Prof. Dr. Werner Gleißner
Da sich die Risiken im Zeitverlauf ständig verändern, ist eine kontinuierliche Überwachung der wesentlichen Risiken ökonomisch sinnvoll und gesetzlich gefordert. Gemäß den Anforderungen nach § 91 AktG muss daher die Verantwortlichkeit für die Überwachung der wesentlichen Risiken, einschließlich Angaben zu Überwachungsturnus und Überwachungsumfang, klar zugeordnet und dokumentiert werden.
Zudem sollte die Unternehmensführung eine Risikopolitik formulieren, die grundsätzliche Anforderungen an den Umgang mit Risiken fixiert. Auch Limits und der Berichtsweg für die Risiken sind hier zu dokumentieren. Möglichst viele Basisaufgaben für das Risikomanagement sollten durch existierende Managementsysteme abgedeckt werden. So kann z. B. durch die systematische Erfassung unsicherer Planannahmen (Risiken) in Planung, Budgetierung und Controlling zu einer effizienten Integration des Risikomanagements beigetragen werden, insbesondere mit dem Controlling Die Unternehmensführung wird wesentliche Aufgaben, speziell die Koordination aller Risikomanagementprozesse, i. d. R einem "Risikomanager" oder "Risikocontroller" übertragen, der auch für die Verdichtung aller Risikoinformationen in einem Risikobericht verantwortlich ist und Methoden für das Risikomanagement vorgibt.
Software für Risikomanagement
Meist wird das Risikomanagement durch eine geeignete IT-Lösung unterstützt. Software unterstützt z. B. checklistenbasiert die Identifikation von Risiken, erlaubt die Quantifizierung und die Aggregation (mittels Simulation).
Meist ist diese Risikomanagement-Software auch die wesentliche Basis für das Risikoreporting. Zum Risikoreporting gehören zunächst die Meldungen über neu identifizierte Risiken und Veränderung der quantitativen Bedeutung eines schon bekannten Risikos von einem für das Risikofeld zuständigen Risikobeauftragten an den zentralen Risikomanager (oder Risiko-Controller). Dieser verdichtet die Risikoinformationen und führt eine Risikoaggregation zur Bestimmung des Gesamtrisikoumfangs und der Ermittlung des "Grads der Bestandsbedrohung" durch (Anforderung des KonTraG). Im Rahmen des Risikoreportings an Vorstand und Geschäftsführung (ggf. auch Aufsichtsrat) informiert der Risiko-Controller oder Risikomanager dann über
- den aggregierten Gesamtrisikoumfang (z. B. ausgedrückt im Eigenkapitalbedarf und der durch eine Ratingnote ausgedrückten Insolvenzwahrscheinlichkeit),
- die wesentlichen Einzelrisiken und ihrer Veränderungen gegenüber der Vorperiode sowie
- initiierte und geplante Risikobewältigungsmaßnahmen.
Das Risikoreporting an Geschäftsführung und Vorstand findet turnusmäßig statt, meist einmal im Quartal. Darüber hinaus ist ein außerordentliches Reporting über mögliche Veränderungen des Risikoumfangs erforderlich, wenn wesentliche unternehmerische Entscheidungen (z. B. Investitionsentscheidungen) anstehen (vgl. Abschnitt 7). In diesem Fall wird das Risikoreporting um eine "Was-wäre-wenn-Analyse" erweitert. Entscheidungsvorbereitend wird gezeigt, welche Veränderungen des Risikoprofils des Unternehmens sich durch die Entscheidungen ergeben würde (s. dazu § 93 AktG und die nachfolgenden Erläuterungen).