n = 24 33 % (8) 21 % (5) 46 % (11) 46 % (5) 36 % (4) 18 % (2) Personalunion CRM als 1 FTE RM-Abteilung/ -Funktion mit > 1 FTE >1 bis 10 FTE > 10 FTE ohne Angabe zu FTEohne Angabe zu FTE Abb. 1: Personelle Ausstattung der zentralen Risikomanagement-Funktion im DAX 30 (entnommen aus Diederichs et al., 2011, S. 1462) Der Risikomanager Aufgaben, Anforderungen, Kompetenzen Marc Diederichs Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Stichwörter  Aufgaben und Kompetenzen des Risikomanagers  Risikomanagement  Risikomanager  Risikomanagement-Richtlinie  Stellenanforderungen Viele Unternehmen betreiben ein unternehmensweites Risikomanagement. Hierzu benötigen sie eine Stelle, die sie bei den einhergehenden Aufgaben unterstützt. Im Beitrag wird gezeigt, wie der zentrale Risikomanager in einem Industrieunternehmen die Geschäftsführung unterstützen kann, welche Kompetenzen die Position haben muss und welche Qualifikation und Anforderungen an die Person zu stellen sind. ........................................................ 1. Einleitung ........................................................ Zahlreiche Unternehmen betreiben mittlerweile aktiv ein unternehmensweites Risikomanagement. Neben dem eigentlichen Management der Risiken, das gewöhnlich in der „Linie“ und selbstverständlich auch auf Geschäftsführungsebene vollzogen wird, benötigen sie eine koordinierende Stelle, die sie bei ihren vielfältigen Risikomanagement-Aufgaben begleitet und unterstützt. Dies gilt insbesondere je größer ein Unternehmen ist und meist unabhängig davon, wie sie ihr Risikomanagement- System im Detail gestalten. Blickt man auf den DAX30, werden die Aufgaben in Abhängigkeit von Größe, Branche und Struktur in 8 Unternehmen in Personalunion (wie zum Beispiel durch das Controlling), in fünf Unternehmen durch eine Person und in 11 Unternehmen durch eine Risikomanagement-Abteilung mit mehreren Mitarbeitern wahrgenommen (vgl. Abb. 1, hierzu ausführlich Diederichs et al., 2011, S. 1462). In den folgenden Ausführungen wird – stellvertretend für alle drei Optionen – von „dem Risikomanager“ gesprochen. Im vorliegenden Beitrag wird gezeigt, 4 CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Gegenstand und Geltungsbereich der Risikomanagement-Richtlinie (1) Risikomanagement-Grundlagen • Ziele und Aufgaben des Risikomanagements • Risikodefinition • Risikokategorien und Risikofelder des Unternehmens • Risikostrategie und risikopolitische Grundsätze • optional: Rechtlicher Hintergrund - Anforderungen des Gesetzgebers, DCGK und Wirtschaftsprüfers (2) Risikomanagement-Organisation - Rollen und Verantwortlichkeiten • Vorstand und Aufsichtsrat • Risikomanager und Risikoausschuss (inklusive Geschäftsordnung) • Interne Revision • Unternehmensfunktionen/Tochtergesellschaften • Abschlussprüfer (inklusive Revisionsprozess) (3) Risikoberichterstattung und Risikokommunikation • Erläuterungen zum Aufbau und Ablauf der Risikoberichterstattung • Beschreibung von Meldegrenzen (inklusive ad hoc-Berichterstattung) • Hilfestellungen zur Risikoerkennung und Risikobeurteilung (Checklisten, Instrumente) • Berichtsformulare zur Risikoerfassung einschließlich einer Ausfüllhilfe mit Musterbeispielen • Berichtsmuster von Vorstands- und Aufsichtsratsbericht Abb. 2: Beispielhafte Struktur einer Risikomanagement-Richtlinie (entnommen aus Diederichs et al., 2004, S. 197) welche originären Aufgaben und damit einhergehenden Kompetenzen die Position innehaben sollte und welche Qualifikation und Anforderungen an den Risikomanager zu stellen sind. Die Ausführungen beziehen sich dabei auf „Nicht-Banken“. Kreditinstitute und Versicherungen unterliegen weitergehenden Regularien, die an dieser Stelle nicht weiter betrachtet werden. ........................................................ 