IV. Risikomanagement erfolgreich implementieren und weiterentwickeln

Die Effektivität des Risikomanagements hängt am Ende des Tages von einer Reihe unterschiedlichster Voraussetzungen ab. Der Implementierung voranzustellen ist die Festlegung risikopolitischer Grundsätze (Risikostrategie): Sie verkörpern Leitlinien, die Aufschluss über das Bekenntnis zu einem bewussten und kritischen Umgang mit betrieblichen und unternehmerischen Risiken geben. Sie sind zugleich Spiegel der betrieblichen Risikokultur und gelebter Wertorientierung zwischen Risiko und Kontrolle.

 

Mit Blick auf den institutionellen Rahmen stellen die Implementierung und Sicherstellung der Funktionsfähigkeit des Risikomanagements eine Aufgabe der obersten Leitungsorgane dar: Explizit weisen daher bspw. Bestimmungen des österreichischen Gesellschaftsrechts dem Vorstand bzw. der Geschäftsführung die Verantwortung dafür zu7. Aus der Perspektive eines betriebswirtschaftlichen Management-Verständnisses bedeutet dies, dass die normative und strategische Ausgestaltung des Risikomanagements jedenfalls unmittelbare Angelegenheit der obersten Organe ist; für operative Aufgaben hingegen wird sich – nach Maßgabe der jeweils vorliegenden Organisationsstruktur – eine Dezentralisierung empfehlen8.

 

Vor diesem Hintergrund ist das Risikomanagement durch entsprechende Zielsysteme einzurichten und an die jeweiligen Prozessebenen anzubinden: Vielfach wird es auf der Hand liegen, die Risikosteuerung mit bereits bestehenden Prozessen, insbesondere jenen des internen Kontrollsystems, zu koppeln und auf vorhandene Schnittstellen zurückzugreifen; in nahezu jedem Fall kann das Risikomanagement diesbezüglich an bereits institutionalisierte Prozesse und Managementstrukturen angebunden werden.

 

Dementsprechend ist im Rahmen der Implementierung besonderes Augenmerk zu legen auf die

  • risikopolitische Grundausrichtung (Risikostrategie),
  • methodische Ermittlung, Gruppierung und Dokumentation maßgeblicher Risiken,
  • methodische Risikoanalyse und -Bewertung,
  • Vorbereitung (Ziel,- Inhalts- und Ablaufdefinition des angestrebten Risikomanagements),
  • Mitarbeiterqualifikation,
  • Risikosteuerung,
  • Risikoüberwachung (Anwendungs- und Überwachungskontrollen) samt zugehöriger Berichterstattung sowie
  • regelmäßige Evaluierung und Anpassung an die Umfeld- und Rahmenbedingungen.