Implementierung eines Risikomanagementsystems – In 7 Schritten zur optimalen Praxistauglichkeit

Ein professionelles Risikomanagementsystem setzt zwingend voraus, dass Sie zum einen die drohendenden Gefahren für Ihr Unternehmen oder Ihr Projekt identifiziert und zum anderen nach dem Grad der Schwere beurteilt haben. Danach können Sie sich an die Einführung machen.

Schritt 1: Kommunizieren Sie die strategischen Grundsätze

Am Anfang steht immer das Wort. Wenn Sie ein Risikomanagement einführen, müssen Sie dessen strategische Grundsätze natürlich auch den beteiligten Personen und Einheiten mitteilen.

Diese Grundsätze bilden das Fundament für die konkrete Ausgestaltung der Risikomanagement-Organisation. Im Regelfall trägt hier vor allem die Geschäftsführung die rechtliche Gesamtverantwortung gegenüber dem Inhaber oder den Anteilseignern - bzw. dem Staat. Da die Risikovorsorge eine dauerhafte Verpflichtung ist, muss sichergestellt sein, dass neu aufkommende Risiken ebenfalls frühzeitig erkannt werden und in den Risikomanagementprozess einfließen.

Schritt 2: Legen Sie die internen Verantwortlichkeiten fest

Die Aufbauorganisation des Risikomanagements ist in der Regel natürlich Sache der Geschäftsführung. In größeren Unternehmen ist es allerdings üblich und sinnvoll, dem Controlling als institutionalisierter Einrichtung die Aufbauorganisation zu übertragen. Dieser Bereich

• organisiert die Prozessdurchführung,
• unterstützt die Risikoverantwortlichen bei der Bewertung der weiteren Umsetzung,
• verantwortet für eine effiziente Risikoberichterstattung gegenüber dem Management (Risk Reporting).

Weitere Aufgaben können bspw. in der konzeptionellen Weiterentwicklung und Ausgestaltung des Prozesses, sowie der internen Prüfung der Angemessenheit und Wirksamkeit dieser Maßnahmen durch prozessunabhängige und prozessintegrierte Kontrollen liegen.

Expertenrat

Die gesamte Organisation der Risikoverantwortungen und alle diesbezüglichen Maßnahmen im Rahmen des Risikomanagements sollten grundsätzlich in einem Handbuch (Risk Manual) dokumentiert werden.

Schritt 3: Binden Sie die Unternehmensbereiche mit ein 

Die praktische Umsetzung des Risikomanagements sollte dann in den jeweiligen Unternehmensbereichen erfolgen. Diese tragen als operative Einheiten naturgemäß einen Großteil der Verantwortung (Risk owner) für die funktionierende Umsetzung.

Kernaufgabe der Prozessverantwortlichen ist hier vor allem die

• Identifikation und
• zeitnahe Kommunikation

der relevanten Risikosachverhalte.

Expertenrat

Unterschätzen Sie die Bedeutung dieses Punktes nicht. Durch die entsprechende Nähe und Sachkenntnis kommt den Unternehmensbereichen für das frühzeitige Erkennen und Beurteilen der jeweiligen Risiken am Ort ihres Entstehens zentrale Bedeutung zu.

Schritt 4: Erst der Regelkreis macht Ihr System wertvoll

Den Risikomanagementprozess sollten Sie - wie die meisten Kontrollsysteme - grundsätzlich als einen sich wiederholenden Regelkreis implementieren. Basierend auf den in der Strategie festgelegten Grundsätzen erfolgt der Prozess in den Phasen

1. Risikoermittlung
2. Risikobewertung
3. Risikosteuerung
4. Risikokontrolle

ehe er - gegebenenfalls mit einer Überarbeitung der strategischen Ausrichtung - von Neuem beginnen kann.

Schritt 5: Risikosteuerung: Maßnahmen auswählen

Aufgrund der Risikoermittlung und -bewertung erkennen Sie die „Baustellen", auf denen Sie aktiv werden müssen. Als Handlungsalternativen stehen Ihnen - je nach Situation - Maßnahmen zur

• Risikovermeidung,
• Risikoverminderung,
• Risikoüberwälzung oder
• Risikoakzeptanz

zur Verfügung. Erarbeitete Handlungsmaßnahmen zur gezielten Gegensteuerung der als gefährlich bzw. bestandsgefährdend (gelb oder rot auf dem Risikograph) eingestuften Risiken sollten Sie in einer Tabelle dokumentieren.

In der Regel dürfte es ratsam sein, die daraufhin zu treffenden Entscheidungen immer aufgrund eines engen Dialogs zwischen den betroffenen Unternehmensbereichen, der Geschäftsführung und gegebenenfalls dem Controlling (sofern es für das Risikomanagement zuständig ist) zu treffen.

Tipp

Risiken gelten für Ihr Unternehmen dann als gefährlich, wenn sie zwar nicht die Existenz des Betriebs als solchen bedrohen, sich aber im Falle der Realisierung gravierend auf den operativen Geschäftsverlauf bzw. die Vermögens-, Finanz- und Ertragslage auswirken und somit künftige geschäftliche oder betriebliche Entwicklungsmöglichkeiten hemmen.

Schritt 6: Risikokontrolle: Überwachung durch IKS nutzen

Abgeschlossen wird Ihr Risikomanagementsystem durch die Überwachung und Kontrolle des Prozesses sowie der eingeleiteten Maßnahmen. Dazu bieten sich Instrumente eines internen Kontrollsystems (IKS) sowie die Entwicklung eines Frühwarnsystems an.

Die Koordination dieser Aufgabe sollte selbstverständlich die Stelle übernehmen, die auch für das Risikomanagement verantwortlich zeichnet - wahrscheinlich durch Sie.

Sollten Abweichungen von den festgelegten Zielen und Strategien auftreten, müssen diese durch die Verantwortlichen des Risikomanagementsystems und die Geschäftsführung überarbeitet werden.

Schritt 7: Risk Reporting: Informationsfluss sicherstellen

Alle Anweisungen, Richtlinien und die Zuteilung der Verantwortlichkeiten sollten grundsätzlich top-down erfolgen. Die Berichterstattung (Risk Reporting) läuft dagegen in der Regel bottom-up ab. Achten Sie darauf, dass die Informationsweitergabe vom Unternehmensbereich - gegebenenfalls über das Controlling - zur Geschäftsführung in verdichteter Form geschieht. Je nach Klassifizierung eines Risikos bezüglich der Gefährlichkeit unterscheiden sich Wege und Dringlichkeit Ihres Reportings.

Schlussbemerkung

Eine einmalige Aufnahme und Bearbeitung des Risikomanagements reicht niemals aus, weil Markt, Technologie und Wettbewerbsumfeld einem steten Wandel unterworfen sind. Es ist daher notwendig, das Risikomanagement mindestens jährlich gründlich zu überprüfen und auf die Entstehung neuer Gefahren und Risiken anzupassen.