2. Aufgaben des Risikomanagers ........................................................ Je nach Größe, Branche sowie Struktur und der Art und Weise, wie ein Unternehmen geführt und überwacht wird, können die Aufgaben und Kompetenzen des Risikomanagers stark variieren. Gleichwohl lassen sich allgemeingültige Schwerpunkte in den Grundzügen aufzeigen. Risikomanagement-System und Risikomanagement-Richtlinie Die primäre Aufgabe des Risikomanagers sollte darin bestehen, im Auftrag der Geschäftsführung für das Vorhandensein, die Eignung und die unternehmensweite Funktionsfähigkeit des Risikomanagement-Systems zu sorgen. Das System muss geeignet sein, alle Risiken zu erkennen, die den Fortbestand des Unternehmens gefährden können (vgl. zu den Grundlagen des Risikomanagements und Risikocontrollings Diederichs, 2012). Wichtig ist, dass das System über alle Hierarchieebenen hinweg im Tagesgeschäft gelebt wird und damit die ganze Organisation durchdringt. Zudem ist der Risikomanager in Abstimmung mit der Geschäftsleitung verantwortlich für die Erstellung und Weiterentwicklung einer geeigneten Risikomanagement-Richtlinie (vgl. Abb. 2). Im Sinne einer Systemdokumentation sollte sie alle aufbau- und ablauforganisatorischen Elemente des Risikomanagements beinhalten. Der Risikomanager hat dafür zu sorgen, dass die Richtlinie eingehalten wird. Damit unterstützt er die Sicherstellung der Compliance in diesem Bereich. Die Risikomanagement-Richtlinie bildet auch die Grundlage für die Prüfung durch den Abschlussprüfer und die interne Revision. Daneben kann der Risikomanager – je nach Stellenbeschreibung und Kapazität – auch selbst detaillierte Prüfungen im Auftrag der Geschäftsführung durchführen, ob die wesentlichen Maßnahmen zur Risikobewältigung in der Organisation umgesetzt werden. Hierzu sollte er sich mit der internen Revision abstimmen, um Doppelarbeiten zu vermeiden. Auch eine gemeinsame Prüfungsaktivität ist in diesem Rahmen möglich. Zudem kann der Risikomanager nach seinen Prüfhandlungen das Unternehmen unterstützen, die Maßnahmen und Instrumente zur Risikobewältigung zu verbessern oder Lücken zu schließen. Bei den oben genannten Punkten gilt es – sofern für das jeweilige Unternehmen relevant – sowohl die gesetzlichen Anforderungen zu erfüllen (wie z. B. § 91 Abs. 2 AktG) als auch den Anforderungen des Abschlussprüfers gerecht zu werden (IDW PS 340), auf die später noch näher eingegangen wird. Zudem sollten auch die Prüfpunkte des IIR Revisionsstandard Nr. 2 berücksichtigt werden. Außerdem sollte der Risikomanager die Gesetzgebung, Rechtsprechung und herrschende Meinung zum Thema Risikomanagement und Risikocontrolling beobachten. Bei Bedarf ist die Aufbau- und Ablauforganisation des Unternehmens dem jeweiligen State-of-the-Art anzupassen. Hierbei – und selbstverständlich auch bei weiteren Fragestellungen mit Bezug zum Risikomanagement und Risikocontrolling – sollte der Risikomanager die Organisation beraten und unterstützen. Er sollte sich mit den verantwortlichen Personen der Fachfunktionen und operativen Einheiten (wie zum Beispiel den Strategischen Geschäftseinheiten und legalen Einheiten) vor Ort eng abstimmen, wie sich neue Anforderungen sinnvoll und praktikabel umsetzen lassen. So können „Linie“ und Risikomanager gemeinsam Methoden und Instrumente entwickeln, die passgenau sind und fortfolgend auch zur Anwendung kommen. Wichtig ist, dass der Risikomanager die Lösungen mit der Organisation gemeinsam entwickelt und so der Gefahr vorbeugt, die Organisation gedanklich und inhaltlich abzuhängen. Der Risikomanager trägt damit zur Akzeptanz und Qualität des Risikomanagements im Unternehmen wesentlich bei. Dadurch wird deutlich, dass der Risikomanager in der Organisation eine koordinierende Rolle einnimmt, die Schnittstellen zu nahezu allen Bereichen hat. Risikokultur und Risikobewusstsein Der Risikomanager sollte die Geschäftsführung mit seinem Wirken unterstüt- Der Risikomanager 5 25. Jahrgang 2013, Heft 1 Risiko & Risikoeigner Risikobeschreibung Risiko […]… Risikofeld … Risikoeigner … Wesentliche risikosteuernde Maßnahmen Implementierte Maßnahmen & Instrumente Verantwortlichkeit … … … … … … … … … … … … Verantwortlicher Bereich … Wirksamkeit der eingesetzten Maßnahmen & Instrumente Bewertung des Risikoeigners […] Verbesserungsmöglichkeiten • […] • […] • […] […] Legende E: Potenzieller EBIT-Effekt W: Wahrscheinlichkeit brutto: Potenzieller EBIT-Effekt ohne Berücksichtigung der eingesetzten risikosteuernden Maßnahmen netto: Potenzieller EBIT-Effekt unter Berücksichtigung der eingesetzten risikosteuernden Maßnahmen W E brutto netto < 10 10-50 50-90 > 90 1-10 10-25 25-150 >150 <10 10-50 50-90 >90 >150 25-150 10-25 1-10 W Risikobeurteilung Geplante risikosteuernde Maßnahmen Abb. 3: Risikoerfassungsbogen (in Anlehnung an Diederichs, 2012, S. 172) zen, das Risikobewusstsein und die Risikokultur im Unternehmen zu stärken. Damit forciert er die Akzeptanz für das Thema Risikomanagement. Nur so lässt sich sicherstellen, dass das Risikomanagement in dem von der Unternehmensführung gewünschten Rahmen verstanden, sinnvoll gelebt und die Risikomanagement-Richtlinie eingehalten wird. Dies gelingt beispielsweise durch Informationsprogramme, Schulungs- und Fortbildungsmaßnahmen sowie Workshops. Außerdem kann man auch durch regelmäßige Tagungen und Kongresse die Akzeptanz steigern und aktuelle Themen diskutieren. Der Risikomanager sollte dabei anhand einfacher praxisorientierter Beispiele oder anhand einer Erfolgsstory aus der Vergangenheit (oder aus anderen Unternehmen) immer wieder verdeutlichen, dass das Risikomanagement einen Mehrwert für das Unternehmen schafft. Sollte das Unternehmen über ein Intranet verfügen, kann der Risikomanager es neben den eingangs erwähnten Maßnahmen zielgerichtet nutzen. So lässt es sich zum Beispiel einsetzen, um Werbung für das Risikomanagement zu machen: Der Risikomanager kann Ankündigungen, Neuerungen oder sonstige aktuelle Themen prominent adressieren. Es können relevante Beiträge aus Presse und Wissenschaft oder Links zu interessanten Seiten im Internet zugänglich gemacht werden. So kann der Risikomanager das Risikomanagement auch über diese Plattform immer wieder in das Gedächtnis der Organisation rufen. Es sei darauf hingewiesen, dass die beispielhaft genannten akzeptanzfördernden Maßnahmen nur gelingen, wenn eine uneingeschränkte Rückendeckung des Risikomanagers durch die Geschäftsführung gegeben ist und ein entsprechender Tonefrom-the-Top vorgelebt wird. Risikomanagement darf also nicht nur als („lästige“) gesetzliche Pflicht gesehen werden. Anderenfalls sind die Möglichkeiten des Risikomanagers stark eingeschränkt. Letztlich misst sich die Leistungsfähigkeit des Risikomanagements an der Haltung der Geschäftsführung zu diesem Thema (vgl. Diederichs, 2012, S. 211 f.). Risikoberichterstattung, Risk Surveys und Lageberichterstattung Der Risikomanager ist verantwortlich für den Prozess der Risikoberichterstattung. Er hat dafür zu sorgen, dass die definierten Berichtssender (wie zum Beispiel Stabsfunktionen und operativen Einheiten) ihren Berichtspflichten nachkommen und die Risiken entsprechend der Risikomanagement-Richtlinie melden (beispielsweise anhand von Risikoerfassungsbögen auf MS-Excel- oder MS- Power Point-Basis; vgl. Abb. 3). 6 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG 12 3 4 5 6 Nr. Risiken*) Delta zu t-1 1 Kapitalverfügbarkeit 2 Verfügbarkeit talentierter Nachwuchskräfte 3 Zunehmende Staatseingriffe in die Märkte 4 Preisdruck in saturierten Märkten 5 Versorgungssicherheit (Rohstoffknappheit) 6 Wettbewerb mit neuen Technologien *) Betrachtungshorizont: 5 Jahre Risikosituation hat sich verbessert Risikosituation hat sich verschlechtert Risikosituation ist unverändert Risiko hat eher einen kleinen Einfluss Risiko hat eher einen großen Einfluss Abb. 4: Risikobericht: Abbildung strategischer Risiken (in Anlehnung an Diederichs, 2012, S. 173) Der Risikomanager hat die gemeldeten Risiken zu analysieren, adressatengerecht aufzubereiten und anhand von Berichten in anschaulicher Art und Weise an die Entscheidungsträger zu kommunizieren. So sollte er zum Beispiel einen komprimierten und kommentierten Risikobericht für die Geschäftsführung erstellen, der alle wesentlichen Risiken enthält (vgl. beispielhaft Abb. 4). Zudem können Risikobeurteilungen und die eingesetzten Risikosteuerungsmaßnahmen Eingang finden. Außerdem kann er den Bericht um eine Management Summary und eine eigene Einschätzung ergänzen. Durch seine Verantwortung, den Prozess der Risikoberichterstattung aufrechtzuerhalten und die Entscheidungsträger adäquat zu informieren, bewegt sich der Risikomanager als zentraler Ansprechpartner an der Schnittstelle zwischen Geschäftsführung (bzw. Vorstand), den Fachabteilungen/ Stabsfunktionen, den operativen Einheiten sowie der internen Revision und dem Wirtschaftsprüfer. Außerdem kann der Risikomanager au- ßerhalb der regulären Risikoberichterstattungszyklen turnusmäßig interne Meinungsumfragen – zum Beispiel anhand von Fragebögen mit geschlossenen und offenen Fragen – im Sinne eines Risikofrühwarnsystems durchführen. Durch einen Risk Survey, der so anwenderfreundlich und einfach wie möglich sein sollte (wie zum Beipiel durch eine schnelle Bearbeitungszeit), lässt sich ein internes Stimmungsbild zum Beispiel hinsichtlich der  Änderungen des Verbraucherverhaltens,  Konkurrenz,  Entwicklung der Märkte und  Risiken in den unterschiedlichen Risikokategorien erheben. Der Risikomanager sollte die Ergebnisse mit dem Controlling und dem Management teilen und gegen ursprüngliche Einschätzungen, Ergebnisse vergangener Umfragen sowie externen Erwartungen von Verbänden oder sonstigen Organisationen spiegeln. Außerdem sollte er die Teilnehmer über die Ergebnisse informieren. Bei Bedarf – wie zum Beispiel bei signifikanten Änderungen zur Vorperiode – sollte der Risikomanager zudem Kontakt mit den Befragten aufnehmen, um mehr über die Gründe deren Einschätzungen zu erfahren. Ist das Unternehmen zur Veröffentlichung eines Risikoberichts im Lagebericht und im Rahmen der Quartalsberichterstattung verpflichtet, sollte der Risikomanager auf Basis der im Rahmen der Risikoberichterstattung erhobenen Informationen diese Berichte anfertigen. Hierzu hat er sich mit den Verantwortlichen der entsprechenden Linieninstanzen oder den anderen operativen Organisationseinheiten sowie der Geschäftsführung und dem Abschlussprüfer abzustimmen. Er gewährleistet, dass der Risikobericht den gesetzlichen Anforderungen entspricht und das Risikomanagement-System und die wesentlichen Risiken angemessen dargestellt werden. Vollständigkeitshalber sei erwähnt, dass der Risikomanager die Risikomeldungen, Berichte, Protokolle etc. archiviert. Interne Revision und Abschlussprüfer Wird das Risikomanagement durch den Abschlussprüfer geprüft, sollte der Risikomanager das Unternehmen gegenüber dem Abschlussprüfer vertreten. Er kann den Prüfer bei der Planung und Durchführung der jährlichen Prüfung des Risikofrüherkennungs- und Überwachungssystems nach § 317 Abs. 4 HGB i.V.m. § 91 Abs. 2 AktG begleiten. So kann der Risikomanager dem Prüfer zu Beginn seiner Prüfung ein umfassendes Bild Der Risikomanager 7 25. Jahrgang 2013, Heft 1 über das installierte System verschaffen und ihn über die Risiken in Kenntnis setzen. Handelt es sich um eine wiederholte Prüfungshandlung, sind vor allem die Veränderungen zum Vorjahr von Interesse. In einem weiteren Schritt kann der Risikomanager den Abschlussprüfer bei seinen Einzelfallprüfungen in Form von Stichprobentests, wie zum Beispiel den Gesprächen mit der Geschäftsleitung und dem Top-Management sowie bei Betriebsbesichtigungen und Vor-Ort-Prüfungen, begleiten. Da der Abschlussprüfer prüft, ob  die wesentlichen Risiken identifiziert worden sind,  die Bewertung der identifizierten Risiken intersubjektiv nachvollziehbar ist,  die relevanten Risikoinformationen frühzeitig an die jeweiligen Entscheidungsträger kommuniziert werden,  durch das Unternehmen eine angemessene Überwachung des Risikofrüherkennungsprozesses stattfindet und  die somit eingerichteten Maßnahmen zur Risikofrüherkennung tatsächlich funktionsfähig sind, kontinuierlich angewendet werden und die Elemente des Risikofrüherkennungsprozesses tatsächlich „gelebt“ werden, sind die Erkenntnisse der unabhängigen externen Prüfung auch für den zentralen Risikomanager von Bedeutung. Sie helfen ihm bei der Ausführung seiner Funktion. Abschließend sollte der Risikomanager das Prüfungsergebnis in Abstimmung mit der Geschäftsführung und den verantwortlichen Mitarbeitern der geprüften Bereiche gegenüber dem Abschlussprüfer abnehmen. Da sich der Prüfauftrag der internen Revision zur Prüfung des Risikomanagements meist auf die unabhängige Überprüfung der Angemessenheit und Wirksamkeit des Risikomanagements im Hinblick auf die unternehmerische Risikobewältigung, einschließlich der Prüfung der entsprechenden Organisation, Prozesse und Infrastruktur, bezieht – und damit dem Prüfauftrag des Abschlussprüfers ähnelt –, gelten die Ausführungen analog. Allerdings sei darauf hingewiesen, dass sich nur die interne Revision mit der Wirksamkeit der risikosteuernden Maßnahmen auseinandersetzt (vgl. weiterführend Freidank/Peemöller, 2007). Das stellt einen wesentlichen Unterschied zur Prüfung durch den Abschlussprüfer dar, da dieser „nur“ eine Systemprüfung und keine Managementprüfung vornimmt, d. h. das System auf Vorhandensein, Eignung und Funktionsfähigkeit prüft (vgl. Diederichs, 2012, S. 36), es sei denn, der Prüfungsauftrag des Abschlussprüfers wurde vertraglich erweitert. Risikoausschuss Sollte ein Unternehmen einen Risikoausschuss (auch häufig als Risikokomitee oder Risk Board bezeichnet) installiert haben, sollte der Risikomanager dieses Gremium als festes Mitglied organisieren und koordinieren – zumindest aber festes Mitglied dieses Kreises sein. Da derartige Gremien meist  die wesentlichen Risiken aus Gesamtunternehmensperspektive analysieren und bestehende Bewältigungsmaßnahmen hinterfragen,  Entscheidungen der Geschäftsführung aus Risikomanagement-Perspektive analysieren und diesbezüglich Empfehlungen aussprechen sowie  überwachen, ob Beschlüsse und Limits eingehalten werden, erhält der Risikomanager durch seine Beteiligung auf der einen Seite wichtige