Wer ist im Unternehmen für die Definition der Risikopolitik zuständig und in wessen Aufgabenbereich fällt die Förderung der Risikokultur? Die ONR 49001:2014 gibt hier eine ganz klare Antwort: beide Elemente sind grundlegende Bestandteile der Führungsaufgabe der Unternehmensleitung. Auch die MaRisk nimmt hierzu in AT3 Stellung. Demnach wird die Geschäftsführung ihrer Verantwortung nur gerecht, wenn sie für die „Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe“ sorgt.
Gemäß dem Motto „Taten schaffen mehr als Worte“ ist es Aufgabe der obersten Führungsebene, einen offenen Umgang mit Risiken vorzuleben und somit den Grundstein für eine offene Risikokultur zu legen. Nur wenn Risikomanagement im Unternehmen die uneingeschränkte Unterstützung der Unternehmensführung hat, kann es erfolgreich eingesetzt werden.
Transparenz ist die Basis für einen positiven Umgang mit Risiken und mithin für eine gute Risikokultur. Der Unternehmensleitung obliegt in diesem Zusammenhang die Definition der Rahmenbedingungen, in denen sich das Risikomanagementsystem im Unternehmen wiederfindet. Sie muss gewährleisten, dass Informationen ungehindert über Bereichs- und Hierarchiegrenzen schnell und unkompliziert ausgetauscht werden können. Dies gelingt, wenn Aufgaben und Kompetenzen bzgl. des Risikomanagements klar definiert und verteilt sind und es damit für alle transparente Regelungen in der Aufbau- und Ablauforganisation des Unternehmens gibt.
Hierzu zählt u.a. die Integration des RM-Prozesses in die Führungsprozesse des Unternehmens. Möglichkeiten der Prozess-Ausgestaltung gibt auch hier die ONR 49001:2014.
Die Planung, Lenkung und Leitung der Risikokommunikation sowie die Förderung einer offenen Fehlerkultur obliegen ebenfalls der Unternehmensführung. Eine offene Risikokommunikation mit allen Beteiligten erhöht die Transparenz im Unternehmen und stärkt somit das Vertrauen von Mitarbeitern, Kunden, Lieferanten, der Öffentlichkeit, kurz: allen am Unternehmen interessierten Kreise.
Risikokultur kann nicht vorgegeben werden. Sie drückt sich im gelebten täglichen Umgang mit Risiken und ihren Konsequenzen aus und ist historisch gewachsen. Die Risikokultur kann daher zwischen einzelnen Unternehmensbereichen variieren und hängt maßgeblich von den Erfahrungen aller Beteiligten ab, wie in der Vergangenheit mit Risiken im Unternehmen umgegangen wurde.
Risikokultur ist ein kontinuierlicher Lernprozess, der die Offenheit und die aktive Bereitschaft des gesamten Unternehmens erfordert, Risiken bewusst wahrzunehmen sowie entsprechend zu kommunizieren und zu handeln.
Eine gelebte positive Risikokultur ist Voraussetzung für den verantwortungsvollen Umgang mit Risiken über alle Hierarchieebenen und Funktionsbereiche hinweg. Dabei ist es wichtig, Schuldzuweisungen zu verhindern und sich auf Lösungsansätze zu konzentrieren sowie aus den Erfahrungen und Fehlern der Vergangenheit zu lernen.
Auch die Festlegung der Risikopolitik ist die Aufgabe der obersten Unternehmensführung. Durch eine systematische Analyse der internen und externen Rahmenbedingungen wird die Grundlage für die Risikopolitik des Unternehmens gelegt.
Die internen Rahmenbedingungen ergeben sich aus der Aufbau- und Ablauforganisation des Unternehmens. Externe Rahmenbedingungen eines Unternehmens sind u.a. gegeben durch
- Umwelt
- Kundenbedürfnisse
- Marktbeschaffenheit
- Technologien
- Rechtliche und politische Vorgaben
Gemäß der ONR 49001: 2014 bestimmt die Politik der Organisation „die Ziele, die Strategien und die Ressourcen, um die Organisation zu entwickeln und den Veränderungen aus dem Umfeld und aus der Organisation anzupassen.“ Sie zeigt auf, „wie die Organisation das Risikomanagement anwendet sowie methodisch und organisatorisch umsetzt.“ (ONR 49001:2014, S.4)
Zur Ausgestaltung der Risikopolitik gehört auch die Definition der Risikoziele. Diese sind abhängig von der strategischen und operativen Ausrichtung eines Unternehmens. Die Unternehmensführung muss festlegen, welche Gesamtmenge an Risiko akzeptabel ist. Maßgeblich hierfür ist die Risikotragfähigkeit des Unternehmens, die ggf. auch auf einzelne Bereiche oder Projekte heruntergebrochen werden kann. Der so definierte „Risikoappetit“ sollte möglichst mit allen interessierten Kreisen abgestimmt sein, da er sich auch in der strategischen Ausrichtung des Unternehmens wiederspiegelt.
Die Festlegung der Risikopolitik und die Grundsteinlegung für eine positive und gelebte Risikokultur sind daher Kernaufgaben der Unternehmensführung. Nur wenn diese einen transparenten Umgang mit Risiken vorlebt und eine offene Fehlerkultur unterstützt kommt sie ihren Aufgaben nach und ermöglicht es, dass sich ein effektives Risikomanagementsystem im Unternehmen etabliert.