STZ-Consulting Group
Kolibristr. 37
50374 Erftstadt
+02235-988776
Fachartikel, 07.06.2006
Einführung von Risikomanagement in mittelständischen Unternehmen - Teil 3
Implementierung
Eingliederung des Risikomanagements in die Aufbauorganisation
Die Geschäftsführung muss den Anstoß zur Einrichtung des Risikomanagement-Prozesses geben. Sie ist nicht nur im Falle einer Aktiengesellschaft (gemäss § 91 Abs. 2 AktG) zur Einführung eines Risikomanagements verpflichtet, für ein ordnungsgemäßes Funktionieren des Systems zu sorgen. Auch der GmbH-Geschäftsführer ist zur Einführung eines Risikomanagement-Prozesses verpflichtet, wenn er seine persönliche Haftung begrenzen will. Bei der Einführung werden zunächst die risikopolitischen Grundsätze fest gelegt, die in ihren Kernaussagen Verhaltensregeln beinhalten und alle Mitarbeiter zu einem vernünftigen Umgang mit Risiken anhalten. Sie dienen als Ausgangspunkt für die konkrete Ausgestaltung der Risikomanagement-Organisation, z.B. durch den Controlling-Verantwortlichen und sollen das Risikobewusstsein bei allen Beteiligten fördern. Schließlich werden diese Grundsätze im Unternehmen an alle Beteiligten kommuniziert und der Risikomanagement-Prozess erstmalig durchgeführt. Der Geschäftsführer trägt hierbei die Gesamtverantwortung gegenüber einem vielleicht vorhandenen Aufsichtsrat oder Beirat, den Anteilseignern (sofern es „externe“ Gesellschafter gibt) und dem Gesetzgeber. Da dies eine permanente Verpflichtung ist, muss sichergestellt sein, dass neu aufkommende Risiken frühzeitig erkannt werden und in den Risikomanagement-Prozess einfließen. Trotzdem ist der gesamte Prozess in regelmäßigen Abständen erneut durch zu führen.
Die Aufbauorganisation des Risikomanagements übernimmt in der Regel das Controlling als institutionalisierte Einrichtung. Das Controlling organisiert die Durchführung des Prozesses und unterstützt die Risikoverantwortlichen in den Unternehmensbereichen bei der Risikobewertung der weiteren Umsetzung und ist verantwortlich für eine effiziente Risikoberichterstattung gegenüber dem Management (Risk-Reporting). Seine Aufgaben bestehen weiterhin in der konzeptionellen Weiterentwicklung und Ausgestaltung des Risikomanagement-Prozesses, aller erforderlichen Maßnahmen sowie der Prüfung der Angemessenheit und Wirksamkeit dieser Maßnahmen durch Prozess-unabhängige und prozessintegrierte Kontrollen. Schließlich dokumentiert das Controlling die gesamte Organisation der Risikoverantwortungen und aller Maßnahmen im Rahmen des Risikomanagements in einem Handbuch.
Die eigentliche Umsetzung des Risikomanagements erfolgt in den Unternehmensbereichen. Die operativen Einheiten (Risk-Owner) tragen einen Großteil der Verantwortung für eine funktionierende Umsetzung. Zu den Aufgaben der Prozessverantwortlichen gehören insbesondere die Identifikation und schnelle Kommunikation von Risikosachverhalten. Bei Bedarf erhalten diese dabei Unterstützung durch das Controlling. Durch ihre operative Nähe kommt dem Risk-Owner für das frühzeitige Erkennen, Beurteilen und Managen der Risiken am Ort ihres Entstehens entscheidende Bedeutung zu.
