RisikomanagementRisikomanagement im Unternehmen organisieren

Die Geschäftsleitung ist dafür verantwortlich, dass alle Aufgaben zum Risikomanagement ausgeführt werden. Dazu muss es diese in der Organisation und in den Prozessen verankern. Verursacht das Unternehmen bei anderen einen Schaden, kann es damit nachweisen, dass es seinen Pflichten nachkommt.

Pflicht zur Organisation des Risikomanagements

Risikomanagement und alle damit verbundenen Maßnahmen können nur greifen, wenn sie in die Organisation eingebunden werden. Das umfasst:

  • Risikomanagement muss in der Aufbauorganisation verankert werden.
  • Prozesse für die Identifikation, Bewertung und Bewältigung von Risiken müssen definiert werden.
  • Voraussetzung dafür ist, dass es im Unternehmen eine Risikokultur gibt.
  • Alle Mitarbeiter sollten ein Risikobewusstsein haben.

Die organisatorische Integration des Risikomanagements wird auch von gesetzlichen Anforderungen beeinflusst. Insbesondere mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde das Risikomanagement für Unternehmen verpflichtend. Mit dem KonTraG wurden insbesondere das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB) so geändert, dass Vorgaben zum Risikomanagement aufgenommen wurden; unter anderem gibt es die Pflicht, die Unternehmensorganisation auf das Risikomanagement auszurichten. Zum Beispiel heißt es in § 91, Absatz 2 des Aktiengesetzes (AktG):

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden.“

Mit einer solchen gesetzlichen Verankerung geht einher, dass Vorstände und Geschäftsführer persönlich haftbar gemacht werden können, wenn sie diesen Pflichten nicht nachkommen, wenn sie ihre Pflichterfüllung nicht nachweisen können oder wenn sie Schaden verursachen. Bei Aktiengesellschaften prüft der Wirtschaftsprüfer unter anderem das Vorhandensein und die Funktionsweise des Risikomanagements.

Risiko-Leitlinie erarbeiten

Ausgangspunkt des Risikomanagements ist in vielen Unternehmen die Entwicklung und Verabschiedung einer Risiko-Leitlinie. Dort beschreibt die Geschäftsleitung oder der Vorstand, welche Bedeutung das Risikomanagement für das Unternehmen haben soll. Damit wird der Rahmen abgesteckt. Diese Richtlinie hat den Charakter eines Leitbilds für das Risikomanagement.

Risikoausschuss und Risikomanager einsetzen

Für die strategische Planung und Umsetzung des Risikomanagements sind ein Risikoausschuss und ein Risikomanager verantwortlich. Der Ausschuss sollte aus Mitarbeitern der unterschiedlichen Organisationsbereiche bestehen. Der Risikomanager trägt die Verantwortung für das gesamte Risikomanagement. Er kann Mitglied der Geschäftsleitung oder des Vorstands sein, sollte diesen zumindest direkt berichten (zweite Leitungsebene, Stabsstelle).

Der Risikomanager und der Risikoausschuss sorgen dafür, dass

  • Risiken identifiziert, bewertet und dokumentiert werden;
  • Aufgaben des Risikomanagements definiert und einzelnen Abteilungen oder Personen eindeutig zugeordnet werden;
  • Prozesse des Risikomanagements definiert und umgesetzt werden; teilweise werden diese neu eingerichtet, teilweise müssen bestehende Prozesse angepasst werden;
  • notwendige Mittel und Ressourcen zur Verfügung gestellt werden;
  • Mitarbeiter geschult und trainiert werden;
  • Maßnahmen zur Risikostrategie und Risikooptimierung ergriffen werden;
  • Entscheidungen getroffen werden zur Risikostrategie: Welche Risiken werden vermieden, eingegangen, minimiert an andere übertragen und in welcher Form?

Aufgaben zum Risikomanagement festlegen und verteilen

Auf der operativen Ebene werden Mitarbeiter mit den einzelnen Aufgaben zum Risikomanagement betraut. Sie sind zuständig für die Durchführung. Alle entsprechenden Aufgaben finden sich in ihren Stellenbeschreibungen. Beispiele für Aufgaben zum Risikomanagement sind:

  • Dokumente auswerten
  • Risiken identifizieren
  • Anlagen überwachen
  • Schäden erkennen
  • Mitarbeiter informieren und schulen (zum Beispiel zum Arbeitsschutz)
  • Versicherungsverträge prüfen und optimieren
  • Notfallpläne entwickeln
  • Presse informieren

Um diese und weitere Aufgaben durchzuführen, müssen Prozesse und Abläufe festgelegt und organisiert werden. Bestehende Prozesse werden so erweitert, dass dort Elemente zum Risikomanagement integriert werden. Beispiel dafür sind Maßnahmen zur Qualitätskontrolle in Herstellprozessen oder Auswertungen von Kundenanfragen beim Beschwerdemanagement.

