RisikomanagementRisikomanagement im Unternehmen organisieren
- Pflicht zur Organisation des Risikomanagements
- Risiko-Leitlinie erarbeiten
- Risikoausschuss und Risikomanager einsetzen
- Aufgaben zum Risikomanagement festlegen und verteilen
- Risiko-Controlling betreiben
- Wie Risikomanagement im Konzern funktioniert
- Zusammenarbeit mit Partnern beim Risikomanagement
- Nachhaltiges Risikomanagement
- 2 Vorlagen im Praxisteil
Pflicht zur Organisation des Risikomanagements
Risikomanagement und alle damit verbundenen Maßnahmen können nur greifen, wenn sie in die Organisation eingebunden werden. Das umfasst:
- Risikomanagement muss in der Aufbauorganisation verankert werden.
- Prozesse für die Identifikation, Bewertung und Bewältigung von Risiken müssen definiert sein.
- Voraussetzung dafür ist, dass es im Unternehmen eine Risikokultur gibt.
- Alle Mitarbeitenden sollten ein Risikobewusstsein haben.
Die organisatorische Integration des Risikomanagements wird auch von gesetzlichen Anforderungen beeinflusst. Insbesondere mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ist das Risikomanagement für Unternehmen verpflichtend.
Mit dem KonTraG wurden insbesondere das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB) so geändert, dass Vorgaben zum Risikomanagement aufgenommen wurden; unter anderem gibt es die Pflicht, die Unternehmensorganisation auf das Risikomanagement auszurichten.
Zum Beispiel heißt es in § 91, Absatz 2 des Aktiengesetzes (AktG):
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden.“
Mit einer solchen gesetzlichen Verankerung geht einher, dass Vorstände und Geschäftsführung persönlich haftbar gemacht werden können, wenn sie diesen Pflichten nicht nachkommen, wenn sie ihre Pflichterfüllung nicht nachweisen können oder wenn sie Schaden verursachen. Bei Aktiengesellschaften prüft der Wirtschaftsprüfer unter anderem das Vorhandensein und die Funktionsweise des Risikomanagements.
Risiko-Leitlinie erarbeiten
Ausgangspunkt des Risikomanagements ist in vielen Unternehmen die Entwicklung und Verabschiedung einer Risiko-Leitlinie. Dort beschreibt die Geschäftsleitung oder der Vorstand, welche Bedeutung das Risikomanagement für das Unternehmen haben soll. Damit wird der Rahmen abgesteckt. Diese Richtlinie hat den Charakter eines Leitbilds für das Risikomanagement.
Risikoausschuss und Risikomanager einsetzen
Für die strategische Planung und Umsetzung des Risikomanagements sind ein Risikoausschuss und ein Risikomanager verantwortlich. Der Ausschuss sollte aus Mitarbeitenden der unterschiedlichen Organisationsbereiche bestehen.
Der Risikomanager trägt die Verantwortung für das gesamte Risikomanagement. Er oder sie kann Mitglied der Geschäftsleitung oder des Vorstands sein, sollte diesen zumindest direkt berichten (zweite Leitungsebene oder als Stabsstelle).
Der Risikomanager und der Risikoausschuss sorgen dafür, dass
- Risiken identifiziert, bewertet und dokumentiert werden;
- Aufgaben des Risikomanagements definiert und einzelnen Abteilungen oder Personen eindeutig zugeordnet werden;
- Prozesse des Risikomanagements definiert und umgesetzt werden (teilweise werden diese neu eingerichtet, teilweise müssen bestehende Prozesse angepasst werden);
- notwendige Mittel und Ressourcen zur Verfügung gestellt werden;
- Mitarbeiterinnen und Mitarbeiter geschult und trainiert werden;
- Maßnahmen passend zur Risikostrategie ergriffen werden;
- Entscheidungen getroffen werden zur Risikostrategie: Welche Risiken werden vermieden, eingegangen, minimiert, an andere übertragen und in welcher Form?
Aufgaben zum Risikomanagement festlegen und verteilen
Auf der operativen Ebene werden Mitarbeitende mit den einzelnen Aufgaben zum Risikomanagement betraut. Sie sind zuständig für die Durchführung. Alle entsprechenden Aufgaben finden sich in ihren Stellenbeschreibungen. Beispiele für Aufgaben zum Risikomanagement sind:
- Dokumente auswerten
- Risiken identifizieren
- Anlagen überwachen
- Schäden erkennen
- Mitarbeitende informieren und schulen (zum Beispiel zum Arbeitsschutz)
- Versicherungsverträge prüfen und optimieren
- Notfallpläne entwickeln
- Presse informieren
Um diese und weitere Aufgaben durchzuführen, müssen Prozesse und Abläufe festgelegt und organisiert werden. Bestehende Prozesse werden so erweitert, dass dort Elemente zum Risikomanagement integriert werden. Beispiel dafür sind Maßnahmen zur Qualitätskontrolle im Herstellprozess oder Auswertungen von Kundenanfragen beim Beschwerdemanagement.