Implementierung von Risikomanagement-Prozessen in die Ablauforganisation
Der Prozess des Risikomanagements vollzieht sich als ein sich wiederholender Regelkreis. Ausgehend von den in dieser Risikostrategie festgelegten Grundsätzen und Zielen erfolgt der Prozess in den Phasen Risikoidentifikation, Risikoanalyse und -bewertung, Risikosteuerung und Risikokontrolle bzw. -überwachung, ehe der Kreislauf mit einer Überarbeitung der strategischen Ausrichtung von neuem beginnt. Nachdem im Rahmen der Strategien-Definition die Rahmenbedingungen, die Ausgangssituation und die Ziele des Risikomanagements ausgearbeitet ist, schließt sich die Phase der Risikoidentifikation an. In ihr werden die vorhandenen und potenziellen Risiken des Unternehmens wie oben beschrieben ermittelt. Dies erfolgt mit Hilfe von risikoorientierten Analysen der betrieblichen Prozesse und Funktionsbereichen, durch Befragungen der Mitarbeiter (Risk-Owner) und durch Auswertungen von Dokumenten. Die Hauptaufgabe kommt dabei dem Controlling als institutionalisierter Risikomanagement-Einheit und den verantwortlichen Mitarbeitern als Experten der Abteilungen zu. Als Ergebnis dieser Phase ergibt sich ein Risikokatalog, der neben den einzelnen Risiken auch dessen Beschreibung sowie die betroffenen Unternehmensbereiche beinhaltet.
Im Rahmen der Analyse und Bewertung der identifizierten Risiken wird eine Quantifizierung in Schadensauswirkung und Eintrittswahrscheinlichkeit vorgenommen. Können Risiken nicht wertmäßig exakt ermittelt werden, sind sie zumindest qualitativ zu schätzen (in diesem Fall sind die Prämissen und Annahmen für eine spätere Überprüfung zu dokumentieren). Durch eine Multiplikation von Schadenseintrittswahrscheinlichkeit und Schadensauswirkung ergibt sich das eigentliche Risikoausmaß. Sowohl quantifiziert als auch qualitativ ermittelte Risiken werden anschließend einer Einteilung in Klassen unterzogen (z.B. in leichte, mittlere, bestandsgefährdende Risiken). Als leicht gelten Risiken, die ein mögliches Schadensausmaß von z.B. € 10.000,-nicht überschreiten. Mittlere Risiken beinhalten ein Ausmaß zwischen beispielsweise € 10.000 und € 100.000. Über einem potentiellen Risikoausmaß von z.B. € 100.000 ,- gelten Risiken als bestandsgefährdend (diese Werte sind natürlich nicht allgemein gültig). Die für Ihr Unternehmen geltenden Werte müssen Sie entsprechend der Randbedingungen in Ihrem Geschäft definieren. Die Darstellung der Risikosituation erfolgt in einem Risikoportfolio, wie es oben bereits vorgestellt wurde.
Alle Aufgaben der Analyse und Bewertung der ermittelten Risiken obliegen dem Risiko-Controlling unter Rücksprache mit den betroffenen Risk-Owner und dem oberen Management. Es schließt sich die Phase der Bewältigung und der Steuerung der Risiken an. Die Ergebnisse der Ausarbeitungen zu Handlungsmaßnahmen zur gezielten Gegensteuerung der als wesentlich und / oder bestandsgefährdend eingestuften Risiken werden in einer Tabelle dokumentiert. Bestandsgefährdende Risiken sind dadurch gekennzeichnet, dass die Unternehmensführung bei einem Schadenseintritt nicht mehr von der Prämisse der Unternehmensfortführung (Going-Concern) ausgehen kann.
Risiken gelten für das Unternehmen dann als wesentlich, wenn sie zwar nicht der Fortführungsannahme entgegenstehen, sich aber im Falle des Eintritts stark nachteilig auf den Geschäftsverlauf bzw. die Vermögens-, Finanz-, und Ertragslage auswirken, und somit die künftige Entwicklung des Unternehmens beeinträchtigen. Instrumentarien zur Bekämpfung dieser Entwicklungen sind nach Analysen der bestehenden Möglichkeiten und der Ermittlung, der Beurteilung sowie der Auswahl alternativer und ergänzender Handlungsmaßnahmen einzuleiten. Dies erfolgt innerhalb eines engen Dialogs zwischen Risk-Owner, der Geschäftsführung und dem Controlling. Als Handlungsalternativen kommen, je nach Situation und Risiko, Maßnahmen zur Risikovermeidung, Risikoverminderung, Risikoüberwälzung oder Risikoduldung in Betracht.
