Seit einiger Zeit wird erneut unter dem Stichwort “Basel” die Situation der Kreditvergabe an und der Verfügbarkeit von Kapital für kleine und mittlere Unternehmen diskutiert. Wenngleich die Neuerungen von “Basel III” im Vergleich zur Vorgängerversion “Basel II” weniger für produzierende Unternehmen denn für die Finanzbranche relevant ist, so wird doch deutlich, dass gerade viele kleine und mittlere Unternehmen, die “KMUs”, in ihrem Management des Finanzwesen professioneller werden müssen.
Eine Kreditvergabe an Unternehmen basiert heute, aufgrund der Vorschriften bei Banken und Sparkassen, unweigerlich auf einem Rating. Ein wesentlicher Bestandteil dieses Ratings ist die Fähigkeit von Unternehmer und Management, das Geschäftsrisiko zu erkennen und zu steuern. Ein situationsangepasstes und unternehmensgrößenadäquates Unternehmensrisiko-Management-System, oder, wie in der überwiegend englischsprachigen Literatur, Enterprise Risk Management System (“ERM”), ist für den Ratingprozess unerlässlich, wenngleich auch nicht allein ausreichend. Ein weiterer Aspekt ist das Thema “Compliance”, also das Befolgen rechtlicher Vorschriften und Rahmenbedingungen im umfassenden Sinn. Hier kann mangelndes Risikomanagement zu einer unmittelbaren Existenzbedrohung für Unternehmen, Unternehmer und Führungskräfte werden. Beispiele für hohe Bußgelder, strafrechtliche Verfolgung und Verurteilung von Personen und Ausschluss von Märkten bietet die Presse derzeit zu Hauf.
Mittlerweile bietet die Industrie hierzu auch ausgefeilte IT-gestützte Systeme an. Diese sind von Umfang und Funktionalität typischerweise extensiv angelegt und für viele große Unternehmen und Konzerne die Lösung der Wahl. Für das typische KMU jedoch sind solche Systeme nicht nur in Anschaffung und Wartung, sondern auch im alltäglichen Handling zu umfangreich, zu teuer und zu (Personal-) ressourcenintensiv. Es gilt also, eine Lösung zu finden, welche die Ressourcen und Kapazitäten eines KMU nicht überstrapaziert:
1. Sie sollte einfach und schnell zu installieren sein,
2. sie sollte (Unternehmens-) umfassend und flexibel sein und
3. sie sollte als Basis für die Weiterentwicklung und eventuell spätere Installation eines IT gestützten Systems dienen können.
Im Folgenden versuchen wir, ein solches System, das den oben genannten Anforderungen gerecht wird, zu skizzieren. Nachdem sich unser Ansatz in einigen Bereichen auf die angelsächsische Literatur stützt, haben wir die gängigen englischen Bezeichnungen in Klammern beigefügt.
Zusammensetzung eines ERM
Prinzipiell besteht ein ERM aus folgenden Komponenten:
1. Einer Zuordnung von Verantwortlichkeiten in der Führung des Unternehmens sowie entsprechende Berichtsanforderungen zeitlicher und inhaltlicher Natur an die Geschäftsführung, bzw. an den Vorstand und Aufsichtsrat.
2. Einer umfassenden Analyse der Risiken, ihres Schadenspotentials, Eintrittswahrscheinlichkeit und, gegebenenfalls, ihrer Interdependenz im Unternehmen sowie die Sammlung dieser in einer Datenbank (Risikoinventar oder Risk Inventory and Assessment “RIA”).
3. Einer Gruppe von Regeln, die den Umgang des Unternehmens mit seinen Risiken definiert. Diese sollte auf Ebene von Geschäftsführung bzw. Vorstand und Aufsichtsrat mindestens
a. die Risikopolitik der Gesellschaft im Kontext ihrer Risikotragfähigkeit (“Risikoappetit”)
b. die Strategie im Umgang mit einzelnen Risiken (Akzeptieren, Vermindern, Vermeiden, Übertragen, Versichern)
c. Zuordnung der Risiko-Inhaberschaft, d. h. der individuellen Verantwortlichkeit für jedes spezifische Risiko umfassen.
Es versteht sich, dass das ERM bei Gruppen von Unternehmen jede Einheit umfassen soll und letztlich auf Konzernebene zusammen zu fassen ist.
Ein Fahrplan: Praktische Vorgehensweise zum Etablieren des ERM
Das Umsetzen erfolgt dann in einer Reihe von Schritten. Es muss jedoch sichergestellt werden, dass das ERM kein einmaliger Akt ist, sondern ein ständiger Begleiter in der Praxis der Unternehmensführung. Das ERM muss gelebt, regelmäßig überdacht und aktualisiert werden.
1. Schritt: Ordnen Sie die Verantwortlichkeit für das ERM. Benennen Sie den für das Risikomanagement verantwortlichen Geschäftsführer oder Vorstand, den Chief Risk Officer (CRO). Dies kann z. B. gleichzeitig auch der Finanzvorstand (CFO) oder der Produktionsvorstand (COO) sein. Setzen Sie auch einen entsprechenden Stab für die tagtägliche Umsetzung und Dokumentation ein (dies müssen keine zusätzlichen Mitarbeiter sein, nur die Delegation auf entsprechende bestehende Mitarbeiter muss eindeutig sein, z. B. auf den/die Assistent/-in des CRO,).
2. Schritt: Um ein schnelles Resultat zu erzielen, erstellen Sie das Risikoinventar (RIA) in einen Top-Down Ansatz, d. h. durch die Geschäftsleitung/den Vorstand selbst, eventuell gemeinsam mit einem externen Berater. Dieses erste RIA muss in der Folge mit der Bottom-Up Methodik erweitert, ergänzt, verfeinert, aktualisiert und ggf. korrigiert werden. Stellen Sie die Vollständigkeit des RIA sicher. Eine der zusätzlichen Kernfunktionen des Bottom-Up Ansatzes ist es, die Akzeptanz auf Ebene der Mitarbeiter und den zwischengelagerten Führungsebenen sicher zu stellen.
3. Schritt: Benennen Sie den Inhaber des Risikos (“Risk Owner”). Dies ist nicht zwangsläufig der CRO, sondern derjenige, der das Eingehen und die Steuerung eines Risikos faktisch in der Hand hat. Dies kann zum Beispiel in Fragen der Unternehmensstrategie der CEO sein, in IT-Fragen der Leiter der IT-Abteilung oder in Fragen der Kontrolle eines unberechtigten Zugangs zu den Geschäftsräumen der Leiter des Innendienstes. Diese Person ist für die Kontrolle des spezifischen Risikos, seines Berichtswesens und der Umsetzung der definierten Risikopolitik des Unternehmens verantwortlich. Simultan beschließen Sie im Kreis der Geschäftsleitung unter Mitwirkung des Risikoinhabers die Risikopolitik des Unternehmens: individuell für jedes Risiko, und aggregiert für Risikogruppen und letztlich das aggregierte Gesamtrisiko des Unternehmens. Dies schließt auch ein, zu bestimmen, welche Maßnahmen zu ergreifen sind, falls ein Risiko eintritt (Notfallpläne) und wie dies gegebenenfalls zu kommunizieren ist (Krisenkommunikation).
4. Schritt: Sammeln Sie die gesamte Dokumentation (von der Organisationsanweisung zum ERM über das RIA bis hin zu Notfallplänen und Kommunikationsrichtlinien) in einer Datenbank oder einem Handbuch (dem Risikohandbuch oder “Risk Manual”), zu der alle Mitarbeiter des Unternehmens Zugang haben. Stellen Sie sicher, dass alle Mitarbeiter, besonders aber Abteilungs- und Bereichsleiter mit dem Risikohandbuch vertraut sind.
5. Schritt: Bestimmen Sie einen festen Zeitplan und ein Schema für die Risikoberichterstattung und benennen Sie die (operativ) Verantwortlichen für die Berichterstattung. Der CFO wird diese Berichterstattung auf Unternehmensebene aggregieren. Halten Sie die Berichterstattung in den Protokollen der Geschäftsleitungssitzungen (gegebenenfalls auch in der Berichterstattung an den Aufsichtsrat) fest.
6. Schritt: Berufen Sie halbjährlich eine Arbeitssitzung zum ERM ein, vorzugsweise ein Treffen pro Jahr auf Geschäftsleiterebene und eines pro Jahr auf operativer Ebene, um das ERM fortzuentwickeln und zu verbessern. Diese Arbeitssitzungen können auch als Basis für die unter IFRS obligatorische Risikoberichterstattung dienen. Wobei in der Startphase die Arbeitssitzungen – zwecks Feinjustierung / Optimierung – kurzfristiger erfolgen müssen.
Wichtig ist zu verinnerlichen, dass das ERM gelebt und ständig fortentwickelt werden muss. Es ist an geänderte Unternehmensstrategien, geänderte Umweltbedingungen und geänderte Verhältnisse im Unter
nehmen selbst anzupassen. Sicher wird auch der Moment eintreten, da Unternehmensgröße und Komplexität ein per Hand geführtes ERM impraktikabel macht und ein IT-gestütztes System erfordert.
Fazit:
Ein funktionierendes ERM ist bei den zunehmenden Anforderungen durch die Finanzwirtschaft ein zwingendes Muss für Unternehmen, die sich in Wachstumsphasen oder in wirtschaftlich schwierigen Situationen mit Fremd- oder Eigenkapital besser positionieren wollen. Hierbei ist es unerheblich, ob eine gesetzliche Regelung für das Vorhandensein eines ERM besteht. Jeder Unternehmer und/oder Geschäftsführer sollte sich im eigenen Haftungsinteresse über die Risiken, die sein Unternehmen bedrohen, im Klaren sein. Hierzu zählen nicht nur unternehmerische Risiken sondern auch solche, die aus Korruption und Wirtschaftskriminalität erwachsen können. Ein von allen Führungskräften und Mitarbeitern gelebtes System ist die beste Voraussetzung für eine effektive Unternehmensführung und -steuerung. Gleichzeitig bietet unser Ansatz ein ERM, das zukunftsfähig ist und mit den wachsenden Anforderungen des Unternehmens weiterentwickelt werden kann, bis hin zur Migration auf ein IT-gestütztes System.