Risk-Management-Handbuch
Risikopolitische Grundsätze werden für ein Unternehmen in einem Risk-Management-Handbuch festgelegt. Den Entscheidungsträgern wird eindeutig Kompetenz und Verantwortung zugeordnet. Das Handbuch hat ferner zum Ziel, die Risk-Management-Strategie des Unternehmens allen Entscheidungsträgern und Mitarbeitern bekannt zu machen.
Nachfolgend ist eine mögliche Strukturierung eines Risk-Management-Handbuchs skizziert:
I. Vision und Ziele des Risikomanagementsystems
In diesem Abschnitt sollte kurz definiert werden, welche Ziele mit dem Risikomanagement-System verfolgt werden. Die primären Ziele des Risikomanagements könnten sein:
- Sicherung des künftigen Erfolgs des Unternehmens
- Sicherung der Unternehmensziele (leistungswirtschaftliche, finanzielle Ziele etc.)
- Nachhaltige Erhöhung des Unternehmenswertes
- Optimierung der Risiko-Kosten
- Soziale Ziele aus der gesellschaftlichen Verantwortung des Unternehmens
Werden eines oder mehrere dieser Ziele verfehlt, so ist ein Unternehmen möglicherweise in seiner Existenz gefährdet. Und hierbei gilt: Ohne die Unterstützung der Unternehmensleitung wird die Installation eines funktionierenden Risikomanagements nicht möglich sein. Daher ist bei der Festlegung der Risikomanagement-Ziele die Geschäftsleitung beziehungsweise der Vorstand die höchste Instanz.
II. Risikopolitische Grundsätze: Einstellung zum Risiko, Risikotragfähigkeit etc.
In diesem Abschnitt wird die allgemeine Risikopolitik des Unternehmens definiert. Hierzu gehören vor allem auch Aussagen zur Risikotragfähigkeit des Unternehmens.
III. Grundsätze für Risikoerkennung und Risikoanalyse sowie Risikokommunikation
Das operative Risikomanagement beinhaltet den Prozess der systematischen und laufenden Risiko-Analyse der Geschäftsabläufe. Ziel der Risiko-Identifikation ist die frühzeitige Erkennung von "den Fortbestand der Gesellschaft gefährdende Entwicklungen", das heißt die möglichst vollständige Erfassung aller Risiko-Quellen, Schadensursachen und Störpotenziale.
Für einen effizienten Risikomanagement-Prozess kommt es auch darauf an, dass das Risikomanagement als kontinuierlicher Prozess - im Sinne eines Regelkreises - in die Unternehmensprozesse integriert wird. Die Informationsbeschaffung ist die schwierigste Phase im gesamten Risikomanagement-Prozess und eine Schlüsselfunktion des Risikomanagements, da dieser Prozessschritt die Informationsbasis für die nachgelagerten Phasen liefert. Erforderlich ist eine systematische, prozessorientierte Vorgehensweise.
Die grundsätzliche Methodik sollte in diesem Abschnitt beschrieben werden.
IV. Begriffsdefinitionen (Risiko etc.)
Grundlage eines proaktiven und effizienten Risikomanagements ist eine transparente und verständliche Kommunikation. In der Praxis der Unternehmen und auch zwischen den Branchen kann man jedoch sehr häufig ein Kommunikationsdefizit beobachten. Unterschiedliche Gruppierungen reden entweder gar nicht miteinander oder aneinander vorbei.
Da oft keine gemeinsame Sprache (insbesondere zwischen den Branchen) und keine gemeinsame Kommunikationsebene (insbesondere in den Unternehmen) existiert, bleiben viele Potenziale zur Senkung der Risiken und damit zur Steigerung des Unternehmenswertes ungenutzt. In diesem Abschnitt werden daher Begriffe klar definiert und abgegrenzt.
V. Risikostruktur sowie Risikofaktoren und -kategorien
Bevor eine quantitative Messung oder qualitative Bewertung der Risiken durchgeführt werden kann, müssen die relevanten Risiko-Kategorien sauber abgegrenzt werden. Die Vielfalt der Risiko-Situationen in Banken, Versicherungen und Industrie- und Handelsunternehmen machen es schwierig, eine klare Strukturierung vorzunehmen. In der Vergangenheit wurde das Wissen über bestimmte Risiko-Kategorien vielfach in isolierten Expertenkreisen gesammelt. Durch die individuellen Ansichten, Praktiken und Termini werden die Kommunikation und das allgemeine Verständnis daher bis heute erschwert. So können eine ganze Vielzahl von Begriffspaaren gegenübergestellt werden: Einzelrisiken und Portfoliorisiken, Geschäftsrisiken und Finanzrisiken, interne und externe Risiken, strategische und operative Risiken, Erfolgsrisiken und Liquiditätsrisiken, versicherbare und nicht versicherbare Risiken etc. In diesem Abschnitt erfolgt eine klare Definition von relevanten Risikofaktoren und -kategorien.
VI. Definition der Aufbauorganisation, beispielsweise eines institutionalisierten Bereiches Risikomanagement
In diesem Abschnitt wird die Aufbauorganisation im Risikomanagement definiert.
VII. Dokumentation von Risikoverantwortlichen und Maßnahmen
Eine gute Dokumentation ist von zentraler Bedeutung für eine dauerhafte (auch personenunabhängige) Funktionsfähigkeit des Risikomanagements. Dies gilt insbesondere auch für die Verantwortlichkeiten im Risikomanagement sowie Risikosteuerungsmaßnahmen.
VIII. Definition der Methoden und Instrumente
In diesem Abschnitt werden die im Risikomanagement-Prozess verwendeten Methoden und Instrumente beschrieben (etwa Value at Risk, Cash flow at Risk, Risk-Management-Informationssysteme etc.)
IX. Definition des Risikomanagement-Prozesses
Für einen effizienten Risikomanagement-Prozess kommt es auch darauf an, dass Risikomanagement als kontinuierlicher Prozess - im Sinne eines Regelkreises - in die Unternehmensprozesse integriert wird. Daher werden in diesem Abschnitt die grundsätzlichen Prozessschritte des Risikomanagements beschrieben.
- Risikoidentifikation
- Risikobewertung
- Risikoaggregation
- Risikosteuerung und -überwachung
X. IT-Konzept für das Risikomanagement-System (RMS)
In diesem Abschnitt erfolgt eine Beschreibung eines eventuell implementierten Risikomanagement-Informationssystems.
XI. Zusammenstellung der wesentlichen integrierten Kontrollen sowie der Aufgaben der internen Revision
In diesem Abschnitt erfolgt eine Definition und Abgrenzung der internen Revision sowie der wesentlichen integrierten Kontrollprozesse.
XII. Geltungsbereich, Inkraftsetzung