Ableitung aus der Unternehmensstrategie
Dem eigentlichen Risikomanagementprozess vorgelagert ist die Erarbeitung einer Risikostrategie, die die grundsätzliche risikopolitische Ausrichtung des Unternehmens enthält. Aus diesem Grund wird die Risikostrategie auch als die risikopolitischen Grundsätze – "risk management framework" – des Unternehmens bezeichnet. Sie dokumentieren die Verpflichtung und das Engagement der Unternehmensleitung, den kritischen und bewussten Umgang mit Risiken zu forcieren (sog. "commitment"). Ausgerichtet sind sie an den geschäftspolitischen Zielsetzungen des Unternehmens, d. h. an der generellen Unternehmensstrategie.
Die Formulierung der Risikostrategie liegt in der Verantwortung der Unternehmensleitung. Die Unternehmensleitung betont damit die Bedeutung, die sie dem Thema Risikomanagement beimisst.
Externe Moderation empfehlenswert
Eine Risikostrategie sollte wie auch bei einer Unternehmensstrategie in gruppenorientierten Diskussionen und Workshops unter Einbeziehung externer Moderatoren erarbeitet werden. Teilnehmer dieser Arbeitssitzungen sind die Unternehmensleitung, ggf. weitere Führungskräfte und diejenigen, die mit dem Projekt "Einführung eines Risikomanagementsystems" betraut sind (z. B. Stabsstelle Risikomanagement, Controllerdienst).
Die Vorgehensweise zur Erarbeitung einer Risikostrategie könnte sich am nachfolgend dargestellten Verfahren orientieren.
3.1.1 Schritt 1: Risikobegriff-Brainstorming
Gemeinsames Risikoverständnis
Im Rahmen eines von einem (externen) Moderator geleiteten Workshops sollte die Unternehmensleitung, ggf. zusammen mit weiteren Führungskräften, eine Begriffssystematik für den unternehmensweiten Umgang mit Risiken entwickeln. Dabei muss im Vordergrund die Einigung auf einen Risikobegriff stehen.
3.1.2 Schritt 2: Erarbeitung der Risikostrategie auf Gesamtunternehmensebene
Der genannte Teilnehmerkreis erarbeitet die Inhalte für die Risikostrategie. Dabei können sich die Verantwortlichen an in der Fachliteratur genannten Inhalten und Beispielen für Risikostrategien orientieren. Die Unternehmensleitung erarbeitet hier strategische Vorgaben zum Umgang mit Risiken für die jeweiligen Risikobereiche, die dann als risikopolitische Grundsätze bzw. Risikostrategie festgeschrieben werden. Diese sind somit in die Unternehmensstrategie eingebunden.
3.1.3 Schritt 3: Konkretisierung der Risikostrategie
Konkretisierung der Risikostrategie für nachgelagerte Organisationseinheiten
Wird die Risikostrategie auf Gesamtunternehmensebene erarbeitet, ist es – in Abhängigkeit der Größe des Unternehmens und seiner Organisationsstruktur (z. B. mehrere Tochtergesellschaften) – erforderlich, die Risikostrategie auf niedrigerer Organisationsebene (z. B. Tochtergesellschaften, Geschäftsbereiche, Werke) zu konkretisieren. Dies geschieht durch Ergänzung der in Schritt 2 erarbeiteten Grundsätze. Hierbei werden zusätzlich Führungskräfte aus dem jeweiligen Unternehmensbereich oder der jeweiligen Tochtergesellschaft in die Erarbeitung einbezogen. Die Konkretisierung für die niedrigeren Organisationsebenen erfolgt z. B. durch
- Geschäfts- und Projektpläne (z. B. Projektplanung zur Absicherung von Risiken im Projektgeschäft),
- Sicherheitsregeln (z. B. Notfallvorsorgekonzept zur Absicherung von Ausfallrisiken im IT-Bereich),
- operative Pläne und Maßnahmen (z. B. Börsenoptionen oder OTC-Optionen zur Absicherung von Währungsrisiken im Finanzbereich).
Beschränkung auf ein Dokument
Es wird empfohlen, die in Schritt 2 erarbeiteten Grundsätze in das im Schritt 3 zu erstellende Dokument einfließen zu lassen. Dadurch wird vermieden, dass sich die Mitarbeiter auf der niedrigeren Organisationsebene mit zwei Dokumenten beschäftigen müssen. Werden alle Informationen in einem Dokument gehalten, können sich die Mitarbeiter mit der Risikostrategie auf Gesamtunternehmensebene und mit den Ergänzungen für ihren Unternehmensbereich identifizieren.
3.1.4 Schritt 4: Kommunikation der Risikostrategie
Gezielte Kommunikation
Die Inhalte der Risikostrategie werden durch gezielte Kommunikation, ausgehend von der Unternehmensleitung, umgesetzt:
- Die zwingend erforderlichen Signale der Unternehmensleitung können beispielsweise durch eine mündliche Verpflichtung zum Risikomanagement gegenüber den Mitarbeitern und durch risikobewusstes Handeln gesetzt werden. Die Unternehmensleitung hat hier in ihrer Vorbildfunktion zu agieren.
- Zudem kann es erforderlich werden, neue Berichtswege aufgrund des Risikomanagements einzurichten.
- Die Akzeptanz kann gefördert werden, wenn Mitarbeiter in hoher Position für die Einführung des Risikomanagements und die Ausgestaltung seiner Maßnahmen verantwortlich gemacht werden.
3.1.5 Schritt 5: Verpflichtung der Mitarbeiter zum Risikomanagement
Nicht nur die Unternehmensleitung sollte sich gegenüber den Mitarbeitern zum Risikomanagement verpflichten. Auch die Einbeziehung der Risikostrategie bzw. der risikopolitischen Grundsätze bei der Gestaltung der Arbeitsverträge kann jeden einzelnen Mitarbeiter zu risikobewusstem Verhalten verpflichten.
3.1.6 Schritt 6: Integration in Unternehmensleitlinien zur Unternehmensethik
Corporate Governance
Insbesondere im angelsächsischen Raum wurden bereits gute Erfahrungen mit der Erarbeitung und Einführung von Unternehmensleitlinien zur Unternehmensethik gemacht. Dadurch können die Loyalität von Mitarbeitern und der Un...