77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten
Alle Beauftragten-Rollen
RSK

Risikomanagementbeauftragte

Betreibt das unternehmensweite Risikomanagementsystem: Risikoidentifikation, -bewertung und -steuerung, Frühwarnindikatoren und aggregierte Berichterstattung an den Vorstand nach ISO 31000 und der KonTraG-Sorgfaltspflicht.

Schwerpunkte
RisikoinventarFrühwarnsystemISO 31000Vorstandsbericht
Rechtsgrundlage

ISO 31000 · § 91 AktG (KonTraG)

Schnellkontakt

Risikomanagementbeauftragte: Mit uns sprechen

Drei Zeilen und Sie sind in unserem Posteingang. Antwort innerhalb eines Werktags.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Wir verwenden Ihre Daten nur für die Rückantwort.

Was ist ein Risikomanagementbeauftragter?

Ein Risikomanagementbeauftragter betreibt das unternehmensweite Risikomanagementsystem: die strukturierte Identifikation, Bewertung, Steuerung und Überwachung der Risiken, die die Ziele oder den Fortbestand des Unternehmens bedrohen könnten. Die Rolle verdichtet verstreutes Risikowissen zu einem stimmigen, vergleichbaren Bild, auf dessen Grundlage Vorstand und Aufsichtsgremien handeln können.

Zwei Bezugspunkte verankern die Rolle. ISO 31000 ist die internationale Norm zum Risikomanagement; sie liefert die Grundsätze, den Rahmen und den Prozess von der Risikoidentifikation über Analyse, Bewertung und Steuerung bis zu Überwachung und Überprüfung. Sie ist eine Leitliniennorm, keine zertifizierbare Spezifikation, und gibt dem Beauftragten eine gemeinsame Sprache und Methode. Rechtlicher Anker im deutschen Recht ist Par. 91 Abs. 2 Aktiengesetz (AktG), eingeführt durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Er verpflichtet den Vorstand einer Aktiengesellschaft, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand gefährdende Entwicklungen früh erkannt werden. Die Sorgfaltspflicht des Vorstands nach Par. 93 AktG verstärkt dies.

Der Beauftragte führt das Risikoinventar, definiert und verfolgt Frühwarnindikatoren, koordiniert die Bewertung von Eintrittswahrscheinlichkeit und Auswirkung, überwacht die Steuerung wesentlicher Risiken und verdichtet das Bild zur Berichterstattung an den Vorstand. Die Funktion ist eng mit dem internen Kontrollsystem und, soweit relevant, mit Compliance und Interner Revision verbunden. Bei börsennotierten und größeren Unternehmen fliesst die Risikoberichterstattung in den Lagebericht und in die Arbeit des Abschlussprüfers ein, der die Eignung des Früherkennungssystems nach Par. 91 AktG prüft.

Aufgaben des Risikomanagementbeauftragten

  • Führung des unternehmensweiten Risikoinventars und der Risikotaxonomie
  • Betrieb des Risikoprozesses nach ISO 31000: Identifikation, Analyse, Bewertung, Steuerung und Überwachung
  • Definition und Verfolgung von Frühwarnindikatoren für fortbestandsgefährdende Entwicklungen nach Par. 91 AktG
  • Koordination der Bewertung von Eintrittswahrscheinlichkeit und Auswirkung sowie der Priorisierung der Risiken
  • Überwachung der Steuerung wesentlicher Risiken und Nachverfolgung der Maßnahmen
  • Verdichtung des Risikobildes zur periodischen Berichterstattung an den Vorstand
  • Verknüpfung des Risikomanagements mit internem Kontrollsystem, Compliance und Interner Revision
  • Unterstützung von Lagebericht und Prüfung des Früherkennungssystems durch den Abschlussprüfer
  • Förderung der Risikokultur und Schulung der Risikoverantwortlichen in den Bereichen

Bestellung des Risikomanagementbeauftragten

Die gesetzliche Pflicht nach Par. 91 Abs. 2 AktG trifft den Vorstand selbst: Er muss geeignete Maßnahmen treffen, insbesondere ein Überwachungssystem einrichten, damit fortbestandsgefährdende Entwicklungen früh erkannt werden. Die Verantwortung kann der Vorstand nicht delegieren, den Betrieb des Systems überträgt er aber regelmäßig auf einen Risikomanagementbeauftragten oder eine Risikomanagementfunktion. Börsennotierte und größere Unternehmen bestellen typischerweise einen eigenen Beauftragten; im Konzern strahlt die Pflicht auf wesentliche Tochtergesellschaften aus.

Ein gesetzliches Qualifikationsprofil gibt es nicht. In der Praxis verbindet der Beauftragte Kenntnis des Risikoprozesses nach ISO 31000, des Geschäfts und seiner Risikotreiber sowie der Kontrollen und Berichtswege, oft gestützt auf einen anerkannten Risikomanagement- oder Controlling-Hintergrund. Der Vorstand sollte Mandat, Berichtsweg und Informationszugang des Beauftragten festlegen, idealerweise mit direkter Anbindung an den Vorstand.

Der Umfang richtet sich nach Rechtsform und Größe. Über das AktG hinaus leitet der GmbH-Geschäftsführer vergleichbare Pflichten aus der allgemeinen Sorgfaltspflicht ab, und börsennotierte Unternehmen treffen zusätzliche Anforderungen aus dem Lagebericht- und Prüfungsrahmen. Bestellung, Mandat und Beschreibung des Risikomanagementsystems sollten dokumentiert werden, da der Abschlussprüfer die Eignung des Früherkennungssystems prüft und der Aufsichtsrat es überwacht.

  • Das Unternehmen ist eine Aktiengesellschaft im Anwendungsbereich von Par. 91 Abs. 2 AktG
  • Die Börsennotierung bringt Lagebericht- und Prüfungsanforderungen an das Risikosystem
  • Die Konzernstruktur strahlt die Früherkennungspflicht auf wesentliche Tochtergesellschaften aus
  • Größe, Komplexität oder Kapitalmarktzugang erhöhen den Bedarf eines formalen Risikosystems
  • Aufsichtsrat oder Abschlussprüfer verlangen den Nachweis eines geeigneten Überwachungssystems

Branchen und Einsatzbereiche

  • Börsennotierte Aktiengesellschaften und Konzerne
  • Banken, Versicherungen und Finanzdienstleistungen
  • Fertigung und Industriekonzerne
  • Energie, Versorgung und Infrastruktur
  • Pharma und Life Sciences
  • Technologie und Telekommunikation
  • Logistik, Transport und Lieferketten
  • Öffentliche Unternehmen und Stiftungen
CIVAC

How CIVAC supports the Risikomanagementbeauftragter role

CIVAC gibt dem Risikomanagementbeauftragten ein strukturiertes Inventar, das jedes Risiko mit Bewertung, Verantwortlichem, Steuerungsmaßnahmen und Frühwarnindikatoren nach ISO 31000 führt. Wiederkehrende Tätigkeiten wie Risiko-Reviews, Indikator-Aktualisierungen, Maßnahmen-Nachverfolgung und Vorstandsberichtszyklen werden als Aufgaben mit Fälligkeit und Erinnerung geplant, sodass das nach Par. 91 AktG geforderte Überwachungssystem laufend arbeitet und nicht zwischen den Berichten veraltet. Steuerungsmaßnahmen werden bis zum Abschluss verfolgt und dem verantwortlichen Risikoeigner zugeordnet. Die Dokumentation des Risikomanagementsystems, seine Versionen und die Berichtshistorie liegen zentral und prüfbereit für Aufsichtsrat und Abschlussprüfer, der die Eignung des Früherkennungssystems prüft.

Häufige Fragen

Diese Rolle für Ihr Unternehmen besetzen?

Bestellen Sie unsere Experten als externe Beauftragten oder lizenzieren Sie CIVAC für Ihr eigenes Team. Wir besprechen mit Ihnen, was zu Ihrem Aufbau passt.

Mit CIVAC sprechenAlle 77 Rollen ansehen
Weitere Beauftragten-Rollen