Risikomanagementsystem: Anforderungen und Umsetzung

Es ist wichtig, potenzielle Gefahren rund ums eigene Unternehmen zu kennen und im Ernstfall adäquat zu reagieren – insbesondere in Krisenzeiten. Entsprechende Maßnahmen verhindern viele Risiken oder minimieren deren Auswirkungen. Hilfreich hierbei: ein unternehmensweites Risikomanagementsystems („RMS“).

ZIELE DES RISIKOMANAGEMENTSYSTEMS

Das RMS dient dazu, Unternehmensrisiken zu identifizieren, zu bewerten und – wenn möglich – zu minimieren. Gründe für ein RMS sind vielfältig. Neben der Sicherung der Unternehmensziele kann es beispielsweise Kapitalkosten reduzieren. Schließlich erwarten potenzielle Investoren und Banken, vermeidbare Gefahren in Form einer zusätzlichen Risikoprämie vergütet zu bekommen.

Das Aktiengesetz verankert den Bedarf eines Risikofrüherkennungssystems im Rahmen des § 91 Abs. 2 und 3 AktG. Auch wenn für GmbHs auf eine analoge Regelung verzichtet wurde, unterstellt die vorherrschende Kommentarliteratur für diese ebenfalls die Pflicht zur Einführung. Darüber hinaus gibt es weitere Gesetzesnormen für Unternehmen, die mehrheitlich im kommunalen Eigentum stehen (§ 53 HGrG), für Kreditinstitute (§ 25 KWG) und für Versicherungsunternehmen (§ 64a VAG).

UMSETZUNGSMÖGLICHKEITEN EINES RMS

Unabdingbar bei der Implementierung des RMS ist eine strukturierte und standardisierte Vorgehensweise mit einer Untergliederung in einzelne Risikobereiche. Darin können beispielsweise Produkte, Abteilungen und Prozesse definiert werden. Bei der Risikoidentifikation werden zunächst alle möglichen Schadensfälle gesammelt – immer eng verknüpft mit den angestrebten Unternehmenszielen, da ein Risiko meist eine negative Abweichung vom angestrebten Soll-Zustand beschreibt.

Es gibt verschiedene Techniken, um Unternehmensrisiken vollständig zu erfassen. Häufig angewandte Methoden sind Entscheidungsbäume, prozessorientierte Risikointerviews, Risikoerhebungsbögen, Checklisten oder sogenannte SWOT-Analysen. Es empfiehlt sich, mehrere Verfahren zu kombinieren.

Anschließend sind alle Gefahren mithilfe einer Risikoprozentzahl zu bewerten, die neben potenziellen Auswirkungen und Eintrittswahrscheinlichkeit auch Präventions-Effekte berücksichtigt. Dieser Wert gibt an, ob ein Risiko relevant oder gar existenzbedrohend ist. Zudem gibt er Aufschluss darüber, ob ein wesentlicher Einfluss auf die Vermögens-, Finanz- und Ertragslage absehbar ist. Liegt dies vor, müssen weitere Präventionsmaßnahmen getroffen werden. Hierbei können die Implementierung zusätzlicher Sicherheitsmaßnahmen bzw. Kontrollen oder die Optimierung von Prozessen unterstützen. Können keine geeigneten Minimierungsmaßnahmen identifiziert werden, ist eine komplette Risikovermeidung möglich. Hierfür ist eine Anpassung des Produktportfolios oder der Abschluss einer Versicherung denkbar.

Entscheidend für die Wirksamkeit eines RMS ist insbesondere, es als laufenden Prozess zu begreifen und stetig im Unternehmen weiterzuentwickeln.

MÖGLICHE HINDERNISSE

Die Effektivität des RMS kann durch fehlende Akzeptanz der Mitarbeitenden negativ beeinflusst werden. Darum sollten möglichst alle in die Implementierung und Anwendung eingebunden sein. Des Weiteren ermöglicht die Risikobetrachtung aus verschiedenen Blickwinkeln eine lückenlosere und genauere Analyse. Nichtsdestotrotz ist die Festlegung von Verantwortlichen für eine zentrale Steuerung notwendig.

Insbesondere bei jungen und kleinen Unternehmen bestehen selten Erfahrungswerte im Risikomanagement. Hier kann die Betrachtung von Schadensfällen bei vergleichbaren Unternehmen bzw. Geschäftsmodellen hilfreich sein.

IT, INTERNE KONTROLLSYSTEME UND COMPLIANCE-MANAGEMENT

Je nach Unternehmensgröße und Produktportfolio wird das RMS schnell unübersichtlich, hierbei kann ein IT-gestütztes System mit automatisierter Auswertung eine deutliche Vereinfachung bewirken. Risikomanager gänzlich ersetzen kann es nicht.

Die Wirksamkeit des RMS setzt voraus, dass getroffene Regelungen und Maßnahmen tatsächlich umgesetzt werden. Hierbei ist das interne Kontrollsystem ebenso ein zentraler Baustein wie das Compliance-Managementsystem. Beide sind bedeutsam für die Zuverlässigkeit des RMS und helfen, Fehler und missbräuchliche Handlungen zu verhindern.

Ansprechpartner: Tobias Sengenberger/Dr. Christian Dessau/Marco Reischl

Share
Weiterlesen

21 Mai

Der Erste seiner Art: Der AI Act kommt

Nach der Zustimmung durch das Europäische Parlament vom 13.3.2024 hat nun der Rat der Europäischen Union am 21.5.2024 das Gesetz über künstliche Intelligenz („AI Act“) als weltweit ersten umfassenden Rechtsrahmen für das Thema künstliche Intelligenz (KI) verabschiedet. Unternehmen sollten sich...

15 Mai

Kommunalpolitische Initiativen gegen den Stillstand im Straßenverkehrsrecht

Am 24.11.2023 haben neun Bundesländer die als Minimalkompromiss ausgehandelte Novelle des StVG und der StVO auf den letzten Metern gestoppt. Der Vermittlungsausschuss könnte die gescheiterte Reform noch retten – bislang gibt es allerdings noch keinerlei offizielle Verlautbarung, ob und wann...