CIOs liefern Tools für die Risikovorsorge

07.07.2005
Von Ragnar Nilsson

Die permanente Analyse eines Unternehmens sollte jene Risikofelder ausfindig machen, die ein Rating negativ beeinflussen können. Zum modernen "Pflichtenheft" des CIO gehört deshalb auch, die Instrumente für das Controlling und die Planung zu liefern. Verwundbare Großunternehmen etwa aus der Luftfahrt- und Bankenbranche erweisen sich dem Risiko-Management aufgeschlossen. Doch die Forderungen durch Basel II betreffen alle Unternehmen. Mittelständler mit kleinen IT-Abteilungen sind mit dem Dschungel der komplexen Anforderungen und neuen bürokratischen Maßnahmen oft überfordert. Aber auch große Aktiengesellschaften hadern mit ihrem Schicksal. So hat beispielsweise Ex-Siemens-Chef Heinrich von Pierer in seiner Abschiedsrede als Vorstandsvorsitzender auf Belastungen hingewiesen: "Wir unterstützen und begrüßen die Anforderungen durch Basel II und SOX. Aber ich frage mich manchmal, ob der dadurch hervorgerufene Anstieg an Bürokratie und letztlich auch an finanziellem Aufwand den Rahmen nicht etwas sprengt."

Dokumentation der Bedrohungsszenarien

Dennoch werden Unternehmen nicht umhinkönnen, Risiken zu identifizieren, ihre Auswirkungen zu analysieren und Gegenmaßnahmen sowie deren Überwachung bekannt zu geben. Die Ergebnisse fließen in dokumentierte Bedrohungsszenarien ein, die eine Schadensbewertung nach Wahrscheinlichkeit des Eintretens und der erwarteten Schadenshöhe enthalten. Der organisatorische Rahmen sowie die risikopolitische Leitlinie sollten in der Zuständigkeit der jeweils betroffenen Unternehmensbereiche bleiben, von der internen Revision jedoch jederzeit nachvollziehbar sein.

Auf Ebene der Bereichs- und Prozessverantwortlichen umfasst das Risiko-Management vor allem die frühzeitige Identifizierung und Beurteilung der Risiken am Ort ihres Entstehens. Die interne Revision bildet die unabhängige Überwachungsinstanz zur Überprüfung der Wirksamkeit, Angemessenheit und Effizienz des Risiko-Managements. Außerdem dokumentieren risikopolitische Leitlinien Verhaltensregeln, die alle Mitarbeiter im Unternehmen zu einem vernünftigen Umgang mit den Risiken anleiten. Formulierung und Kommunikation der risikopolitischen Leitlinien fallen in den Aufgaben- und Verantwortungsbereich der Unternehmensleitung und dienen als Grundlage für das konkrete Risiko-Management.