Abgeschlossen wird das Risikomanagement durch die Überwachung und Kontrollen des Prozesses als Ganzes sowie der eingeleiteten Maßnahmen. Dazu bieten sich Instrumente eines internen Kontrollsystems und die Entwicklung eines Frühwarnsystems an. Das Controlling hat die Aufgabe, diese Instrumente zu koordinieren. Sollten Abweichungen von den festgelegten Zielen und Strategien auftreten, so hat die Geschäftsführung diese zu überarbeiten und neu zu verabschieden.
Im gesamten Risikomanagement-Prozess haben die Anweisungen, Richtlinien und die Zuteilungen der Verantwortlichkeiten Top-Down zu erfolgen, d.h. ausgehend von der Geschäftsführung über das Controlling zum Risk-Owner. Die Berichterstattung laufen dagegen i.d.R. Bottom-Up ab. Dabei sollte eine Verdichtung der Informationen vom Risk-Owner über die Abteilungsleiter und das Controlling bis hin zur Geschäftsführung erfolgen. Je nach Klassifizierung eines Risikos anhand des Risikoausmaßes unterscheidet sich der Weg und die Dringlichkeit des Risk-Reportings. Risiken innerhalb der geringsten Kategorie bedürfen lediglich einer Klärung zwischen den Verantwortlichen der betroffenen Unternehmensbereiche (Risk-Owner) und dem Vertreter des Risiko-Controllings. Zwischen diesen Bereichen ist das weitere Vorgehen und die Maßnahmen zur Gegensteuerung zu klären und zu verabschieden. Mittlere Risiken erfordern ein zusätzliches Reporting an die Geschäftsführung durch das Controlling bzw. direkt durch den Risk-Owner. Die Geschäftsleitung muss diesen Risiken zur Kenntnis nehmen, ohne zwingend in den Prozess der Beseitigung eingreifen zu müssen.
Entscheidend ist jedoch des Vorgehen bei Risiken mit wesentlichem oder bestandsgefährdenden Charakter. Sie sind zwingend unmittelbar an das Controlling und an die Geschäftsleitung zu berichten und verlangen eine intensive und aktive Auseinadersetzung mit den Problematiken. Bei der Erarbeitung und zur Verabschiedung von Lösungsansätzen und Handlungsalternativen sind fallweise durch den Geschäftsführer die Aufsichtsorgane oder Gesellschafter mit ein zu beziehen.
Neu auftretende und identifizierte Risiken sind von den Risk-Owner bzw. den Entdeckern unverzüglich dem Controlling mitzuteilen. Dieses untersucht die Risiken in eigenen Analysen und Bewertungen. Hiermit wird gewährleistet, dass alle auftretenden Unternehmensrisiken Beachtung finden, und gleichzeitig die gezielte Bereitstellung der Informationen an die richtige Entscheidungsebene erfolgt. Das Pendant zum Informationsfluss ist der stufenweise Rückkopplungsprozess zu Entscheidungen.
Eine einmalige Aufnahme und Bearbeitung des Risikomanagements ist nicht ausreichend, da sich Markt, Technologie und Wettbewerbsumfeld in einem dynamischen Wandel befinden. Es ist daher notwendig, das Risikomanagement mindestens einmal im Jahr zu überprüfen und bei dieser Gelegenheit nicht mehr vorhandene Risiken zu streichen, neue auf zu nehmen und alle Risiken nach dem möglichen Schadensausmaß und der Eintrittswahrscheinlichkeit neu zu bewerten. Scheidet ein Mitarbeiter aus dem Unternehmen aus, der die Gegenmaßnahmen gegen ein bestimmtes Risiko bearbeitet hat, so ist natürlich auch unterjährig eine Revision und eine neue Zuordnung vor zu nehmen.
