Zum Inhalt springen
Procari Lexikon Risikopolitik
Einkaufslexikon

Risikopolitik

Risikopolitik

Die Risikopolitik ist die vom Vorstand verabschiedete schriftliche Grundlage des Risikomanagements. Sie legt Risikoappetit, Toleranzgrenzen, Verantwortlichkeiten, Eskalationspfade und Mindestmethodik fest und bildet nach ISO 31000:2018 und IDW PS 340 den verbindlichen Rahmen, in dem alle Risikoentscheidungen im Einkauf und im Gesamtunternehmen getroffen werden.

Detaillierte Erklaerung

Die Risikopolitik beantwortet drei Grundfragen: Welche Risiken ist das Unternehmen bewusst bereit einzugehen (Risikoappetit)? Welche Toleranzgrenzen duerfen einzelne Bereiche, Warengruppen oder Lieferanten nicht ueberschreiten (Risikolimits)? Wer entscheidet bei Ueberschreitung (Eskalation und Genehmigungsbefugnisse)? Ohne Antworten auf diese Fragen ist jedes nachgelagerte Risikomanagement bloss Methodik ohne Richtung.

Die Risikopolitik ist nach IDW PS 340 prufungsrelevant. Sie sollte mindestens enthalten: Risikoverstaendnis und Anwendungsbereich, Risikoappetit-Aussagen (qualitativ und quantitativ), Risikoklassen mit Verantwortlichen, Bewertungsmethodik mit Skalen und Schwellenwerten, Eskalationsregeln, Reporting-Frequenz und Empfaengerkreis, Genehmigungsbefugnisse, Schnittstellen zu Compliance und interner Revision sowie Ueberpruefungs- und Aktualisierungszyklen. Sie wird vom Vorstand verabschiedet, vom Aufsichtsrat zur Kenntnis genommen und mindestens alle zwei bis drei Jahre ueberprueft.

Risikoappetit-Aussagen sind das Herzstueck. Sie koennen lauten: Wir akzeptieren keinen einzelnen Lieferausfall mit mehr als 72 Stunden Produktionsstillstand bei A-Teilen. Wir akzeptieren keinen Compliance-Vorfall mit Sanktionsverstoss, Kartellrelevanz oder LkSG-Bruch. Wir akzeptieren keinen Einzelschaden ueber 1 Mio Euro ohne Vorstandsbefassung. Solche klaren Saetze geben Einkaeufern, CFO und Compliance-Officer Orientierung. Sie verhindern situative Diskussionen und schaffen Rechtssicherheit fuer Entscheider.

DIN ISO 31000:2018 verlangt im Element Fuehrung und Engagement, dass die Leitung die Risikopolitik formuliert, kommuniziert und mit Ressourcen unterlegt. KonTraG ueber Paragraf 91 Absatz 2 Aktiengesetz fordert das Frueherkennungssystem; die Risikopolitik konkretisiert, wie es ausgestaltet ist. COSO ERM 2017 verlangt im Component Governance and Culture explizit eine schriftliche Risikopolitik. BaFin-MaRisk AT 4.2 ist fuer Finanzdienstleister sogar normativ verbindlich. Im Mittelstand ist die Pflicht zwar weniger explizit, aber Wirtschaftspruefer pruefen das System nach IDW PS 340 und beanstanden fehlende oder unkonkrete Risikopolitiken.

In der Praxis ist die Risikopolitik selten ein 50-Seiten-Konvolut, sondern ein 8- bis 15-Seiten-Dokument mit klaren Aussagen, Anlage mit Skalen und Eskalationsmatrix sowie Anlage mit Verantwortlichkeiten. Sie wird im Intranet veroeffentlicht, ist Pflichtlektuere fuer alle Einkaeufer und Teil der Onboarding-Schulung neuer Mitarbeiter. Erfahrungswert: Eine Risikopolitik wird nur dann gelebt, wenn ihre Aussagen in operative Entscheidungsregeln (Freigabematrix, Vertragsstandards, Lieferantenbewertung) ueberfuehrt werden.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Pharmazulieferer mit 580 Mitarbeitern und 76 Mio Euro Einkaufsvolumen ueberarbeitet seine veraltete Risikopolitik aus 2019, nachdem ein Lieferantenausfall einen Produktionsstillstand von 11 Tagen ausgeloest hat. CRO Dr. Joerg Heinemann-Wirth und Einkaufsleiterin Annegret Bayreuther treiben das Projekt gemeinsam mit Compliance und interner Revision.

