Die rechtlichen Grundlagen, aus denen sich Anforderungen zur Einrichtung eines Risikomanagementsystems direkt oder indirekt ableiten lassen, existieren in vielfältiger Form und variieren insbesondere je nach Branche und Rechtsform der Organisation.
Verpflichtung zu einem Riskiomanagementsystem
Die Verpflichtung zur Einrichtung eines angemessenen und wirksamen Risikomanagementsystems betrifft zunächst nur kapitalmarktorientierte Gesellschaften (§ 91 Abs. 3 AktG). Sinn und Zweck dieser Vorschriften wurden mittlerweile auf Organisationen anderer Rechtsformen in Abhängigkeit von ihrer Größe, Komplexität und Struktur vollständig oder teilweise übertragen. So haben die Mitglieder des zur Geschäftsführung berufenen Organs einer juristischen Person nach § 1 StaRUG fortlaufend über Entwicklungen zu wachen, welche den Fortbestand der juristischen Person gefährden können. Entsprechende organisatorische Anforderungen an Unternehmen der öffentlichen Hand können aus dem Haushaltsgrundsätzegesetz oder anderen gesetzlichen Vorgaben des Bundes oder der Länder abgeleitet werden.
Von der Strategie zum Managementsystem
Ausgehend von einer Risikostrategie, die sich aus der Gesamtstrategie der Organisation ableitet, hat die Geschäftsführung aufbau- und ablauforganisatorische Maßnahmen zu ergreifen. Ziel ist es, ein angemessenes und wirksames Risikomanagementsystem zu etablieren, das grundsätzlich die gesamte (operative) Geschäftstätigkeit abdeckt. Dabei ist die Risikotragfähigkeit als Produkt aus dem Risikodeckungspotenzial und dem Gesamtrisikoumfang zu berücksichtigen. Das Risikomanagementsystem ist kontinuierlich weiterzuentwickeln und zu überwachen. Das Risikomanagement vereinigt alle Tätigkeiten, die einer nachvollziehbaren und regelmäßigen Identifizierung von Risiken, deren Analyse und Bewertung, einer Implementierung geeigneter Risikosteuerungsmaßnahmen und deren Kontrolle sowie einer regelmäßigen Berichterstattung und fortlaufenden Überwachung der Risiken dienen können. Die Risikoidentifizierung und -erfassung beinhaltet die methodische Ermittlung aller für die Aufgaben und Ziele der Organisation relevanten Risiken. Ausschlaggebend ist dabei, sämtliche Organisationseinheiten einzubeziehen. Zudem erscheint die Beteiligung von Gremien empfehlenswert, die unter Berücksichtigung gesamtpolitischer Rahmenbedingungen wichtige Aspekte beisteuern und ergänzen können.Das Ergebnis dieser Risikoinventur sollte eine strukturierte und vorläufig priorisierte Darstellung aller identifizierten Risiken in einem Risikoinventar (auch Risikoregister, -katalog, -liste, -landkarte) sein.
Die im Risikoinventar erfassten Risiken sind einer grundlegenden Risikoanalyse zu unterziehen, um eine Gewichtung nach Eintrittswahrscheinlichkeiten und Schadensausmaß vornehmen zu können. Die Quantifizierung von Risiken bezieht regelmäßig neben Benchmarks und historischen Schadensdaten auch subjektives Expertenwissen ein. Die Risikosteuerung beschäftigt sich mit den Maßnahmen, die zu ergreifen sind, um die identifizierten und analysierten Risiken auf der Grundlage der entwickelten Risikostrategie zu steuern.
Ziele der Steuerungsmaßnahmen können in Abhängigkeit von den Merkmalsausprägungen der einzelnen oder auch der aggregierten Risiken die Risikovermeidung (Einstellung bzw. Unterlassung von Aktivitäten), Risikoübertragung (Lieferanten, Kunden, Kapitalmarkt, Versicherungen), Risikoreduktion (markt- oder prozessorientierte Maßnahmen) oder Risikoakzeptanz sein. Das Risikomanagement muss einer regelmäßigen Berichterstattung unterliegen, deren Form individuell ausgestaltet werden kann. Neben ausführlichen Berichten in einem festgelegten Turnus kommen auch Ad-hoc-Meldungen in Betracht.
Gegenstand der Berichte sollten der Aufbau des Risikomanagementsystems, das Ergebnis der Risikoinventur und die Beschreibung des implementierten Überwachungssystems, das die Einhaltung der eingeleiteten Maßnahmen zur laufenden Erfassung, Steuerung und Kommunikation von Risiken gewährleistet, sein. In dieser Ausgestaltung ist das unternehmensweite Risikomanagement ein integraler Bestandteil aller Geschäftsprozesse – einschließlich der Planungs- und Überwachungsprozesse – jeder Organisation.
FAZIT
Der Prüfung des Risikomanagementsystems kommt eine besondere Bedeutung zu. Die Interne Revision ist neben anderen Funktionen in einer Organisation (u. a. Compliance, Risikomanagement und Controlling) Bestandteil des internen Überwachungssystems. Nach dem Three Lines Model des Institute of Internal Auditors (IIA) hat die Interne Revision in ihrer Rolle als Third Line neben der First Line (operatives Management) auch die Prozesse und Strukturen der Second Line (z. B. Compliance, Risikomanagement, Controlling, Qualitätsmanagement) in ihre Prüfungstätigkeiten einzubeziehen.
Aufgabe der Internen Revision ist es, die Funktionsfähigkeit des implementierten Risikomanagementsystems unter Einbeziehung aller zugehörigen Geschäftsprozesse zu beurteilen und auf diese Weise zu dessen sukzessiver Verbesserung beizutragen. Infolgedessen wird die Feststellung, ob ein Risikomanagementsystem angemessen und wirksam ist, i. d. R. anhand einer Beurteilung der Internen Revision getroffen.
Unsere Mandantenzeitschrift Curacontact bietet Ihnen quartalsweise Fachbeiträge zu spannenden und aktuellen Themen aus Ihrer Branche. Sie möchten die Curacontact abonnieren und kostenlos per Post erhalten? Jetzt abonnieren!