Betriebswirtschaftliche Notwendigkeit
Bereits weit vor dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurden Risiken im betriebswirtschaftlichen Sinne "gemanagt". Im Umfeld der strategischen Analyse müssen insbesondere bei der Umweltanalyse Chancen und Risiken identifiziert werden, die z. B. Eingang in die SWOT-Analyse finden. Im operativen Management berücksichtigt werden z. B.
- die eher einzelfallbezogene Schadensvermeidung,
- die Einhaltung von Sicherheitsvorschriften (z. B. Notfallpläne als Maßnahme des Brandschutzes),
- die Optimierung des Versicherungsschutzes oder
- der Aufbau interner Kontrollsysteme (z. B. zur Sicherstellung der Ordnungsmäßigkeit der Buchführung oder zum Schutz vor Unterschlagung).
Anforderungen
Ein Risikomanagementsystem muss einen
- ganzheitlichen (Betrachtung der Gesamtrisikosituation statt nur einzelner Risiken),
- vollständigen (zur Identifikation der bestandsgefährdenden Risiken müssen alle Unternehmensrisiken erkannt und bewertet werden) und
- integrierten (Integration des Risikomanagementsystems anstelle von Insellösungen)
Ansatz verfolgen.
1.1 Notwendigkeit eines Risikomanagementsystems prüfen
Gesetzliche Notwendigkeit
Der Nutzen und damit die Notwendigkeit eines Risikomanagementsystems wird verdeutlicht, wenn sich die Unternehmensleitung den nachfolgenden Fragen stellt. Die Checkliste zur Prüfung der Notwendigkeit eines Risikomanagementsystems (s. Abb. 1) erhebt nicht den Anspruch auf Vollständigkeit. Vielmehr soll sie die Unternehmensleitung sensibilisieren, das Thema "Risikomanagement" nicht als "Arbeitsbeschaffungsmaßnahme" für Controller, Wirtschaftsprüfer und Unternehmensberater zu betrachten, sondern die Vorteile für die nachhaltige Entwicklung des eigenen Unternehmens zu sehen. Wird ein Großteil der Fragen mit Nein beantwortet, besteht dringender Handlungsbedarf, ein Risikomanagementsystem einzuführen. Die mit Nein beantworteten Fragen sollten auf jeden Fall eingehender analysiert werden.
Checkliste zur Überprüfung der Notwendigkeit eines Risikomanagementsystems |
Nr. |
Frage |
Erfüllt |
|
|
Ja |
Nein |
1. |
Gibt es im Unternehmen interne Kontrollsysteme? |
|
|
2. |
Decken die internen Kontrollsysteme die hohe Komplexität sich rasant verändernder Wettbewerbsbedingungen ab? |
|
|
3. |
Genügen die internen Kontrollsysteme den gesetzlichen Anforderungen? |
|
|
4. |
Werden alle Geschäftsrisiken systematisch und strukturiert identifiziert? |
|
|
5. |
Werden alle Geschäftsrisiken systematisch und mit unternehmensweit einheitlichen Verfahren bewertet? |
|
|
6. |
Werden die permanenten Veränderungen der internen und externen Risikofelder umfassend berücksichtigt? |
|
|
7. |
Werden die Risiken bereichsübergreifend analysiert? |
|
|
8. |
Oder werden die Risiken unkoordiniert und damit lückenhaft analysiert? |
|
|
9. |
Werden für die einzelnen Risiken Maßnahmen zur Risikosteuerung definiert? |
|
|
10. |
Können bestandsgefährdende Risiken vollständig identifiziert und der Unternehmensleitung kommuniziert werden? |
|
|
11. |
Werden die Risiken in systematischer und geordneter Weise zeitnah an die verantwortlichen Entscheidungsträger kommuniziert? |
|
|
12. |
Ist die Unternehmensleitung in der Lage, den Unternehmenseignern und den Aufsichtsorganen einen effizienten Umfang mit Risiken zu belegen (Dokumentationspflicht)? |
|
|
13. |
Besteht ein Überwachungssystem, das die Umsetzung und Wirksamkeit der festgelegten Maßnahmen zur Risikosteuerung kontrolliert? |
|
|
14. |
Ist ein vorhandenes Risikomanagementsystem in die übrigen im Unternehmen bestehenden Managementsysteme integriert? |
|
|
15. |
Stellt ein vorhandenes Risikomanagement einen sich kontinuierlich wiederholenden Prozess dar oder erfolgt nur isoliert z. B. zum Bilanzstichtag eine Risikoinventur? |
|
|
Abb. 1: Checkliste zur Prüfung der Notwendigkeit eines Risikomanagementsystems
1.2 Gesamtrisikosituation im Blick haben
Fokus: Gesamtrisikosituation
Für einen sinnvollen und effektiven Umgang mit Risiken muss die Risikosituation des Unternehmens vollständig und zeitnah beurteilt werden. Nicht alle Risiken, denen ein Unternehmen ausgesetzt ist, sind für das Unternehmen bestandsgefährdend oder führen zu seiner Schwächung. Entscheidend für die Beurteilung sind die Auswirkungen der zahlreichen Einzelrisiken auf die Gesamtrisikosituation des Unternehmens. Hierbei ist zu beachten, dass das aggregierte Unternehmensrisiko aufgrund möglicher
- kompensatorischer (Risiken heben sich gegenseitig auf) bzw.
- kumulativer (Risiken verstärken sich gegenseitig)
Effekte der Einzelrisiken untereinander nicht gleich der Summe der Einzelrisiken sein muss.
Ein integriertes Risikomanagementsystem nimmt ferner unternehmensinterne und -externe Informationen (z. B. sinkende Marktanteile bei Produkten) auf und verarbeitet diese mit der Folge, dass darauf unmittelbar und angemessen reagiert werden kann (z. B. Rückzug aus einem gewissen Marktsegment und Konzentration auf die Kernkompetenzen).
Prospektive Ausrichtung des RMS
Die Formulierung in § 91 Abs. 2 Aktiengesetz (AktG) fordert, dass die Risiken "frühzeitig" erkannt werden müssen, um die handelnden Personen in die Lage zu versetzen, eine sich abzeich...