Zusammensetzung eines ERM
Prinzipiell besteht ein ERM aus folgenden Komponenten:
1. Einer Zuordnung von Verantwortlichkeiten in der Führung des Unternehmens sowie entsprechende Berichtsanforderungen zeitlicher und inhaltlicher Natur an die Geschäftsführung, bzw. an den Vorstand und Aufsichtsrat.
2. Einer umfassenden Analyse der Risiken, ihres Schadenspotentials, Eintrittswahrscheinlichkeit und, gegebenenfalls, ihrer Interdependenz im Unternehmen sowie die Sammlung dieser in einer Datenbank (Risikoinventar oder Risk Inventory and Assessment “RIA”).
3. Einer Gruppe von Regeln, die den Umgang des Unternehmens mit seinen Risiken definiert. Diese sollte auf Ebene von Geschäftsführung bzw. Vorstand und Aufsichtsrat mindestens
a. die Risikopolitik der Gesellschaft im Kontext ihrer Risikotragfähigkeit (“Risikoappetit”)
b. die Strategie im Umgang mit einzelnen Risiken (Akzeptieren, Vermindern, Vermeiden, Übertragen, Versichern)
c. Zuordnung der Risiko-Inhaberschaft, d. h. der individuellen Verantwortlichkeit für jedes spezifische Risiko umfassen.
Es versteht sich, dass das ERM bei Gruppen von Unternehmen jede Einheit umfassen soll und letztlich auf Konzernebene zusammen zu fassen ist.