Informationen, die er im Rahmen seiner Funktion benötigt, und kann auf der anderen Seite wichtige Informationen in dieses Gremium einbringen. Durch die geschaffene Transparenz unterstützt der Risikomanager, dass Entscheidungen unter Berücksichtigung der berichteten Risiken erfolgen. Der Risikomanager unterstützt die Geschäftsführung damit unmittelbar bei der Formulierung der Risikomanagement-Strategie. Aufsichtsrat (Audit Committee) Sollte das Unternehmen einen Aufsichtsrat haben, der sich nach § 107 Abs. 3 AktG u. a. mit der Überwachung des Risikomanagementsystems auseinanderzusetzen hat, kann der Risikomanager im Auftrag des Vorstands entsprechend der Geschäftsordnung turnusmäßig über die wesentlichen Risiken sowie die risikosteuernden Maßnahmen in diesem Gremium berichten. So erhält der Aufsichtsrat (oder bei einer entsprechenden Delegation das Audit Committee) – neben den Ergebnissen, die der Abschlussprüfer im Rahmen seiner Prüfung feststellt (§§ 91 Abs. 2, 317 Abs. 4 HGB i.V.m. IDW PS 340; vgl. Diederichs, 2012, S. 23 ff.) und den Erkenntnissen der internen Revision – wichtige Informationen zur Erfüllung seines Prüfauftrages. So kann sich das Überwachungsgremium ein umfassendes Bild über die Risikosituation und die eingeleiteten Maßnahmen zur Bewältigung (materieller Aspekt) sowie das etablierte Risikomanagement-System (formeller Aspekt) verschaffen (vgl. Diederichs/Kißler, 2008, S. 100 ff.). Die Ausführungen können analog auch auf geschäftsüberwachende Organe anderer Rechtsformen angewendet werden. Erwartet zudem dieses Gremium von der Geschäftsführung bzw. vom Vorstand, dass ein bestimmter Unternehmensteil, Fachbereich oder Prozess einer besonderen Prüfung unterzogen werden sollte, so kann der Risikomanager im Auftrag der Geschäftsführung bzw. des Vorstands diese Prüfung – zum Beispiel im Zusammenspiel mit der internen Revision – übernehmen. Der Risikomanager stimmt mit dem Vorstand, der Revision und dem entsprechenden Bereich die Prüfungsplanung ab, begleitet die Prüfung und fasst die Ergebnisse nach der Prüfung zusammen. Strategie und strategische Projekte Da der Risikomanager in der Regel über ein großes Wissen über das Unternehmen und die wichtigsten Zusammenhänge verfügt, kann es zudem sinnvoll sein, ihn selektiv in die Strategieentwicklung einzubinden. Dies gilt gleichermaßen für strategische Projekte, die das gesamte Unternehmen betreffen (wie zum Beispiel bei der Begleitung einer Due Dilligence und On-Site Assessments bei Akquisitionen oder der Eröffnung neuer Geschäftsfelder). So kann er bei der Erstellung von Chancen-Risiken- oder SWOT-Anaylsen wichtige Impulse geben. Durch die Einbeziehung kann sich die Geschäftsleitung vom Risikomanager eine verhältnismäßig unabhängige Meinung aus der Risikomanagement-Perspektive zu Themen einholen, um mögliche Entscheidungen kritisch zu reflektieren und Entscheidungen auf eine grö- ßere Informationsbasis zu stellen. Die aufgezeigten Aufgaben und damit einhergehenden Kompetenzen sind nicht 8 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Der Risikomanager ist im Auftrag der Geschäftsführung verantwortlich für X das Vorhandensein, die Eignung und Funktionsfähigkeit des Risikomanagements X die Unterstützung der Geschäftsführung bei der Formulierung der Risikomanagement- Strategie, Risikosteuerung und Aufrechterhaltung des Risikobewusstseins X die interne Risikoberichterstattung und die Erstellung des Risikoberichts im Lagebericht X die Koordination und Organisation des Risikoausschusses als festes Mitglied X die Unterstützung der Organisation durch Bereitstellung von Methoden und Instrumenten