Ein Fahrplan: Praktische Vorgehensweise zum Etablieren des ERM
Das Umsetzen erfolgt dann in einer Reihe von Schritten. Es muss jedoch sichergestellt werden, dass das ERM kein einmaliger Akt ist, sondern ein ständiger Begleiter in der Praxis der Unternehmensführung. Das ERM muss gelebt, regelmäßig überdacht und aktualisiert werden.
1. Schritt: Ordnen Sie die Verantwortlichkeit für das ERM. Benennen Sie den für das Risikomanagement verantwortlichen Geschäftsführer oder Vorstand, den Chief Risk Officer (CRO). Dies kann z. B. gleichzeitig auch der Finanzvorstand (CFO) oder der Produktionsvorstand (COO) sein. Setzen Sie auch einen entsprechenden Stab für die tagtägliche Umsetzung und Dokumentation ein (dies müssen keine zusätzlichen Mitarbeiter sein, nur die Delegation auf entsprechende bestehende Mitarbeiter muss eindeutig sein, z. B. auf den/die Assistent/-in des CRO,).
2. Schritt: Um ein schnelles Resultat zu erzielen, erstellen Sie das Risikoinventar (RIA) in einen Top-Down Ansatz, d. h. durch die Geschäftsleitung/den Vorstand selbst, eventuell gemeinsam mit einem externen Berater. Dieses erste RIA muss in der Folge mit der Bottom-Up Methodik erweitert, ergänzt, verfeinert, aktualisiert und ggf. korrigiert werden. Stellen Sie die Vollständigkeit des RIA sicher. Eine der zusätzlichen Kernfunktionen des Bottom-Up Ansatzes ist es, die Akzeptanz auf Ebene der Mitarbeiter und den zwischengelagerten Führungsebenen sicher zu stellen.
3. Schritt: Benennen Sie den Inhaber des Risikos (“Risk Owner”). Dies ist nicht zwangsläufig der CRO, sondern derjenige, der das Eingehen und die Steuerung eines Risikos faktisch in der Hand hat. Dies kann zum Beispiel in Fragen der Unternehmensstrategie der CEO sein, in IT-Fragen der Leiter der IT-Abteilung oder in Fragen der Kontrolle eines unberechtigten Zugangs zu den Geschäftsräumen der Leiter des Innendienstes. Diese Person ist für die Kontrolle des spezifischen Risikos, seines Berichtswesens und der Umsetzung der definierten Risikopolitik des Unternehmens verantwortlich. Simultan beschließen Sie im Kreis der Geschäftsleitung unter Mitwirkung des Risikoinhabers die Risikopolitik des Unternehmens: individuell für jedes Risiko, und aggregiert für Risikogruppen und letztlich das aggregierte Gesamtrisiko des Unternehmens. Dies schließt auch ein, zu bestimmen, welche Maßnahmen zu ergreifen sind, falls ein Risiko eintritt (Notfallpläne) und wie dies gegebenenfalls zu kommunizieren ist (Krisenkommunikation).
4. Schritt: Sammeln Sie die gesamte Dokumentation (von der Organisationsanweisung zum ERM über das RIA bis hin zu Notfallplänen und Kommunikationsrichtlinien) in einer Datenbank oder einem Handbuch (dem Risikohandbuch oder “Risk Manual”), zu der alle Mitarbeiter des Unternehmens Zugang haben. Stellen Sie sicher, dass alle Mitarbeiter, besonders aber Abteilungs- und Bereichsleiter mit dem Risikohandbuch vertraut sind.
5. Schritt: Bestimmen Sie einen festen Zeitplan und ein Schema für die Risikoberichterstattung und benennen Sie die (operativ) Verantwortlichen für die Berichterstattung. Der CFO wird diese Berichterstattung auf Unternehmensebene aggregieren. Halten Sie die Berichterstattung in den Protokollen der Geschäftsleitungssitzungen (gegebenenfalls auch in der Berichterstattung an den Aufsichtsrat) fest.
6. Schritt: Berufen Sie halbjährlich eine Arbeitssitzung zum ERM ein, vorzugsweise ein Treffen pro Jahr auf Geschäftsleiterebene und eines pro Jahr auf operativer Ebene, um das ERM fortzuentwickeln und zu verbessern. Diese Arbeitssitzungen können auch als Basis für die unter IFRS obligatorische Risikoberichterstattung dienen. Wobei in der Startphase die Arbeitssitzungen – zwecks Feinjustierung / Optimierung – kurzfristiger erfolgen müssen.
Wichtig ist zu verinnerlichen, dass das ERM gelebt und ständig fortentwickelt werden muss. Es ist an geänderte Unternehmensstrategien, geänderte Umweltbedingungen und geänderte Verhältnisse im Unter
nehmen selbst anzupassen. Sicher wird auch der Moment eintreten, da Unternehmensgröße und Komplexität ein per Hand geführtes ERM impraktikabel macht und ein IT-gestütztes System erfordert.
