unterstützungsfunktionen ein dezentrales Risikomanagement (besetzt nicht nur durch die Risikoeigner bzw. Risk Owner) eingerichtet werden. Die Hauptaufgabe des zentralen Risikocontrollings besteht dann darin, das Risikomanagement zu einem konsistenten und effizienten System auszubauen und die Funktionsfähigkeit des Systems zu gewährleisten – z. B. durch Koordination und Unterstützung aller Aufgaben und beteiligten Personen. Meist kann mit einem einstufigen System eine für die zu bewältigenden Aufgaben ausreichende Struktur geschaffen werden. Einstufig meint dabei, dass das Risikomanagementsystem nur über eine zentrale Koordinationsstelle – eben das zentrale Risikocontrolling – verfügt. Direkt darunter angeordnet sind dann die Verantwortlichen für einzelne Bereiche bzw. Teilaufgaben des Systems.
Bei großen oder sehr stark verflochtenen Unternehmen mit einer entsprechend komplexen Risikolandschaft ist es empfehlenswert, ein mehrstufiges System zu gestalten. In einem solchen Unternehmen wird die Koordinationsaufgabe des zentralen Risikocontrollings durch vergleichbare dezentrale Stellen unterstützt, die für einen Teilbereich des Unternehmens die Koordination für das dort angesiedelte Subsystem des Risikomanagements übernehmen. Besonders häufig anzutreffen sind solche mehrstufigen Systeme in Holdingstrukturen oder vergleichbaren Organisationen, in denen eigenständig agierende und ausreichend bedeutsame Unterorganisationen (Tochtergesellschaften, Strategischen Geschäftseinheiten) existieren.
Vorstellbar ist natürlich auch eine vollständige oder partielle Zweistufigkeit eines Risikomanagementsystems. Dabei wird in einem Bereich ein Subsystem aufgebaut, während alle anderen Bereiche von einer Zentralstelle aus gesteuert und koordiniert werden. Ein partiell zweistufiges System würde der Aufbaustruktur in Abb. 4 entsprechen.
Abb. 4: Struktur der zweistufigen Risikomanagement-Organisation mit Reportingwegen
Zielkonflikte können Konflikte verursachen
Ein häufiges Problem bei der in Abb. 4 dargestellten Struktur eines Risikomanagements besteht jedoch darin, dass hier Zielkonflikte zwischen Risikoreporting und den üblichen Projekt- und Linienverantwortlichkeiten auftreten können. I. S. e. transparenten und möglichst unverfälschten Risikoreportings wäre es sinnvoll, wenn auch ein dezentraler Risk Owner (z. B. einer Tochtergesellschaft) seine Risikoeinschätzung unmittelbar dem zentralen Risikocontrolling zur Aufbereitung für die Unternehmensführung/den Vorstand weiterleiten würde. Teilweise sind solche Ansätze inzwischen sogar regulatorisch verankert (s. z. B. die Best Practices für operationelle Risiken nach Basel II).