Die neue Risikopolitik wird auf 12 Seiten verdichtet und enthaelt sechs zentrale Risikoappetit-Aussagen. Erstens: Kein Single-Source-Lieferant fuer A-Teile ohne dokumentierten Notfallplan und 8-Wochen-Sicherheitsbestand. Zweitens: Kein Lieferant mit Creditreform-Index ueber 280 ohne Vorstandsfreigabe. Drittens: Kein Vertrag ueber 2 Mio Euro ohne LkSG-Risikoanalyse. Viertens: Kein Cyber-relevanter Lieferant ohne TISAX-Label oder gleichwertige Zertifizierung. Fuenftens: Kein Lieferant in einem sanktionsbelasteten Land ohne aktuelle Sanktionslistenpruefung. Sechstens: Keine Bestellung an einen neuen Lieferanten ohne abgeschlossene Lieferantenqualifizierung.

Die Eskalationsmatrix legt fest: Bei Risiko im roten Quadranten der 5×5-Matrix Entscheidung durch Einkaufsleitung gemeinsam mit CRO. Bei Schaden ueber 1 Mio Euro oder strategischer Bedeutung Entscheidung durch Vorstand. Bei Compliance-Vorfall oder LkSG-Bruch sofortige Information an Vorstand und Aufsichtsrat binnen 48 Stunden.

Die Verantwortlichkeiten werden in einer RACI-Matrix dokumentiert. Lieferantenrisiken: Verantwortlich Einkaufsleitung, Konsultierend Compliance, Informiert CFO und CRO. Compliance-Risiken: Verantwortlich Compliance-Officer, Konsultierend Einkauf. Cyber-Risiken bei Lieferanten: Verantwortlich CIO gemeinsam mit Einkauf.

Nach Verabschiedung erfolgt eine zweitaegige Schulung fuer alle 18 Einkaeufer und 4 Kategorie-Manager. Die Lieferantenbewertung wird angepasst, sodass die neuen Aussagen in der jaehrlichen Bewertung wirksam werden. Nach 9 Monaten zeigt das Reporting: Drei Single-Source-Situationen wurden aufgeloest, zwei Lieferanten wurden wegen ueberschrittener Bonitaetsschwelle gewechselt, fuenf neue Vertraege wurden mit erweiterten Compliance-Klauseln abgeschlossen. Der Wirtschaftspruefer bewertet das System im Folgejahr ohne Einschraenkung.

Typische Fehler & Verhandlungskontext

Der haeufigste Fehler ist die generische Risikopolitik aus dem Internet, die nicht zur Branche, zur Groesse oder zum Geschaeftsmodell passt. Allgemeine Formulierungen wie wir managen unsere Risiken sorgfaeltig liefern keine Entscheidungsgrundlage. Eine wirksame Politik enthaelt branchenspezifische und unternehmensspezifische Aussagen, die im Workshop mit Vorstand und Schluesselverantwortlichen erarbeitet werden.

Ein zweiter Fehler ist die fehlende Verbindung zwischen Risikopolitik und operativen Regeln. Wenn die Politik einen Risikoappetit definiert, dieser aber nicht in Freigabematrix, Vertragsmustern oder Lieferantenbewertung abgebildet ist, bleibt sie folgenlos. Empfehlung ist eine Implementierungsmatrix, die jede Politikaussage einer konkreten operativen Regel zuordnet und einen Owner fuer die Umsetzung benennt.

Drittens fehlt haeufig der Aktualisierungszyklus. Risikopolitiken aus 2018 oder 2019 sind durch Pandemie, Ukraine-Krieg, Energiekrise und LkSG-Inkrafttreten ueberholt. Eine zweijaehrliche Pflichtueberpruefung mit dokumentiertem Vorstandsbeschluss ist Mindeststandard. Bei wesentlichen externen Veraenderungen (neue Gesetze, geopolitische Ereignisse) erfolgt eine Ad-hoc-Aktualisierung.

In Lieferantenverhandlungen liefert die Risikopolitik klare Grenzen. Wer auf eine Vorstandsregel verweisen kann (zum Beispiel die Pflicht, bei A-Teilen einen Sicherheitsbestand zu vereinbaren), entzieht sich der Diskussion und schafft Verbindlichkeit. Lieferanten respektieren institutionalisierte Anforderungen mehr als situative Forderungen einzelner Einkaeufer, weil sie erkennen, dass es um Strukturen und nicht um persoenliche Praeferenzen geht.

Verwandte Begriffe

  • [[risikomanagement]]
  • [[risikoklassen]]
  • [[risikomatrix]]
  • [[risikoanalyse]]
  • [[supply-risk-management]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →