Risikomanagement in der Krise

Complianceforum.de im Gespräch mit Alexandra Hahn, Leitung Markting und Vertrieb, Astrum IT, Werner Schmid, Leiter Produktentwicklung RISKIT, Astrum IT GmbH, Erlangen und Peter Lühr, Autor und Experte für Compliance und Risikomanagement, Geschäftsführender Gesellschafter, ascopert GmbH, Rendsburg

complianceforum.de:
Sehr geehrter Herr Lühr, wo besteht der Zusammenhang zwischen Compliance und Risikomanagement? Für große Unternehmen, wie DAX-Konzerne, ist Risikomanagement eine Selbstverständlichkeit. Aber braucht ein Unternehmen mit 100 oder 500 Mitarbeitern ein Risikomanagement? Wenn ein Unternehmen überschaubar ist, wird die Geschäftsführung die Risiken doch kennen, oder?

Peter Lühr:
Bewerten von Risiken ist der Grundbaustein aller Entscheidungen, privat ebenso wie unternehmerisch oder auch politisch. Man tut es ständig und täglich. Ab einem gewissen Komplexitätsgrad organisiert man es und nennt es dann Management, was nichts anderes bedeutet als die Organisation im Rahmen einer Führungsaufgabe. Ein Unternehmen mit 100 bis 500 MA ist keinesfalls zwangsläufig leicht überschaubar. Das gilt insbesondere dann nicht, wenn es lange Wertschöpfungsketten gibt, die bespw. die Entwicklung, und die Produktion umfassen. Und Risikomanagement bedeutet ja nicht nur, Risiken zu erkennen, wenn es schon beginnt weh zu tun. Viel wichtiger ist eine fachbereichsorientierte Früherkennung nach einheitlichen Bewertungsgesichtspunkten, die verbindlich über eine Entscheidungsvorlage und eine kompetenzorientierte Maßnahmenentscheidung in die Maßnahmenkontrolle (Wirksamkeit) mündet. Das kann man nicht im Tagesplaner mitplotten. Das muss man unternehmensübergreifend organisieren. Und wirklich gutes Risikomanagement erfordert die Bereitschaft zu hoher Transparenz auf allen beteiligten Ebenen. Das betrifft das Erkennen und Bewerten ebenso wie die jeweilige Maßnahmenplanung und -entscheidung. Daher setzt ein gutes Risikomanagement ein beschriebenes und kommuniziertes Verfahren voraus, das idealerweise zur Dokumentation der Vorgänge von einer unterstützenden Software begleitet wird.

complianceforum.de:
Wie läuft die Implementierung eines Risikomanagements in der Regel ab?

Peter Lühr:
Erst werden die Strukturen geschaffen. Alle Beteiligten müssen wissen und akzeptieren, welche Bedeutung RM für das Unternehmen und den eigenen Arbeitsplatz hat. RM und kleinkariertes Bereichsdenken passen nicht zusammen. Es werden die Verantwortlichkeiten ebenso definiert, wie einheitliche Bewertungsansätze. Was ist denn nun eigentlich ein großes Risiko? Überlässt man das der Risikoeinschätzung eines jeden Einzelnen? Das wäre gewagt, denn dann hinge die Bewertung von persönlichem Mut, persönlichem Verantwortungsgefühl oder dem jeweiligen Einkommen ab, oder schlimmer noch: von der Angst um den Arbeitsplatz oder die Karriere. Sind Prüf- und Berichtsintervalle definiert und bestimmte Aspekte möglicherweise verbindlich zur Prüfung vorgegeben? Oder überlässt man das der Phantasie, der verfügbaren Arbeitszeit und/oder Erfahrung der jeweiligen Mitarbeiter? Letzteres erscheint in seiner Unverbindlichkeit gewagt. Wie sind die Kommunikations- und Entscheidungsprozesse und können Themen außerhalb der vielgeliebten Hierarchie eskaliert werden? All das schreit förmlich nach einem unternehmensweiten Verfahren zur Implementierung, das durchdefiniert und vereinbart ist und das regelmäßig angepasst und geschult wird. Risikomanagement schafft die zentralen Handlungsprämissen, die unternehmerisches Handeln, aber auch unser aller Leben permanent bestimmen. Gutes Risikomanagement ist ein Ausdruck hoher Professionalität.

Alexandra Hahn:
Und wie wird Ihr Risikomanagementsystem eingeführt, Herr Schmid?

Werner Schmidt:
Häufig finden wir bereits einfache Risikomanagement-Lösungen vor, die abgelöst werden sollen oder es findet ein interner Kunden-Workshop statt, in dem die verantwortlichen Risikomanager gemeinsam mit der Geschäftsführung eine zur Geschäftsstrategie passende Risikostrategie erarbeiten. Die identifizierten zentralen Risiken werden dann in RISKIT, unserem ganzheitlichen Chancen – und Risikomanagementsystem eingepflegt. Unsere Kunden können zwischen einem quantitativen oder qualitativen Verfahren zur Risikobewertung wählen. Ein einfacher Aufruf über das Intranet und ein ausgeklügeltes Rollen- und Rechtesystem gewährleisten einen klaren und nachvollziehbaren Zugriff auf das Risikomanagementsystem. Das gilt sowohl für die Risikobewertung als auch für die Maßnahmenumsetzung. Dies ist ein deutlicher Vorteil zu einer excelbasierten Lösung.
 
complianceforum.de:
In der aktuellen Krise brechen den Unternehmen Umsätze und Gewinn weg. Einige Firmen stehen kurz vor der Insolvenz. Warum sollte ausgerechnet jetzt ein Risikomanagement installiert werden?

Werner Schmid:
Dem Risikomanagement kommt nicht erst seit der weltweiten Finanzkrise eine immer größere Bedeutung zu. Die Finanzkrise zeigt eher nur, was passiert, wenn Risiken ignoriert oder gar nicht erst bewertet werden. Transparenz, wie sie ein funktionierendes Risikomanagementsystem fordert, war nicht vorhanden. Für viele war dies Anlass, die Umsetzung vorhandener Regelungen, wie sie z.B. die BaFin mit MaRisk fordert, wieder genauer unter die Lupe zu nehmen.

Das Gespräch für complianceforum.de führte Christian Koch.