Die Elemente eines Risikomanagement-Systems

Inhaltsverzeichnis

Abkürzungsverzeichnis

Risikomanagementsystem

1 Systembildende Elemente
1.1 Risikomanagement-Strategie
1.2 Risikomanagement-Organisation
1.3 Risikomanagement-Kultur

2 Systemkoppelnde primäre Elemente
2.1 Frühwarnsystem
2.2 Risikocontrolling
2.3 Internes Überwachungssystem

3 Systemkoppelnde sekundäre Elemente
3.1 Risikomanagement und Qualitätsmanagement
3.2 Risikomanagement und Balanced Scorecard

4 Risikomanagement-Handbuch

5 EDV-Unterstützung des Risikomanagements

Literaturverzeichnis (inklusive weiterführender Literatur)

Quellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Risikomanagementsystem

Ein Risikomanagementsystem dient zur Unterstützung der Führung. Es besteht zwar eine rechtliche Verpflichtung für die Unternehmensleitung, jedoch die Ausgestaltung dieses Systems ist nicht explizit vorgeschrieben. Eine mögliche Ausführung wird vorgestellt. Systembildende Elemente (Risikomanagement-Strategie, Risikomanagement-Organisation, Risikomanagement-Kultur) (1) wirken zusammen mit den primären systemkoppelnden Elementen (Frühwarnsystem, Risikocontrolling, internes Überwachungssystem) (2). Bestehende Managementsysteme sollten integriert werden, da diese wertvolle Informationen für das Risikomanagement beisteuern (3). Die Dokumentation des Risikomanagementsystems erfolgt im Risikomanagement-Handbuch (4). Für die hohe Komplexität des Risikomanagementsystems ist eine EDV-Unterstützung unerlässlich (5).

Ausgehend von § 91 Abs. 2 AktG und aus den Begründungen sowohl zu dieser Vorschrift als auch zum KonTraG lässt sich ableiten, dass der Gesetzgeber die Einrichtung eines Internen Überwachungssystems, eines (Risiko-) Controlling und eines Frühwarnsystems unter Verantwortung der Unternehmensleitung fordert (vgl. Abbildung 1). Das Interne Überwachungssystem setzt sich zusammen aus organisatorischen Sicherungsmaßnahmen, internen Kontrollen und der Internen Revision (vgl. Diederichs 2004: 32). "Das System ist hier nicht als real existierendes Gebilde zu verstehen, sondern als Resultat bzw. Portefeuille interdisziplinärer Tätigkeiten." (ebd.: 32)

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Elemente eines Risikomanagements (aus Jürgens, Allkemper 2000: 633)

Sowohl der Wortlaut des Gesetzes als auch dessen Begründungen geben allerdings keine näheren Angaben darüber, wie das geforderte Überwachungssystem im Detail auszugestalten ist. Des weiteren wird mit der Sicherung von Erfolg und Fortbestand des Unternehmens lediglich eine grobe Zielrichtung vorgegeben, so dass bei der praktischen Realisierung "...die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsführers anzuwenden (ist; St.E.)." (Diederichs 2004: 32)

"Managementsysteme dienen der Unterstützung der Unternehmensführung. Sie stellen Informationen und Instrumente der Analyse, Planung, Steuerung und Kontrolle zur Verfügung und erhöhen das Reflexionspotenzial im Rahmen betrieblicher Gestaltungs- und Entscheidungsprozesse. (...) Managementsysteme sind zusätzliche Organisationsschichten, die die Basisorganisation gleichsam überlagern. Der Grad der Ausdifferenzierung dieser zusätzlichen Organisationsschichten ist dabei von Unternehmen zu Unternehmen sehr unterschiedlich." (Reinspach 2001: 85; Fußnote weggelassen)

Abbildung 2 zeigt eine mögliche Ausgestaltung eines Risikomanagementsystems im Unternehmenszusammenhang. Wolf (2003) gliedert das Risikomanagementsystem auf in systembildende und systemkoppelnde Elemente. Die systemkoppelnden Elemente lassen sich wieder unterscheiden in primäre und sekundäre Elemente (vgl. a.a.O.: 70).

