RisikomanagementRisikomanagement im Unternehmen organisieren

Risikomanagement und alle damit verbundenen Maßnahmen können nur greifen, wenn sie in die Organisation eingebunden werden. Das umfasst:

• Risikomanagement muss in der Aufbauorganisation verankert werden.
• Prozesse für die Identifikation, Bewertung und Bewältigung von Risiken müssen definiert sein.
• Voraussetzung dafür ist, dass es im Unternehmen eine Risikokultur gibt.
• Alle Mitarbeitenden sollten ein Risikobewusstsein haben.

Die organisatorische Integration des Risikomanagements wird auch von gesetzlichen Anforderungen beeinflusst. Insbesondere mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ist das Risikomanagement für Unternehmen verpflichtend.

Mit dem KonTraG wurden insbesondere das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB) so geändert, dass Vorgaben zum Risikomanagement aufgenommen wurden; unter anderem gibt es die Pflicht, die Unternehmensorganisation auf das Risikomanagement auszurichten.

Zum Beispiel heißt es in § 91, Absatz 2 des Aktiengesetzes (AktG):

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden.“

Mit einer solchen gesetzlichen Verankerung geht einher, dass Vorstände und Geschäftsführung persönlich haftbar gemacht werden können, wenn sie diesen Pflichten nicht nachkommen, wenn sie ihre Pflichterfüllung nicht nachweisen können oder wenn sie Schaden verursachen. Bei Aktiengesellschaften prüft der Wirtschaftsprüfer unter anderem das Vorhandensein und die Funktionsweise des Risikomanagements.

Ausgangspunkt des Risikomanagements ist in vielen Unternehmen die Entwicklung und Verabschiedung einer Risiko-Leitlinie. Dort beschreibt die Geschäftsleitung oder der Vorstand, welche Bedeutung das Risikomanagement für das Unternehmen haben soll. Damit wird der Rahmen abgesteckt. Diese Richtlinie hat den Charakter eines Leitbilds für das Risikomanagement.

Für die strategische Planung und Umsetzung des Risikomanagements sind ein Risikoausschuss und ein Risikomanager verantwortlich. Der Ausschuss sollte aus Mitarbeitenden der unterschiedlichen Organisationsbereiche bestehen.

Der Risikomanager trägt die Verantwortung für das gesamte Risikomanagement. Er oder sie kann Mitglied der Geschäftsleitung oder des Vorstands sein, sollte diesen zumindest direkt berichten (zweite Leitungsebene oder als Stabsstelle).

Der Risikomanager und der Risikoausschuss sorgen dafür, dass

• Risiken identifiziert, bewertet und dokumentiert werden;
• Aufgaben des Risikomanagements definiert und einzelnen Abteilungen oder Personen eindeutig zugeordnet werden;
• Prozesse des Risikomanagements definiert und umgesetzt werden (teilweise werden diese neu eingerichtet, teilweise müssen bestehende Prozesse angepasst werden);
• notwendige Mittel und Ressourcen zur Verfügung gestellt werden;
• Mitarbeiterinnen und Mitarbeiter geschult und trainiert werden;
• Maßnahmen passend zur Risikostrategie ergriffen werden;
• Entscheidungen getroffen werden zur Risikostrategie: Welche Risiken werden vermieden, eingegangen, minimiert, an andere übertragen und in welcher Form?

Auf der operativen Ebene werden Mitarbeitende mit den einzelnen Aufgaben zum Risikomanagement betraut. Sie sind zuständig für die Durchführung. Alle entsprechenden Aufgaben finden sich in ihren Stellenbeschreibungen. Beispiele für Aufgaben zum Risikomanagement sind:

• Dokumente auswerten
• Risiken identifizieren
• Anlagen überwachen
• Schäden erkennen
• Mitarbeitende informieren und schulen (zum Beispiel zum Arbeitsschutz)
• Versicherungsverträge prüfen und optimieren
• Notfallpläne entwickeln
• Presse informieren

Um diese und weitere Aufgaben durchzuführen, müssen Prozesse und Abläufe festgelegt und organisiert werden. Bestehende Prozesse werden so erweitert, dass dort Elemente zum Risikomanagement integriert werden. Beispiel dafür sind Maßnahmen zur Qualitätskontrolle im Herstellprozess oder Auswertungen von Kundenanfragen beim Beschwerdemanagement.

Alle Maßnahmen zum Risikomanagement müssen regelmäßig geprüft werden. Dazu zählt die Bewertung der einzelnen Risiken und die Organisation des Risikomanagements selbst. Die Unternehmensleitung muss sicherstellen, dass alle Aufgaben und Prozesse zum Risikomanagement auch so ausgeführt werden, wie es geplant ist.

Diese Prüfungen führt das Risiko-Controlling oder die Interne Revision durch. Diese müssen unabhängig von anderen Unternehmensbereichen sein und die notwendigen Befugnisse haben, um alle Unternehmensbereiche zu kontrollieren und an die Geschäftsleitung zu berichten.

Abbildung 6 stellt alle die Elemente der Risikoorganisation im Überblick dar.

In größeren Unternehmen wird diese Form der organisatorischen Verankerung des Risikomanagements auf einzelne Geschäftsbereiche, Betriebe oder Niederlassungen übertragen. Das bedeutet, dass es eine entsprechende Einteilung auf der Konzernebene, aber auch in den einzelnen Einheiten gibt.

Dann müssen alle Aktivitäten auf Konzernebene koordiniert und integriert werden. Es gibt Gremien oder Einrichtungen und klare Kommunikationswege, wie zentrale und dezentrale Aktivitäten aufeinander abgestimmt sind.

In Krisensituationen müssen Unternehmen mit externen Partnern zusammenarbeiten. Bei einem Unfall oder einer Bedrohung muss das Unternehmen beispielsweise mit staatlichen Einrichtungen, Behörden oder Sicherungsorganen (Feuerwehr) zusammenarbeiten.

Meistens erfolgt auch eine Zusammenarbeit mit Vertretern der Medien. Eventuell müssen Lieferanten oder Kunden einbezogen werden. Hierzu müssen entsprechende Gremien und Informationsflüsse vorab festgelegt werden und im Krisenfall schnell einsatzfähig sein.

Wenn die Verantwortlichkeiten klar, die Aufgaben zugewiesen und die Prozesse etabliert sind, sind die Voraussetzungen für ein nachhaltiges und erfolgreiches Risikomanagement geschaffen. Damit das Risikomanagement auch dauerhaft so funktioniert wie geplant, muss sich im Laufe der Zeit bei allen Mitarbeitenden im Unternehmen ein Risikobewusstsein bilden. Das bedeutet:

• die Sinne werden geschärft, um Risiken zu erkennen und
• die Kompetenzen werden gebildet, um verantwortlich mit Risiken umzugehen.

Dann können immer mehr Risiken aktiv gemanagt und beherrscht werden. Das bietet entscheidende Vorteile im Wettbewerb. Alles in allem entsteht damit eine tragfähige Risikokultur, die Risiken nicht nur als Gefahren begreift, sondern nüchtern und erfahren auch die Chancen erkennt, die damit verbunden sein können.