Die Geschäftsführung muss den Anstoß zur Einrichtung des Risikomanagement-Prozesses geben. Sie ist nicht nur im Falle einer Aktiengesellschaft (gemäss § 91 Abs. 2 AktG) zur Einführung eines Risikomanagements verpflichtet, für ein ordnungsgemäßes Funktionieren des Systems zu sorgen. Auch der GmbH-Geschäftsführer ist zur Einführung eines Risikomanagement-Prozesses verpflichtet, wenn er seine persönliche Haftung begrenzen will. Bei der Einführung werden zunächst die risikopolitischen Grundsätze fest gelegt, die in ihren Kernaussagen Verhaltensregeln beinhalten und alle Mitarbeiter zu einem vernünftigen Umgang mit Risiken anhalten. Sie dienen als Ausgangspunkt für die konkrete Ausgestaltung der Risikomanagement-Organisation, z.B. durch den Controlling-Verantwortlichen und sollen das Risikobewusstsein bei allen Beteiligten fördern. Schließlich werden diese Grundsätze im Unternehmen an alle Beteiligten kommuniziert und der Risikomanagement-Prozess erstmalig durchgeführt. Der Geschäftsführer trägt hierbei die Gesamtverantwortung gegenüber einem vielleicht vorhandenen Aufsichtsrat oder Beirat, den Anteilseignern (sofern es „externe“ Gesellschafter gibt) und dem Gesetzgeber. Da dies eine permanente Verpflichtung ist, muss sichergestellt sein, dass neu aufkommende Risiken frühzeitig erkannt werden und in den Risikomanagement-Prozess einfließen. Trotzdem ist der gesamte Prozess in regelmäßigen Abständen erneut durch zu führen.
Die Aufbauorganisation des Risikomanagements übernimmt in der Regel das Controlling als institutionalisierte Einrichtung. Das Controlling organisiert die Durchführung des Prozesses und unterstützt die Risikoverantwortlichen in den Unternehmensbereichen bei der Risikobewertung der weiteren Umsetzung und ist verantwortlich für eine effiziente Risikoberichterstattung gegenüber dem Management (Risk-Reporting). Seine Aufgaben bestehen weiterhin in der konzeptionellen Weiterentwicklung und Ausgestaltung des Risikomanagement-Prozesses, aller erforderlichen Maßnahmen sowie der Prüfung der Angemessenheit und Wirksamkeit dieser Maßnahmen durch Prozess-unabhängige und prozessintegrierte Kontrollen. Schließlich dokumentiert das Controlling die gesamte Organisation der Risikoverantwortungen und aller Maßnahmen im Rahmen des Risikomanagements in einem Handbuch.
Die eigentliche Umsetzung des Risikomanagements erfolgt in den Unternehmensbereichen. Die operativen Einheiten (Risk-Owner) tragen einen Großteil der Verantwortung für eine funktionierende Umsetzung. Zu den Aufgaben der Prozessverantwortlichen gehören insbesondere die Identifikation und schnelle Kommunikation von Risikosachverhalten. Bei Bedarf erhalten diese dabei Unterstützung durch das Controlling. Durch ihre operative Nähe kommt dem Risk-Owner für das frühzeitige Erkennen, Beurteilen und Managen der Risiken am Ort ihres Entstehens entscheidende Bedeutung zu.
Implementierung von Risikomanagement-Prozessen in die Ablauforganisation
Der Prozess des Risikomanagements vollzieht sich als ein sich wiederholender Regelkreis. Ausgehend von den in dieser Risikostrategie festgelegten Grundsätzen und Zielen erfolgt der Prozess in den Phasen Risikoidentifikation, Risikoanalyse und -bewertung, Risikosteuerung und Risikokontrolle bzw. -überwachung, ehe der Kreislauf mit einer Überarbeitung der strategischen Ausrichtung von neuem beginnt. Nachdem im Rahmen der Strategien-Definition die Rahmenbedingungen, die Ausgangssituation und die Ziele des Risikomanagements ausgearbeitet ist, schließt sich die Phase der Risikoidentifikation an. In ihr werden die vorhandenen und potenziellen Risiken des Unternehmens wie oben beschrieben ermittelt. Dies erfolgt mit Hilfe von risikoorientierten Analysen der betrieblichen Prozesse und Funktionsbereichen, durch Befragungen der Mitarbeiter (Risk-Owner) und durch Auswertungen von Dokumenten. Die Hauptaufgabe kommt dabei dem Controlling als institutionalisierter Risikomanagement-Einheit und den verantwortlichen Mitarbeitern als Experten der Abteilungen zu. Als Ergebnis dieser Phase ergibt sich ein Risikokatalog, der neben den einzelnen Risiken auch dessen Beschreibung sowie die betroffenen Unternehmensbereiche beinhaltet.
Im Rahmen der Analyse und Bewertung der identifizierten Risiken wird eine Quantifizierung in Schadensauswirkung und Eintrittswahrscheinlichkeit vorgenommen. Können Risiken nicht wertmäßig exakt ermittelt werden, sind sie zumindest qualitativ zu schätzen (in diesem Fall sind die Prämissen und Annahmen für eine spätere Überprüfung zu dokumentieren). Durch eine Multiplikation von Schadenseintrittswahrscheinlichkeit und Schadensauswirkung ergibt sich das eigentliche Risikoausmaß. Sowohl quantifiziert als auch qualitativ ermittelte Risiken werden anschließend einer Einteilung in Klassen unterzogen (z.B. in leichte, mittlere, bestandsgefährdende Risiken). Als leicht gelten Risiken, die ein mögliches Schadensausmaß von z.B. € 10.000,-nicht überschreiten. Mittlere Risiken beinhalten ein Ausmaß zwischen beispielsweise € 10.000 und € 100.000. Über einem potentiellen Risikoausmaß von z.B. € 100.000 ,- gelten Risiken als bestandsgefährdend (diese Werte sind natürlich nicht allgemein gültig). Die für Ihr Unternehmen geltenden Werte müssen Sie entsprechend der Randbedingungen in Ihrem Geschäft definieren. Die Darstellung der Risikosituation erfolgt in einem Risikoportfolio, wie es oben bereits vorgestellt wurde.
Alle Aufgaben der Analyse und Bewertung der ermittelten Risiken obliegen dem Risiko-Controlling unter Rücksprache mit den betroffenen Risk-Owner und dem oberen Management. Es schließt sich die Phase der Bewältigung und der Steuerung der Risiken an. Die Ergebnisse der Ausarbeitungen zu Handlungsmaßnahmen zur gezielten Gegensteuerung der als wesentlich und / oder bestandsgefährdend eingestuften Risiken werden in einer Tabelle dokumentiert. Bestandsgefährdende Risiken sind dadurch gekennzeichnet, dass die Unternehmensführung bei einem Schadenseintritt nicht mehr von der Prämisse der Unternehmensfortführung (Going-Concern) ausgehen kann.
Risiken gelten für das Unternehmen dann als wesentlich, wenn sie zwar nicht der Fortführungsannahme entgegenstehen, sich aber im Falle des Eintritts stark nachteilig auf den Geschäftsverlauf bzw. die Vermögens-, Finanz-, und Ertragslage auswirken, und somit die künftige Entwicklung des Unternehmens beeinträchtigen. Instrumentarien zur Bekämpfung dieser Entwicklungen sind nach Analysen der bestehenden Möglichkeiten und der Ermittlung, der Beurteilung sowie der Auswahl alternativer und ergänzender Handlungsmaßnahmen einzuleiten. Dies erfolgt innerhalb eines engen Dialogs zwischen Risk-Owner, der Geschäftsführung und dem Controlling. Als Handlungsalternativen kommen, je nach Situation und Risiko, Maßnahmen zur Risikovermeidung, Risikoverminderung, Risikoüberwälzung oder Risikoduldung in Betracht.
Abgeschlossen wird das Risikomanagement durch die Überwachung und Kontrollen des Prozesses als Ganzes sowie der eingeleiteten Maßnahmen. Dazu bieten sich Instrumente eines internen Kontrollsystems und die Entwicklung eines Frühwarnsystems an. Das Controlling hat die Aufgabe, diese Instrumente zu koordinieren. Sollten Abweichungen von den festgelegten Zielen und Strategien auftreten, so hat die Geschäftsführung diese zu überarbeiten und neu zu verabschieden.