"Systembildend sind die Risikomanagementstrategie, -organisation, -kultur sowie der Risikomanagementprozess. Diese leiten sich aus dem Ziel- und Führungssystem ab und bedienen sich bestehender Überwachungs- und Kontrollsysteme, die sich in primäre und sekundäre Elemente unterscheiden lassen." (ebd.: 70; Fußnoten weggelassen).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Systembildende und -koppelnde Elemente eines Risikomanagementsystems (aus Wolf 2003: 71)

"Primär systemkoppelnde Elemente stehen im direkten Wirkungsbereich zum Risikomanagementprozess, in den die Ergebnisdaten des Frühwarnsystems eingehen. Im Controlling erfolgt im Anschluss daran die Informationsverarbeitung, die der Unternehmenssteuerung dient. Organisatorische Sicherungsmaßnahmen und Kontrollen unterstützen hierbei. Die Überprüfung der Wirtschaftlichkeit und Funktionsfähigkeit des gesamten Risikomanagementsystems obliegt der internen Revision." (Wolf 2003: 70 Fußnote weggelassen)

Die sekundär systemkoppelnden Elemente beeinflussen den Risikomanagementprozess indirekt. Diese Managementsysteme steuern für das Risikomanagementsystem (indirekt) relevante Informationen bei. Eine Integration dieser Systeme ist für ein flächendeckendes, strukturiertes und systematisches Risikomanagement notwendig (vgl. ebd.: 71).

1 Systembildende Elemente

Risikomanagement besteht nicht nur aus dem Risikomanagementprozess. Ein fixierter Prozess würde in einer dynamischen Umwelt mit veränderbaren Rahmenbedingungen keinen Bestand haben (vgl. ebd.: 50), außerdem wäre zu kritisieren, dass "... dem Prozess kein konzeptioneller Bezugsrahmen zugrunde liegt." (ebd.: 51) Wolf (2003) unterscheidet beim Risikomanagement in Aufgaben des Risikomanagements im engeren und weiteren Sinn.

"Ergebnis der Aufgaben i.w.S. ist die Risikomanagementstrategie, die die funktionalen, institutionalen und instrumentalen Prämissen des Risikomanagementsystems vorgibt. Einerseits führen interne und externe Veränderungen zu einer Anpassung dieser Rahmenbedingungen. Andererseits findet durch die Rückkoppelung des Risikomanagementprozesses ggf. eine Adaption der gesetzten Prämissen statt. Die Umsetzung des Risikomanagements erfolgt durch den Risikomanagementprozess,..." (ebd.: 51; Fußnote weggelassen, Hervorhebung im Original)

1.1 Risikomanagement-Strategie

Der zentrale Bestandteil des strategischen Risikomanagements ist die Festlegung der Risikoeinstellung des Unternehmens. Im Rahmen des strategischen Risikomanagements wird darüber hinaus die Steuerung der Risikopolitik festgelegt. Dem operativen Risikomanagement werden risikopolitische Leitlinien vorgegeben, beispielsweise durch die Definition eines Sollzustandes der Risikolage des Unternehmens. Idealerweise sollten die Risikoziele in ein bestehendes unternehmensweites Zielsystem integriert werden. Das strategische Risikomanagement bildet die Grundlage und den Ausgangspunkt für ein effektives operatives Risikomanagement (vgl. Romeike 2004: 135). Für das Risikomanagement ist die Existenz einer Unternehmens-Strategie unabdingbar, aus welcher sich Unternehmensziele sowie Risikomanagementziele ableiten lassen. Durch die Risikomanagementstrategie werden die funktionalen, institutionalen und instrumentalen Prämissen des Risikomanagementsystems vorgegeben. Interne und externe Veränderungen führen zum einen zu einer Anpassung dieser Rahmenbedingungen. Zum anderen findet durch die Rückkoppelung des Risikomanagementprozesses bei Bedarf eine Anpassung der gesetzten Vorgaben statt (vgl. Wolf 2003: 51).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Phasenmodell des Risikomanagement-Prozesses (aus Diederichs 2004: 15)

