Wer Produkt- und Marktchancen nutzen will, sieht sich immer einem Risiko ausgesetzt. Eine erfolgreiche Unternehmensführung geht Risiken nur dann ein, wenn sie wirtschaftlich und sozial vertretbar sind – das richtige Risikomanagement ist der Schlüssel zum Erfolg und wird auch von Geldgebern sowie Mitarbeitern eingefordert.
Doch eine Reduzierung auf die gesetzlichen Anforderungen nach § 91 Abs. 2 Aktiengesetz ist nicht ausreichend, denn das lediglich für Aktiengesellschaften vorgeschriebene Risikofrüherkennungssystem ist viel zu eng gefasst. Gerade mittelständische, inhabergeführte Unter-nehmen sind gefordert, ein integriertes Risiko- und Compliance-Management (Governance, Risk Management and Compliance – GRC) einzuführen und dauerhaft zu betreiben. Für den CFO kann dies die Basis sein, finanzielle Risiken optimal zu steuern.
Großprojekte als besondere Herausforderung für CFOs
Zwar sind bereits im Rahmen einer Strategieentwicklung und der Unternehmensplanung Chancen und Risiken mit einzubeziehen und durch Szenarioberechnungen zu berücksichtigen. Doch ein ganzheitliches Risiko- und Compliance-Management trägt noch stärker dazu bei, den Unternehmenswert zu steigern und zu sichern.
Dabei kann es für den CFO insbesondere bei Großprojekten und Investitionen kritisch werden: Oftmals zeigt sich das tatsächliche Ausmaß der auftretenden Probleme erst gegen Ende oder gar nach Abschluss des Vorhabens. Das Projektmanagement sollte daher mit dem unternehmensweiten Risikomanagement eng abgestimmt werden. Das Risikomanagement muss die Aufgabe übernehmen, Ursachen und Auslöser möglicher Planabweichungen bereits im Vorfeld zu identifizieren und zu analysieren. Nur so können rechtzeitig geeignete Maßnahmen entwickelt und bei Bedarf kann konkret gegengesteuert werden.
Compliance und Controlling müssen berücksichtigt werden
Der Prozess ist mit den Unternehmensbereichen Compliance und Controlling zu verzahnen, damit er sich als dauerhafter Prozess im Unternehmen etabliert und mit dem Internen Kontrollsystem (IKS) verknüpft werden kann.
In der Praxis erfolgt die Risiko-Erkennung häufig unterstützt mit Prüf- und Checklisten, Fragebögen oder Interviews, Dokumentenreview oder mit Hilfe von Risiko-Workshops. Die Einführung des Risikomanagementsystems kann sich an vier Schritten orientieren:
1. Datenerhebung
Unter Berücksichtigung branchentypischer Risiken und Compliancefelder sowie typischer Kontrollziele werden Prozesse und Maßnahmen sowie Chancen und Risiken systematisch erfasst.
2. Risikoanalyse
Berechnung des Risikoausmaßes (Exposure) bezogen auf Unternehmenseinheiten und Risikokategorien. Identifikation von „Zero-Toleranz“-Risiken.
3. Steuerung und Monitoring
Ermittlung des „Risikoappetits“ der Geschäftsführung bzw. der Gesellschafter und der Risikotragfähigkeit des Unternehmens. Es wird ermittelt, welche Auswirkungen Risiken auf verschiedenste Kostenpositionen und das Ergebnis haben können. Daraus wird gemeinsam mit der Unternehmensleitung die Risikostrategie festgelegt.
4. Operationalisierung
Abschließend wird die Aufbau- und Ablaufstruktur der GRC-Organisation definiert. Verantwortlichkeiten, Kompetenzen und Kommunikationswege werden strukturiert. Parallel hierzu erfolgt die auf das Unternehmen zugeschnittene IT-Implementierung. Sie soll die Prozesse unterstützen, aber nicht die Verantwortlichkeiten und Aufgaben des Managements ersetzen. Für ein GRC gibt es keine „steckerfertigen Lösungen“!
Das Gesamtergebnis dieses Projektes ist dann ein GRC-Handbuch, das die Prozesse des gelebten, effizienten und revisionssicheren GRC-Systems beschreibt – für den CFO kann das ein wertvoller Helfer sein.