Risiko-Controlling betreiben

Alle Maßnahmen zum Risikomanagement müssen regelmäßig geprüft werden. Dazu zählt die Bewertung der einzelnen Risiken und die Organisation des Risikomanagements selbst. Die Unternehmensleitung muss sicherstellen, dass alle Aufgaben und Prozesse zum Risikomanagement auch so ausgeführt werden, wie es geplant ist. Diese Prüfungen führt das Risiko-Controlling oder die Interne Revision durch. Diese müssen unabhängig von anderen Unternehmensbereichen sein und die notwendigen Befugnisse haben, um alle Unternehmensbereiche zu kontrollieren und an die Geschäftsleitung zu berichten.

Abbildung 6 stellt die Elemente der Risikoorganisation im Überblick dar.

Abbildung 6: Organisatorische Elemente des Risikomanagements

In größeren Unternehmen wird diese Form der organisatorischen Verankerung des Risikomanagements auf einzelne Geschäftsbereiche, Betriebe oder Niederlassungen übertragen. Das bedeutet, dass es eine entsprechende Einteilung auf der Konzernebene, aber auch in den einzelnen Einheiten gibt. Dann müssen alle Aktivitäten auf Konzernebene koordiniert und integriert werden. Es gibt Gremien oder Einrichtungen und klare Kommunikationswege, wie zentrale und dezentrale Aktivitäten aufeinander abgestimmt sind.

In Krisensituationen müssen Unternehmen mit externen Partnern zusammenarbeiten. Bei einem Unfall oder einer Bedrohung muss das Unternehmen beispielsweise mit staatlichen Einrichtungen, Behörden oder Sicherungsorganen (Feuerwehr) zusammenarbeiten. Meistens erfolgt auch eine Zusammenarbeit mit Vertretern der Medien. Eventuell müssen Lieferanten oder Kunden einbezogen werden. Hierzu müssen entsprechende Gremien und Informationsflüsse vorab festgelegt werden und im Krisenfall schnell einsatzfähig sein.

Beispiel: Rückrufaktionen durchführen

Wenn ein Produkt sich nach dem Verkauf als potenziell gefährlich erweist, müssen Rückrufaktionen gestartet werden. Händler und Kunden müssen informiert werden. Oft wird die Presse eingeschaltet. Servicetechniker vor Ort müssen helfen können. Über eine Hotline müssen Kunden und andere Interessierte informiert werden.

Nachhaltiges Risikomanagement

Wenn die Verantwortlichkeiten klar, die Aufgaben zugewiesen und die Prozesse etabliert sind, sind die Voraussetzungen für ein nachhaltiges und erfolgreiches Risikomanagement geschaffen. Damit das Risikomanagement auch dauerhaft so funktioniert wie geplant, muss sich im Laufe der Zeit bei allen Mitarbeitern im Unternehmen ein Risikobewusstsein bilden. Das bedeutet, die Sinne werden geschärft, um Risiken zu erkennen und die Kompetenzen werden gebildet, um verantwortlich mit Risiken umzugehen.

Dann können auch immer mehr Risiken aktiv gemanagt und beherrscht werden. Das bietet entscheidende Vorteile im Wettbewerb. Alles in allem entsteht so eine tragfähige Risikokultur, die Risiken nicht nur als Gefahren begreift, sondern nüchtern und erfahren auch die Chancen erkennt, die damit verbunden sein können.

Praxis

Beschreiben Sie die Organisation Ihres Risikomanagements in Ihrem Unternehmen. Zeigen Sie dazu auf, wie die Elemente der Risikoorganisation aus der folgenden Vorlage in Ihrem Organigramm und in den Prozessen verankert sind. Nutzen Sie dafür auch die Vorlagen in den Handbuch-Kapiteln Organigramm erstellen und Prozessmanagement.

Beschreiben Sie die Eckpunkte zur Organisation Ihres Risikomanagements:

  • Gibt es eine Rahmenrichtlinie oder Leitlinie für das Risikomanagement?
  • Wer ist der zentrale und verantwortliche Risikomanager?
  • Hat der Risikomanager die notwendigen Kompetenzen und Befugnisse?
  • Wer wirkt im Risikoausschuss mit?
  • Sind die Aufgaben und Prozesse klar und eindeutig zugewiesen?
  • Gibt es ein unabhängiges Risiko-Controlling für Identifikation, Bewertung und Dokumentation von Risiken sowie für die Kontrolle der Risikoorganisation?

Halten Sie diese Elemente der Risikoorganisation in der folgenden Vorlage fest.