Abbildung 3 zeigt den fortlaufenden Prozess der Rückkoppelung des Risikomanagement-Prozesses an die Unternehmens- und Risikostrategien des Unternehmens (vgl. Diederichs 2004: 15). Eine lückenlose Kommunikation der Strategie ist für das Risikomanagement zwingend erforderlich. Als Instrument dazu eignet sich die Balanced Scorecard (vgl. Wolf, Runzheimer 2003 35).

1.1.1 Funktionale Aspekte der Risikomanagement-Strategie

Der funktionale Aspekt der Risikomanagementstrategie beinhaltet die für das Risikomanagement erforderlichen organisatorischen und prozessualen Rahmenbedingungen (vgl. Wolf 2003: 52).

Risikomanagementorganisation

Der Umfang der einzugliedernden Unternehmen und Einheiten der Organisationsstruktur wird durch die Risikomanagementorganisation festgelegt (vgl. ebd.: 52). Für das Gesamtunternehmen ist ferner das finanzielle Ausmaß der Bestandsgefährdung, die sog. Wesentlichkeitsgrenze, festzulegen.

"Die Wesentlichkeitsgrenze ist kaskadenförmig entlang der Risikomanagementorganisation auf die einzelnen Betrachtungsbereiche herunterzubrechen. Die auf diesem Wege ermittelten Grenzen regeln, welche Risiken an die nächsthöhere Instanz zu kommunizieren sind bzw. welche Risiken im Verantwortungsbereich der betroffenen Einheit verbleiben." (ebd.: 52 f.; Fußnoten weggelassen)

Risikomanagementprozess

Der Risikomanagementprozess stellt die verrichtungsorientierte Komponente des funktionalen Ordnungsrahmens dar. Der Risikobegriff sowie gestalterische Merkmale des Risikomanagementprozesses sowie dessen Arbeitsinhalt sind festzulegen. Die Prozessschritte sind inhaltlich und in ihrem Ablauf zu definieren. Dabei kann der Risikomanagementprozess entweder als eigener Prozess etabliert oder in bestehende Prozesse (z.B. Planungsprozesse) integriert werden (vgl. ebd.: 53).

1.1.2 Institutionale Aspekte der Risikomanagement-Strategie

Für jede Betrachtungseinheit, die in der Risikomanagementorganisation eingebunden ist, lassen sich verschiedene Stellenprofile erstellen. Diese können entsprechend dem Aufgaben-, Kompetenz- und Verantwortungsbereich voneinander abgrenzt werden (vgl. ebd.: 53):

Durchführende und meldende Stellen

Diese Instanzen, i.d.R. auf der unteren/mittleren Leitungsebene angesiedelt, sind die eigentlichen Träger des Risikomanagementprozesses (die sogenannten Risikoeigner/ -owner). Ihr Kompetenz- und Verantwortungsbereich bezieht sich im Wesentlichen auf die inhaltliche Ausgestaltung der Risikoanalyse.

Zusammenführende Stellen

Zusammenführenden Stellen, i.d.R. Stabsabteilungen, obliegen meist die Aufgaben des Risikocontrolling. Sie berichten an die zuständige Instanz. In ihrem Verantwortungsbereich liegt auch die sach- und termingerechte Durchführung der Risikoanalysen. Für die Inhalte übernehmen allerdings die durchführenden und meldenden Stellen die Verantwortung.