Risiko-Controlling betreiben
Alle Maßnahmen zum Risikomanagement müssen regelmäßig geprüft werden. Dazu zählt die Bewertung der einzelnen Risiken und die Organisation des Risikomanagements selbst. Die Unternehmensleitung muss sicherstellen, dass alle Aufgaben und Prozesse zum Risikomanagement auch so ausgeführt werden, wie es geplant ist.
Diese Prüfungen führt das Risiko-Controlling oder die Interne Revision durch. Diese müssen unabhängig von anderen Unternehmensbereichen sein und die notwendigen Befugnisse haben, um alle Unternehmensbereiche zu kontrollieren und an die Geschäftsleitung zu berichten.
Abbildung 6 stellt alle die Elemente der Risikoorganisation im Überblick dar.
Wie Risikomanagement im Konzern funktioniert
In größeren Unternehmen wird diese Form der organisatorischen Verankerung des Risikomanagements auf einzelne Geschäftsbereiche, Betriebe oder Niederlassungen übertragen. Das bedeutet, dass es eine entsprechende Einteilung auf der Konzernebene, aber auch in den einzelnen Einheiten gibt.
Dann müssen alle Aktivitäten auf Konzernebene koordiniert und integriert werden. Es gibt Gremien oder Einrichtungen und klare Kommunikationswege, wie zentrale und dezentrale Aktivitäten aufeinander abgestimmt sind.
Zusammenarbeit mit Partnern beim Risikomanagement
In Krisensituationen müssen Unternehmen mit externen Partnern zusammenarbeiten. Bei einem Unfall oder einer Bedrohung muss das Unternehmen beispielsweise mit staatlichen Einrichtungen, Behörden oder Sicherungsorganen (Feuerwehr) zusammenarbeiten.
Meistens erfolgt auch eine Zusammenarbeit mit Vertretern der Medien. Eventuell müssen Lieferanten oder Kunden einbezogen werden. Hierzu müssen entsprechende Gremien und Informationsflüsse vorab festgelegt werden und im Krisenfall schnell einsatzfähig sein.
Rückrufaktionen durchführen
Wenn ein Produkt sich nach dem Verkauf als potenziell gefährlich erweist, muss unter Umständen eine Rückrufaktion gestartet werden. Händler und Kunden müssen informiert werden. Oft wird die Presse eingeschaltet. Servicetechniker vor Ort müssen helfen können. Über eine Hotline müssen Kunden und andere Interessierte informiert werden.
Nachhaltiges Risikomanagement
Wenn die Verantwortlichkeiten klar, die Aufgaben zugewiesen und die Prozesse etabliert sind, sind die Voraussetzungen für ein nachhaltiges und erfolgreiches Risikomanagement geschaffen. Damit das Risikomanagement auch dauerhaft so funktioniert wie geplant, muss sich im Laufe der Zeit bei allen Mitarbeitenden im Unternehmen ein Risikobewusstsein bilden. Das bedeutet:
- die Sinne werden geschärft, um Risiken zu erkennen und
- die Kompetenzen werden gebildet, um verantwortlich mit Risiken umzugehen.
Dann können immer mehr Risiken aktiv gemanagt und beherrscht werden. Das bietet entscheidende Vorteile im Wettbewerb. Alles in allem entsteht damit eine tragfähige Risikokultur, die Risiken nicht nur als Gefahren begreift, sondern nüchtern und erfahren auch die Chancen erkennt, die damit verbunden sein können.
Risikomanagement im Unternehmen organisieren
Beschreiben Sie die Organisation Ihres Risikomanagements in Ihrem Unternehmen. Zeigen Sie dazu, wie die Elemente der Risikoorganisation aus der folgenden Vorlage in Ihrem Organigramm und in den Prozessen verankert sind.
Nutzen Sie für die Beschreibung und Dokumentation zur Organisation Ihres Risikomanagements zudem die Vorlagen in den Handbuch-Kapiteln Organigramm erstellen und Prozessmanagement.
Beschreiben Sie die Eckpunkte zur Organisation Ihres Risikomanagements:
- Gibt es eine Rahmenrichtlinie oder Leitlinie für das Risikomanagement?
- Wer ist der zentrale und verantwortliche Risikomanager?
- Hat der Risikomanager die notwendigen Kompetenzen und Befugnisse?
- Wer wirkt im Risikoausschuss mit?
- Sind die Aufgaben und Prozesse klar und eindeutig zugewiesen?
- Gibt es ein unabhängiges Risiko-Controlling für Identifikation, Bewertung und Dokumentation von Risiken sowie für die Kontrolle der Risikoorganisation?
Halten Sie diese Elemente der Risikoorganisation in der folgenden Vorlage fest.