Im gesamten Risikomanagement-Prozess haben die Anweisungen, Richtlinien und die Zuteilungen der Verantwortlichkeiten Top-Down zu erfolgen, d.h. ausgehend von der Geschäftsführung über das Controlling zum Risk-Owner. Die Berichterstattung laufen dagegen i.d.R. Bottom-Up ab. Dabei sollte eine Verdichtung der Informationen vom Risk-Owner über die Abteilungsleiter und das Controlling bis hin zur Geschäftsführung erfolgen. Je nach Klassifizierung eines Risikos anhand des Risikoausmaßes unterscheidet sich der Weg und die Dringlichkeit des Risk-Reportings. Risiken innerhalb der geringsten Kategorie bedürfen lediglich einer Klärung zwischen den Verantwortlichen der betroffenen Unternehmensbereiche (Risk-Owner) und dem Vertreter des Risiko-Controllings. Zwischen diesen Bereichen ist das weitere Vorgehen und die Maßnahmen zur Gegensteuerung zu klären und zu verabschieden. Mittlere Risiken erfordern ein zusätzliches Reporting an die Geschäftsführung durch das Controlling bzw. direkt durch den Risk-Owner. Die Geschäftsleitung muss diesen Risiken zur Kenntnis nehmen, ohne zwingend in den Prozess der Beseitigung eingreifen zu müssen.
Entscheidend ist jedoch des Vorgehen bei Risiken mit wesentlichem oder bestandsgefährdenden Charakter. Sie sind zwingend unmittelbar an das Controlling und an die Geschäftsleitung zu berichten und verlangen eine intensive und aktive Auseinadersetzung mit den Problematiken. Bei der Erarbeitung und zur Verabschiedung von Lösungsansätzen und Handlungsalternativen sind fallweise durch den Geschäftsführer die Aufsichtsorgane oder Gesellschafter mit ein zu beziehen.
Neu auftretende und identifizierte Risiken sind von den Risk-Owner bzw. den Entdeckern unverzüglich dem Controlling mitzuteilen. Dieses untersucht die Risiken in eigenen Analysen und Bewertungen. Hiermit wird gewährleistet, dass alle auftretenden Unternehmensrisiken Beachtung finden, und gleichzeitig die gezielte Bereitstellung der Informationen an die richtige Entscheidungsebene erfolgt. Das Pendant zum Informationsfluss ist der stufenweise Rückkopplungsprozess zu Entscheidungen.
Eine einmalige Aufnahme und Bearbeitung des Risikomanagements ist nicht ausreichend, da sich Markt, Technologie und Wettbewerbsumfeld in einem dynamischen Wandel befinden. Es ist daher notwendig, das Risikomanagement mindestens einmal im Jahr zu überprüfen und bei dieser Gelegenheit nicht mehr vorhandene Risiken zu streichen, neue auf zu nehmen und alle Risiken nach dem möglichen Schadensausmaß und der Eintrittswahrscheinlichkeit neu zu bewerten. Scheidet ein Mitarbeiter aus dem Unternehmen aus, der die Gegenmaßnahmen gegen ein bestimmtes Risiko bearbeitet hat, so ist natürlich auch unterjährig eine Revision und eine neue Zuordnung vor zu nehmen.
ZUM AUTOR
Über STZ-Consulting Group
Pressefach von STZ-Consulting GroupWEITERE ARTIKEL DIESES AUTORS
ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE 
Anzeige
PRESSEFORUM MITTELSTAND
Anzeige
BRANCHENVERZEICHNIS
PR-DIENSTLEISTERVERZEICHNIS
BUSINESS-SERVICES
Business Forum
Presseportal
PR-Welt
Branchenverzeichnis
PR-Dienstleisterverzeichnis
Kooperationsbörse
Presseportal
PR-Welt
Branchenverzeichnis
PR-Dienstleisterverzeichnis
Kooperationsbörse
Wissen und Praxis
Nachrichten
Fachartikel
Kolumnen
Interviews
Themenportale
Leitfäden
Mustervorlagen
Nachrichten
Fachartikel
Kolumnen
Interviews
Themenportale
Leitfäden
Mustervorlagen
© novo per motio KG