Prüfende Stelle

Prüfende Stelle ist hauptsächlich die Interne Revision. Selbstkontrollen sind auch durch die Betrachtungsbereiche möglich.

Gesamtverantwortliche Stelle

Gesamtverantwortlich für das Risikomanagement sind der Vorstand bzw. die Geschäftsführung.

"Sie sind für die Einrichtung eines Risikomanagementsystems, für die Festlegung und Kommunikation einer Risikomanagementstrategie sowie für die Informationspolitik gegenüber dem Wirtschaftsprüfer, der Öffentlichkeit (Aktionäre, Rating-Agenturen usw.) und dem Aufsichtsrat verantwortlich." (ebd.: 53 f.)

Es ist nicht erforderlich, dass für jede Betrachtungseinheit jeweils eine meldende und zusammenführende Stelle eingerichtet wird. Mehrere Bereiche können auch durch eine Instanz bearbeitet werden (vgl. Wolf 2003: 54). Wichtig dabei ist nur, "...die fachliche Qualifikation der Mitarbeiter zu gewährleisten, um die Qualität des Risikomanagementprozesses sicherzustellen." (ebd.: 54)

1.1.3 Instrumentale Aspekte der Risikomanagement-Strategie

"Die Eignung einzelner Werkzeuge lässt sich v.a. in interdisziplinären Workshops besprechen. Daran ist vorteilhaft, dass die Mitarbeiter als Vertreter einzelner Unternehmensfunktionen ihre Sichtweisen und Meinungen vorbringen können und diese eine umfassende Analyse der zu beurteilenden Situation und Entscheidung ermöglichen. Durch diese Vorgehensweise lässt sich die für die Unternehmung optimale Lösung erarbeiten." (ebd.: 54 f.; Fußnoten weggelassen)

1.2 Risikomanagement-Organisation

Das Risikomanagement ist in ein System aufbau- und ablauforganisatorischer Regeln einzubetten, da es mit der gezielten Gestaltung und Integration risikobewältigender Werkzeuge alleine nicht getan ist. Die Risikomanagement-Organisation liefert den aufbauorganisatorischen Rahmen und bestimmt den strukturellen Hintergrund für den Ablauf der Risikomanagement-Prozesse (vgl. Diederichs 2004: 203).

"Unter der Risikomanagement-Organisation wird dementsprechend die Bündelung der Aktivitäten verschiedener betrieblicher Institutionen und Funktionen innerhalb eines festgelegten Systems unter dem Gesichtspunkt der Risikoidentifikation, -beurteilung, -steuerung und -überwachung verstanden." (ebd.: 203 f.; Fußnote weggelassen)

In der Praxis haben sich drei Alternativen einer organisatorischen Einbindung des Risikomanagementsystems etabliert:

1.2.1 Separationsprinzip

Das Separationsprinzip sieht die Bildung einer eigenen Stelle oder Abteilung für das Risikomanagement vor. Dem Thema Risikomanagement wird somit eine hohe Priorität eingeräumt, Verantwortungen sind hier klar definiert. Das Separationsprinzip weist gegenüber den anderen Prinzipien den höchsten Grad an Strukturierung und Systematisierung im Prozessablauf auf, geht Risikoherden am intensivsten nach und setzt das Risikomanagement am flächendeckendsten um. Der Aufbau von Spezialwissen, eine erhöhte Transparenz sowie eine unternehmensweite Steuerung, die Einsparpotentiale (z.B. bei Versicherungsprämien) zulässt, lassen sich ebenso als Vorteil nennen (vgl. Wolf, Runzheimer 2003 104). Es entstehen jedoch auch zusätzliche Kosten, die den Nutzen rechtfertigen müssen. Nachteilig ist auch, dass das Risikomanagement nicht am Ort der Risiko-Entstehung ansetzt und zentrale Stellen eventuell nicht ausreichend über notwendiges Fach- und Detailwissen verfügen (vgl. ebd.: 156).

[...]