X die Erstellung und Weiterentwicklung der Risikomanagement-Richtlinie und deren Einhaltung X die Begleitung des Abschlussprüfers bei der Planung und Durchführung der Prüfung Der Risikomanager sollte X über ausgeprägte analytische und konzeptionelle Fähigkeiten verfügen und ein Verständnis für Gesamtzusammenhänge haben, X ein Verständnis für betriebs- und volkswirtschaftliche Zusammenhänge sowie ein juristisches Grundverständnis haben, X über umfangreiche Kenntnisse in den Bereichen Risikomanagement, Controlling, Internes Kontrollsystem und Corporate Governance verfügen, X eine Teamkompetenz und ein hohes Integrationspotenzial mit sich bringen, X über eine ausgeprägte Beratungs- und Schulungskompetenz verfügen und mit großer Überzeugungskraft seine Standpunkte vertreten können und deshalb X sehr gute Kommunikations- und Präsentationsfähigkeiten besitzen. Abb. 5: Aufgaben des Risikomanagers (in Anlehnung an Diederichs, 2012, S. 142) Abb. 6: Stellenanforderungen als abschließende Liste zu verstehen. Vielmehr sind sie – wie bereits eingangs erwähnt – abhängig von Größe, Branche und Struktur zu konkretisieren und modifizieren. Dennoch zeigen sie, wie und wo der Risikomanager im Unternehmen positioniert sein sollte. Damit gehen je nach Gestaltung besondere Anforderungen an die Person des Risikomanagers einher, die fortfolgend kurz aufgezeigt werden sollen. ........................................................ 3. Stellenanforderungen ........................................................ Als zentraler Ansprechpartner für das Risikomanagement bewegt sich die Person, die die Funktion des zentralen Risikomanagers bekleidet, an der Schnittstelle zwischen der Geschäftsführung (bzw. dem Vorstand), den Fach-/Stabsfunktionen und operativen Organisationseinheiten, der internen Revision, dem Abschlussprüfer und möglicherweise auch dem Aufsichtsrat. Dementsprechend sind an die Person bestimmte Anforderungen zu stellen. Der Risikomanager sollte – je nach Unternehmen und Branche mit unterschiedlichem Schwerpunkt – zunächst ein grundsätzliches Verständnis für betriebs- und volkswirtschaftliche Zusammenhänge und Mechanismen haben. Zudem sind spezielle Kenntnisse in den Bereichen Risikomanagement, Controlling, Internes Kontrollsystem und Corporate Governance notwendig. Außerdem ist ein juristisches Grundverständnis förderlich. Damit bildet in einer Vielzahl der Fälle eine entsprechende Hochschulausbildung und eine sich anschließende langjährige Berufserfahrung in unterschiedlichen Unternehmensbereichen oder in unterschiedlichen Themenfeldern die Grundvoraussetzung. Da der Risikomanager sich im Tagesgeschäft permanent mit neuen Themen auseinandersetzen muss, sollte er über ausgeprägte analytische und konzeptionelle Fähigkeiten verfügen und ein Verständnis für Gesamtzusammenhänge haben. Außerdem ist in vielen Fällen auch ein entsprechendes Abstraktionsvermögen hilfreich. Auch Dinge so einfach wie möglich gestalten zu können, schafft Akzeptanz in der Organisation. Da der Risikomanager in seinemAufgabenbereich mit einerVielzahl von Mitarbeitern zusammenarbeitet, sollte er über Teamkompetenz und ein hohes Integrationspotenzial verfügen. Außerdem sollte der Risikomanager eine große Überzeugungskraft und eine ausgeprägte Beratungs- und Schulungskompetenz mit sich bringen. Hierzu sollte die Person, die die Stelle bekleidet, sehr gute Kommunikations- und Präsentationsfähigkeiten besitzen. ........................................................ 4. Zusammenfassung ........................................................ Es ist festzuhalten, dass der Risikomanager im Auftrag der Geschäftsführung für die unternehmensweite Funktionsfähigkeit des Risikofrüherkennungs- und Überwachungssystems verantwortlich ist. Er erhebt, analysiert und aggregiert die konzernweiten Risiken und kommuniziert sie an die Entscheidungsträger. Damit wird deutlich, dass er zahlreiche Koordinationsaufgaben und Vermittlungsaufgaben wahrnimmt: Als zentraler Ansprechpartner bewegt sich der Risikomanager hierzu an der Schnittstelle zwischen Geschäftsführung bzw. Vorstand, Fachabteilungen, Tochtergesellschaften und der internen Revision. Außerdem vertritt er das Unternehmen gegenüber dem Wirtschaftsprüfer. Sollte das Unternehmen einen Risikoausschuss eingerichtet haben, erarbeitet der Risikomanager als koordinierendes Mitglied Empfehlungen bezüglich risikorelevanter Sachverhalte und partizipiert am Entscheidungsfindungsprozess. Somit unterstützt der Risikomanager letzt- Der Risikomanager 9 25. Jahrgang 2013, Heft 1 Bestellen Sie bei Ihrem Buchhändler oder bei: beck-shop.de oder Verlag C.H.BECK · 80791 München · Fax: 089/38189-358 · www.beck.de Bezugspreise 2013 Controlling inkl. Online-Zugang zum Controlling-Archiv auf vahlen-online.beck.de In Gemeinschaft mit dem Verlag Franz Vahlen. Die Bezugspreise (einschl. MwSt.) betragen ab 1. Januar 2013: Normalpreis jährlich € 199,– Vorzugspreis für Bezieher der Zeitschrift »BC« sowie Studenten fachbezogener Studiengänge (gegen Nachweis) jährlich € 128,– jeweils zuzüglich Vertriebs-/ Direktbeorderungsgebühren jährlich (€ 10,15/€ 2,80) € 12,95. Abbestellung bis 6 Wochen vor Jahresende. Einzelheft € 19,80 endlich auch die Geschäftsführung bei der Formulierung der Risikomanagement-Strategie. Um diese Funktion adäquat ausfüllen zu können, sind hohe Anforderungen an die Person zu stellen, die diese Stelle bekleidet. Zukünftig werden die Anforderungen weiter steigen, da viele Unternehmen integrierte Funktionen installieren, die zum Beispiel Risikomanagement, Internes Kontrollsystem, Governance Regulations, Insurance Management und Compliance Management miteinander verzahnen. Keywords  Job profile of risk manager  Risk management  Risk management policy  Risk manager  Tasks and competencies of risk manager Summary On behalf of the managment board, the corporate risk manager is responsible for the group-wide early warning and monitoring system. Therefore, the risk manager has to manage several coordinating tasks. The article shows the general job profile of a risk manager in an industrial enterprise and which skills and qualifications a person should have. Literatur Diederichs, M., Risikomanagement und Risikocontrolling, 3. Aufl., München 2012. Diederichs, M./Fricke, W./Macke, S., Risikomanagement im DAX30. Untersuchung des State-of-the-Art, in: Der Betrieb, 64. Jg. (2011), H. 26/27, S. 1461–1465. Diederichs, M./Form, S./Reichmann, T., Arbeitskreis Risikomanagement: Standard zum Risikomanagement, in: Controlling, 16. Jg. (2004), H. 4/5, S. 189–198. Diederichs, M./Kißler, M., Aufsichtsratreporting. Corporate Governance, Compliance und Controlling, München 2008. Deutsches Institut für Interne Revision (IIR): IIR-Revisionsstandard Nr. 2: Prüfung des Risikomanagement durch die Interne Revision, in: Zeitschrift Interne Revision, 36. Jg. (2001), H. 3, S. 152–155. Freidank, C.-C./Peemöller, V. H., Corporate Governance und Interne Revision. Handbuch für die Neuausrichtung des Internal Auditings, Berlin 2007. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340), in: CD- Rom, IDW Prüfungsstandards. IDW Stellungnahmen zur Rechnungslegung, Düsseldorf 2009/2010. 10 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG