DER RISIKOMANAGEMENT-STANDARD · Management und Kontrolle der Organisationsfinanzen und die...

D E R R I S I K O M A N A G E M E N T - S T A N D A R D

F E D E R AT I O N O F

E U RO P E A N R I S K

M A N AG E M E N T

A S S O C I AT I O N S

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

DER RISIKOMANAGEMENT-STANDARD

2

EinführungDer Risikomanagement-Standard wurde voneinem Team aus den größten Organisationenfür Risikomanagement im VereinigtenKönigreich - dem Institut fürRisikomanagement (IRM), dem Verband derVersicherungs- und Risikomanager (AIRMIC)und ALARM Nationales Forum fürRisikomanagement im Öffentlichen Dienst -erstellt.

Darüber hinaus holte das Team während einesumfassenden Konsultationszeitraums dieMeinungen und Ansichten einer breiten Paletteanderer Berufsverbände, die sich mitRisikomanagement auseinandersetzen, ein.

Risikomanagement ist eine schnell wachsendeDisziplin mit zahlreichen und unterschiedlichenAuffassungen und Beschreibungen hinsichtlichBedeutung, empfohlener Durchführung undZielsetzung von Risikomanagement. Nötig istein gewisser Standard, um Übereinstimmungzu folgenden Punkten zu gewährleisten:

• Terminologie bezüglich der verwendetenBegriffe

• Prozess zur Durchführung desRisikomanagements

• Organisationsstruktur für dasRisikomanagement

• Zielsetzung des Risikomanagements

Dabei ist wesentlich, dass der Standard dasUpside- und Downsidepotential (positive undnegative Auswirkungen) von Risiko anerkennt.

Risikomanagement betrifft nicht nurUnternehmen und den öffentlichen Dienst,sondern alle Tätigkeiten, ob kurz- oderlangfristig. Nutzen und Möglichkeiten solltennicht nur im Rahmen der Tätigkeit selbst,sondern in Bezug auf die zahlreichen undunterschiedlichen, möglicherweise betroffenenStakeholder eingeschätzt werden.

Da sehr viele Wege zur Verwirklichung des ZielsRisikomanagement führen, können diese nichtalle in einem einzigen Dokument dargestelltwerden. Daher war man nie um dieAusarbeitung einer Vorschriftsnorm, derenErgebnis im Abhaken von Kästchen bestehenwürde, oder um die Erstellung eines sicherfeststellbaren Prozesses bemüht. Wenn dieOrganisationen die verschiedenen Bestandteiledieser Norm, wenn auch auf unterschiedlicheArt, erfüllen, können sie einen Zustand vonCompliance signalisieren. Der Standard stelltdie beste Praxis dar, an der sich dieOrganisationen messen können.

Soweit wie möglich hielt sich der Standard andie von der InternationalenNormenorganisation (ISO) in ihrem kürzlichausgearbeiteten Dokument ISO/IEC Guide 73Risiko Management - Vokabular - Richtlinienzur Verwendung bei Normen - festgelegteRisikoterminologie.

Angesichts der rasanten Entwicklungen indiesem Bereich bitten die Autoren bei derVerwendung der Norm um Rückmeldungen vonden Organisationen (die Anschriften befindensich auf der Rückseite des Leitfadens).Regelmäßige Abänderungen der Norm imLichte der besten Praxis sind geplant.


3

1. Risiko Risiko kann als Kombination derWahrscheinlichkeit eines Ereignisses undseiner Folgen definiert werden (ISO/IEC Guide73).

Jede Unternehmung beinhaltet ein Potential anEreignissen und Folgen, dieGewinnmöglichkeiten (Upside) oderErfolgsbedrohungen (Downside) darstellen.

Immer mehr beschäftigt sich dasRisikomanagement mit den positiven undnegativen Risikoaspekten. Daher untersuchtdiese Norm das Risiko aus beidenPerspektiven.

Im Bereich Sicherheit geht man im allgemeinendavon aus, dass es nur negative Folgen gibt,weshalb die Steuerung des SicherheitsrisikosSchadensvermeidung und -eindämmungfokussiert.

2. RisikomanagementRisikomanagement ist zentraler Bestandteil derManagementstrategie jedes Unternehmens.Dieser Prozess dient den Organisationen zurmethodischen Behandlung von Risiken imRahmen ihrer unternehmerischen Tätigkeit, mitdem Ziel der Verwirklichung einer anhaltendenLeistung innerhalb jeder Tätigkeit und imgesamten Portfolio aller Tätigkeiten.

Im Brennpunkt eines gutenRisikomanagements stehen Identifizierung undBehandlung dieser Risiken. Ziel ist diehöchstmögliche dauerhafte Wertschöpfung inallen Tätigkeitsbereichen der Organisation. Esmobilisiert das Verständnis des Upside- undDownsidepotentials aller die Organisationmöglicherweise betreffenden Faktoren. Es

erhöht die Erfolgswahrscheinlichkeit und senktsowohl die Fehlerwahrscheinlichkeit wie auchdie Ungewissheit bei der Realisierung derallgemeinen Organisationsziele.

Risikomanagement sollte ein ständiger undsich fortentwickelnder Prozess sein, der diegesamte Organisationsstrategie und dieDurchführung dieser Strategie durchläuft. Essollte alle Risiken im Zusammenhang mit denvergangenen, gegenwärtigen und insbesonderezukünftigen Tätigkeiten der Organisationmethodisch in Angriff nehmen.

Es muss durch eine wirksame Politik undmittels eines auf höchster Managementebenegeführten Programms in dieUnternehmenskultur eingebettet werden. Esmuss die Strategie in taktische undbetriebliche Zielsetzungen umsetzen, wobei imgesamten Unternehmen jedem Manager undMitarbeiter, dessen ArbeitsplatzbeschreibungRisikomanagement umfasst, Verantwortungzugeordnet wird. Es unterstütztRechenschaftspflicht, Performance-Messungund Belohnung, was zur Rentabilitätsförderungauf allen Ebenen beiträgt.

2.1 Externe und Interne FaktorenDie Risiken, denen eine Organisation und hrBetrieb ausgesetzt sind, können sowohl ausbetriebsinternen, wie auch betriebsexternenFaktoren entstehen.

Das umseitige Diagramm resümiert Beispielevon Schlüsselrisiken in diesen Bereichen undzeigt, dass einige spezifische Risiken sowohlexterne wie auch interne Treiber aufweisenkönnen und daher auf beide Bereicheübergreifen. Sie können weiter nachRisikoarten wie strategisch, finanziell,betrieblich, Hazard (Unfallgefahr) usw.eingestuft werden.



4


2.1 Beispiele für Treiber von Schlüsselrisiken

EXTERNGETRIEBEN

EXTERN GETRIEBEN

FINANCIAL RISKS STRATEGIC RISKS

FINANCIAL RISKS STRATEGIC RISKS

ZINSSÄTZEWECHSELKURSEKREDITLINIE

WETTBEWERBÄNDERUNGEN DER KUNDEN

ÄNDERUNGEN DER BRANCHEKUNDENWÜNSCHE

M & A INTEGRATION

LIQUIDITÄT &CASH FLOW

FORSCHUNG & ENTWICKLUNGINTELLEKTUELLES KAPITAL

INTERN GETRIEBEN

KONTROLLE IM RECHNUNGSWESENINFORMATIONSSYSTEME

PERSONALBESCHAFFUNGEINKAUFSPROZESS

ZUGANG DER ÖFFENTLICHKEITMITARBEITERIMMOBILIENPRODUKTE &DIENSTLEISTUNGEN

GESETZLICHE VORSCHRIFTENKULTURZUSAMMENSETZUNGDES AUFSICHTSRATES

VERTRÄGENATUREREIGNISSE

ZULIEFERERUMWELT


5

Risikomanagement bedeutet Schutz undWertzuwachs für die Organisation und ihreStakeholder, indem es die Zielsetzungen derOrganisation folgendermaßen fördert:

• Aufstellung eines Rahmens für eineOrganisation, mittels der zukünftigeAktivitäten konsequent und geregeltablaufen

• verbesserte Entscheidungsfassung,Planung und Prioritätenfestlegung durchein umfassendes und strukturiertesVerständnis hinsichtlich Geschäftsablauf,Volatilität und Projektchance/Bedrohung

• Förderung einer effizienterenVerwendung/Zuteilung von Kapital undRessourcen innerhalb der Organisation

• Volatilitätssenkung in nicht wesentlichenGeschäftsbereichen

• Schutz und Steigerung der Aktiva und desUnternehmensimage

• Entwicklung und Unterstützung derMenschen und der betrieblichenWissensgrundlage

• Rentabilitätsoptimierung


2.2 Risikomanagement - Verfahren

Modifik

atio

n

Form

elle

Prü

fung

Strategische Zieleder Organisation

Risikoeinschätzung

RisikoanalyseRisikoidentifikation Risikobeschreibung Risikobeurteilung

Risikobewertung

RisikoberichtGefahren und Chancen

Entscheidung

Risikobehandlung

Berichterstattung zuverbleibenden Risiken

Überwachung


6

3. RisikoeinschätzungISO/IEC Guide 73 definiert Risikoschätzung alsdas gesamte Verfahren von Risikoanalyse und Risikobewertung.(Siehe Anlage)

4. Risikoanalyse

4.1 RisikoidentifikationDurch Risikoidentifizierung soll die Belastungeiner Organisation durch Ungewissheit identifi-ziert werden. Voraussetzung dafür ist einegenaue Kenntnis der Organisation, des Marktes,in dem sie tätig ist, des rechtlichen, sozialen,politischen und kulturellen Umfeldes, in dem siebesteht, wie auch die Entwicklung eines solidenVerständnisses ihrer strategischen und operati-ven Zielsetzungen, einschließlich der für ihrenErfolg maßgeblichen Faktoren und derBedrohungen und Möglichkeiten inZusammenhang mit der Erreichung dieserZielsetzungen.

Risikoidentifizierung sollte methodisch erfolgen,um sicher zu gehen, dass alle bedeutsamenTätigkeiten innerhalb der Organisation identifi-ziert und alle aus diesen Tätigkeiten entstehen-den Risiken definiert wurden. Jede inZusammenhang mit diesen Tätigkeiten anfallen-de Volatilität sollte identifiziert und kategorisiertwerden.

Unternehmerische Tätigkeiten undEntscheidungen können auf verschiedene Weiseeingeordnet werden, beispielsweise wie folgt:

• Strategisch - Diese betreffen die langfristigenstrategischen Ziele der Organisation. Sie kön-nen durch solche Bereiche wieKapitalverfügbarkeit, souveräne und politi-sche Risiken, rechtliche und vorschriftsmäßi-ge Veränderungen, guter Ruf undVeränderungen in der physischen Umgebungberührt werden.

• Operativ - Diese betreffen laufende Fragen,mit denen sich die Organisation bei ihremStreben nach Erreichung der strategischenZiele konfrontiert sieht.

• Finanziell - Diese betreffen wirksamesManagement und Kontrolle derOrganisationsfinanzen und die Auswirkungenexterner Faktoren wie Kreditverfügbarkeit,Devisenkurse, Zinskursschwankungen undandere Marktbelastungen.

• Wissensmanagement - Diese betreffen wirk-sames Management und Kontrolle derWissensressourcen, wie auch derenProduktion, Schutz und Kommunikation.Zu externen Faktoren gehören möglicher-weise die unerlaubte Verwendung oder derMissbrauch geistigen Eigentums, örtlicherStromausfall und Wettbewerbstechnologie.Interne Faktoren sind vielleichtSystemstörungen oder Verlust wichtigerMitarbeiter.

• Compliance - Diese betreffen Bereiche wieGesundheit & Sicherheit, Umwelt,Handelsbezeichnungen, Verbraucherschutz,Datenschutz, Beschäftigungspraktiken undVorschriftsfragen.

Während die Risikoidentifizierung durch externeBerater erfolgen kann, ist ein betriebsinternesVorgehen mit gut verständlichen, konsequentenund koordinierten Prozessen und Werkzeugen(vgl. Anlage Seite 14) wahrscheinlich wirksamer.Wesentlich ist der betriebsinterne ‘Besitz' des Risikomanagementverfahrens.

4.2 RisikobeschreibungZiel der Risikobeschreibung ist die Anzeige deridentifizierten Risiken in einem strukturiertenFormat, beispielsweise durch Verwendung einerTabelle. Die umseitige Tabelle zurRisikobeschreibung kann zur einfacherenBeschreibung und Schätzung von Risiken dienen.Der Einsatz einer gut durchdachten Struktur istzur Gewährleistung eines umfassendenVerfahrens für Risikoidentifizierung, -beschrei-bung und -schätzung erforderlich. DurchErwägung der Folgen und Wahrscheinlichkeitjedes in der Tabelle dargestellten Risikos solltees möglich sein, den Stellenwert derSchlüsselrisiken, die eine genauere Analyseerfordern, zu ermitteln. Die Identifizierung dermit der unternehmerischen Tätigkeit und



7

4.3 RisikobeurteilungDie Risikobeurteilung kann hinsichtlich derWahrscheinlichkeit des Eintretens und dermöglichen Folgen quantitativ, halbquantitativoder qualitativ sein.

Beispielsweise können die Folgen sowohlhinsichtlich der Gefahren (Downside- Risiken)und Möglichkeiten (Upside-Risiken) hoch,mittel oder niedrig sein (vgl. Tabelle 4.3.1). DieWahrscheinlichkeit kann hoch, mittel oderniedrig liegen, erfordert allerdings andereDefinitionen bezüglich Gefahren undMöglichkeiten (vgl. Tabellen 4.3.2 und 4.3.3).

Umseitig finden Sie Tabellen mit Beispielen. Verschiedene Organisationen werdenfeststellen, dass verschiedene Maßstäbe fürFolgen und Wahrscheinlichkeit ihrenBedürfnissen am besten entsprechen.

Viele Organisationen stellen beispielsweisefest, dass die Schätzung von Folgen undWahrscheinlichkeit nach hoch, mittel oderniedrig ihren Bedürfnissen durchaus entsprichtund als 3 x 3 Matrize dargestellt werden kann.

Andere Organisationen sind der Meinung, dassihnen die Schätzung von Folgen undWahrscheinlichkeit mittels einer 5 x 5 Matrizeeine bessere Bewertung ermöglicht.


4.2.1 Tabelle - Risikobeschreibung

1. Name des Risikos

2. Tragweite des Risikos

3. Beschaffenheit des Risikos

4. Stakeholder

5. Quantifizierung des Risikos

6. Risikotoleranz/Appetit

7. Risikobehandlungs- &Kontrollmechanismen

8. PotentielleVerbesserungsaktion

9. Strategische und politischeEntwicklungen

Qualitative Beschreibung der Ereignisse, ihres Umfangs, ihrer Art,Anzahl und Dependenzen

Bsp. strategisch, operativ, finanziell, Wissen oder Compliance

Stakeholder und deren Erwartungen

Signifikanz und Wahrscheinlichkeit

Verlustpotential und finanzieller Durchdringungsgrad des RisikosRiskierter Wert Wahrscheinlichkeit und Umfang potentieller Verluste/Gewinne Ziel(e) zur Risikokontrolle und erwünschtes Leistungsniveau

Primäre Mittel zur gegenwärtigen RisikosteuerungVertrauensgrad in die bestehende KontrolleIdentifizierung von Überwachungs- und Revisionsprotokollen

Empfehlungen zur Risikoreduzierung

Identifizierung der für strategische und politische Entwicklungzuständigen Funktion.

Entscheidungsfassung verbundenen Risiken kannals strategisch, Projekt-/taktisch, operativ katego-risiert werden. Wichtig ist die Eingliederung des

Risikomanagements in die Projektplanungsphasewie auch in die gesamte Lebenszeit eines spezifi-schen Projekts.


8


Tabelle 4.3.1 Folgen - Sowohl Gefahren wie auch Möglichkeiten

Hoch

Mittel

Niedrig

Finanzielle Auswirkungen auf die Organisation wahrscheinlich über €xBedeutsame Auswirkungen auf die Strategie oder operativen Tätigkeiten der OrganisationBedeutsames Interesse der Stakeholder

Finanzielle Auswirkungen auf die Organisation wahrscheinlich zwischen €x und €yMäßige Auswirkungen auf die Strategie oder operativen Tätigkeiten der OrganisationMäßiges Interesse der Stakeholder

Finanzielle Auswirkungen auf die Organisation wahrscheinlich unter €yNiedrige Auswirkungen auf die Strategie oder operativen Tätigkeiten der OrganisationNiedriges Interesse der Stakeholder

Tabelle 4.3.2 Wahrscheinlichkeit des Eintretens - Gefahren

Schätzung

Hoch(Wahrscheinlich)

Mittel (Möglich)

Niedrig(Unwahrscheinlich)

Beschreibung

Tritt wahrscheinlich jedes Jahrein oder Eintrittschance über25%.

Tritt wahrscheinlich in einemZeitraum von zehn Jahren einoder Eintrittschance unter 25%.

Tritt wahrscheinlich nicht ineinem Zeitraum von zehnJahren ein oder Eintrittschanceunter 2%.

Indikatoren

Potential für mehrfaches Eintreten innerhalbdes Zeitraums (zum Beispiel - zehn Jahre).Kürzlich eingetreten.

Könnte mehr als einmal innerhalb desZeitraums (zum Beispiel - zehn Jahre)eintreten.Möglicherweise aufgrund einiger externerEinflussfaktoren schwer zu bewältigen.Gibt es eine Vorgeschichte für das Eintreten?

Nicht eingetreten.Eintreten unwahrscheinlich.


9


4.4 Risikoanalyseverfahren und -techniken Zur Risikoanalyse stehen eine Reihe vonTechniken zur Verfügung. Diese sind manchmalspezifisch für Upside- oder Downsiderisikengeeignet, manchmal auch für beide.(Beispiele).

4.5 RisikoprofilMit dem Ergebnis des Risikoanalyseverfahrenskann ein Risikoprofil erstellt werden, das jedemRisiko einen Bedeutsamkeitsgrad zuweist undein Werkzeug zur Schwerpunktsetzung bei denBemühungen zur Risikobehandlung liefert.Jedes identifizierte Risiko wird hierarchisch

eingestuft, wodurch die relative Bedeutunghervortritt.

Dieses Verfahrens sorgt für die Eintragung desRisikos auf der Karte des betroffenenGeschäftsbereichs, beschreibt die bestehendenprimären Kontrollverfahren und gibt an, wo dasNiveau der Risikokontrollinvestition erhöht,verringert oder neu zugeteilt werden könnte.

Die Rechenschaftspflicht sorgt für Anerkennungdes Risiko'besitzes' und Zuweisung derangemessenen Managementressource.

Tabelle 4.3.3 Wahrscheinlichkeit des Eintretens - Möglichkeiten

Schätzung

Hoch(Wahrscheinlich)

Mittel (Möglich)

Niedrig(Unwahrscheinlich)

Beschreibung

Günstiges Ergebnis wirdwahrscheinlich in einem Jahrerzielt oder Eintrittschanceüber 75%.

Begründete Aussichten aufgünstige Ergebnisse in einemJahr oder Eintrittschancezwischen 25% und 75%.

Mittelfristig gewisse Aussichtenauf ein günstiges Ergebnis oderEintrittschance unter 25%.

Indikatoren

Eindeutige Möglichkeit, die mit begründeterGewissheit auf Grundlage laufenderManagement-verfahren kurzfristig erreichbarist.

Vielleicht erreichbare Möglichkeiten, dieallerdings umsichtiges Managementerfordern. Möglichkeiten, die sich über den Plan hinausergeben können.

Denkbare Möglichkeit, die vom Managementnoch voll erforscht werden muss.Möglichkeit mit geringer Erfolgswahrschein-lichkeit ausgehend von gegenwärtigeingesetzten Managementressourcen.


10

5. RisikobewertungNach Abschluss des Risikoanalyseverfahrenssind die beurteilten Risiken mit den von derOrganisation ausgearbeiteten Risikokriterien zuvergleichen. Zu den Risikokriterien gehören mög-licherweise anfallende Kosten und Leistungen,rechtliche Auflagen, sozioökonomische undumweltmäßige Faktoren, Anliegen derStakeholder usw. Daher dient dieRisikobewertung zur Entscheidung überRisikosignifikanz für die Organisation undAkzeptanz oder Behandlung jedes spezifischenRisikos.

6. RisikobehandlungRisikobehandlung ist der Prozess der Auswahlund Durchführung von Maßnahmen zurRisikoveränderung. Zu den Hauptelementen derRisikobehandlung gehören Risikokontrolle/- ein-dämmung, wobei aber beispielsweiseRisikovermeidung, Risikotransfer,Risikofinanzierung usw. ebenfalls umfasst sind.

ANMERKUNG: In dieser Norm bezieht sichrRisikofinanzierung auf die Mechanismen (z.B.Versicherungsprogramme) zur Deckung derfinanziellen Folgen des Risikos. Im allgemeinenversteht man unter Risikofinanzierung nicht dieBereitstellung von Mitteln zur Deckung derDurchführungskosten einer Risikobehandlung(gemäß ISO/IEC Guide73; vgl. Seite 17).

Jedes Risikobehandlungssystem sollte mindes-tens Folgendes enthalten:

• wirksame und leistungsfähige Arbeitsweiseder Organisation

• wirksame interne Kontrollen

• Einhalten von Gesetzen und Vorschriften

Das Risikoanalyseverfahren unterstützt die wirk-same und leistungsfähige Arbeitsweise derOrganisation durch Identifikation derjenigenRisiken, mit denen sich das Managementbeschäftigen sollte. Erforderlich ist dabei die

Schwerpunktsetzung bei der Auswahl vonRisikokontrollaktionen je nach ihrem potentiellenNutzen für die Organisation.

Wirksamkeit der internen Kontrolle ist der Grad,um den das Risiko durch die geplantenKontrollmaßnahmen entweder ausgeräumt oderverringert wird.

Die Kostenrentabilität der internen Kontrollebezieht sich auf die Kontrolldurchführungskostenim Vergleich zum erwartetenRisikosenkungsnutzen.

Die geplanten Kontrollen sollten an ihren poten-tiellen wirtschaftlichen Auswirkungen, falls keineAktion erfolgt, im Vergleich zu den Kosten dergeplanten Aktion(en) gemessen werden, wasausnahmslos genauere Informationen undAnnahmen erfordert, als sofort verfügbar sind.

Zuerst gilt es, die Durchführungskosten festzule-gen. Diese müssen ziemlich genau berechnetwerden, da sie schnell die Grundlage zumMessen der Kostenrentabilität abgeben. Auch istder erwartete Verlust bei Unterlassen der Aktionabzuschätzen, wobei das Management dieErgebnisse vergleichen und eine Entscheidungbezüglich Durchführung oder Nichtdurchführungder Risikokontrollmaßnahmen treffen kann.

Die Einhaltung von Gesetzen und Vorschriften istzwingend. Eine Organisation muss die geltendenGesetze kennen und ein Kontrollsystem zurGewährleistung von Compliance einsetzen. Nurgelegentlich zeigt sich eine gewisse Flexibilität,wenn die Kosten für eine Risikoreduzierung inkeinem Verhältnis zu diesem Risiko stehen.

Eine Methode zum Aufbau von finanziellemSchutz gegen Risikoauswirkungen besteht in derRisikofinanzierung, einschließlich Versicherung.Dabei ist allerdings einzuräumen, dass gewisseVerluste oder Verlustelemente nicht versiche-rungsfähig sind, z.B. die nicht versichertenKosten in Verbindung mit Gesundheit amArbeitsplatz, Sicherheit oder Umweltereignissen,die auch das Arbeitsklima und den guten Ruf derOrganisation beeinträchtigen können.



11

7. Risikoberichterstattung

7.1 Interne BerichterstattungDie verschiedenen Organisationsniveausbenötigen unterschiedliche Informationen ausdem Risikomanagementverfahren.

Der Vorstand sollte:

• die bedeutsamsten Risiken für dieOrganisation kennen

• die möglichen Auswirkungen vonAbweichungen bei den erwartetenLeistungsspannen auf den Aktionärswertkennen

• für angemessene Sensibilisierung in dergesamten Organisation sorgen

• wissen, wie die Organisation eine Krisebewältigen wird

• wissen, wie wichtig das Vertrauen derAkteureStakeholder in die Organisation ist

• falls erforderlich wissen, wie dieKommunikation mit derInvestitionsgemeinschaft zu gestalten ist

• überzeugt sein, dass derRisikomanagementprozess wirksamfunktioniert

• eine klare Risikomanagementpolitikeinschließlich Philosophie undVerantwortungen im BereichRisikomanagement veröffentlichen

Die Unternehmenseinheiten sollten:

• sich der in ihren Verantwortungsbereichfallenden Risiken, ihrer etwaigenAuswirkungen auf andere Bereiche und dermöglichen Auswirkungen anderer Bereicheauf sich selbst bewusst sein

• über Leistungsindikatoren verfügen, mitHilfe derer sie die wichtigstengeschäftlichen und finanziellen Tätigkeitenüberwachen, die Zielverwirklichungverfolgen und Entwicklungen identifizierenkönnen, die ein Eingreifen erfordern (z. B.Prognosen und Haushalte).

• Systeme haben, die prognostische undbudgetäre Abweichungen mitangemessener Häufigkeit melden, um einEingreifen zu ermöglichen.

• die oberste Unternehmensleitungsystematisch und umgehend über allewahrgenommenen neuen Risiken oderFehler der bestehendenKontrollmaßnahmen unterrichten

Einzelpersonen sollten:

• ihre Rechenschaftspflicht für Einzelrisikenkennen

• verstehen, wie sie zu einer ständigenVerbesserung desRisikomanagementverhaltens beitragenkönnen

• wissen, dass Risikomanagement undRisikosensibilisierung Kernstück derOrganisationskultur sind

• die oberste Unternehmensleitungsystematisch und umgehend über allewahrgenommenen neuen Risiken oderFehler der bestehendenKontrollmaßnahmen unterrichten

7.2 Externe BerichterstattungEin Unternehmen muss seinen Stakeholdernregelmäßig über die Risikomanagementpolitikund die Wirksamkeit bei der Erreichung seinerZielsetzungen Bericht erstatten.

Die Stakeholdere erwarten von denOrganisationen in steigendem Maße einenNachweis für wirksames Management dernichtfinanziellen Organisationsleistungen, undzwar in Bereichen wieGemeinschaftsangelegenheiten,Menschenrechte, Beschäftigungspraxis,Gesundheit und Sicherheit und Umwelt.

Gute Corporate Governance setzt voraus, dassdie Unternehmen ein methodisches Verfahrenim Bereich Risikomanagement einsetzen,welches:



12

• die Interessen ihrer Stakeholdere schützt

• gewährleistet, dass der Vorstand seinenAufgaben der Strategielenkung,,Wertschöpfung und Überwachung derOrganisationsleistung erfüllt

• gewährleistet, dass Managementkontrollenbestehen und angemessen funktionieren

Die Verfügungen hinsichtlich der formellenBerichterstattung des Risikomanagementssollten klar formuliert und den Stakeholdernzugänglich sein.

Die formelle Berichterstattung sollte folgendeBereiche erfassen:

• Kontrollmethoden - insbesondereZuständigkeiten des Managements fürRisikomanagement

• Verfahren zur Risikoidentifikation und wiediese von den Risikomanagementsystemengehandhabt werden

• bestehende primäre Kontrollsysteme zurBewältigung von bedeutsamen Risiken.

• bestehendes Überwachungs- undRevisionssystem

Alle vom System oder im System selbstermittelten bedeutsamen Mängel sollten,zusammen mit den ergriffenenAbhilfemaßnahmen, gemeldet werden.

8. Struktur und Verwaltung vonRisikomanagement.

8.1 Risikomanagementpolitik

Die Risikomanagementpolitik einerOrganisation sollte den Risikoansatz, denRisikoappetit und das Vorgehen im BereichRisikomanagement darlegen. Auch sollte diePolitik die Verantwortungen fürRisikomanagement organisationsweitabstecken.

Darüber hinaus sollte sie auf alle rechtlichenAuflagen für politische Erklärungen, z. B.Gesundheit und Sicherheit, Bezug nehmen.

Dem Risikomanagementprozess ist einintegriertes Paket von Werkzeugen undTechniken zur Verwendung in denverschiedenen Geschäftsablaufphasenangeschlossen.

Zur wirksamen Arbeitsweise setzt derRisikomanagementprozess Folgendes voraus:

• Zusage des Aufsichtsratvorsitzenden undder Organisationsleitung

• Verantwortungszuordnung innerhalb derOrganisation

• Bereitstellung angemessener Ressourcenzur Ausbildung und Entwicklung einergesteigerten Risikosensibilisierung seitensaller Stakeholder

8.2 Rolle des VorstandsDer Vorstand trägt die Verantwortung für dieFestlegung der strategischen Richtung derOrganisation und für die Schaffung einesUmfeldes und von Strukturen, die einewirksame Arbeitsweise desRisikomanagements ermöglichen.

Dies kann durch eine Gruppe vonFührungskräften, einen nichtleitendenAusschuss, ein Gremium vonRechnungsprüfern oder irgendeine andereFunktion geschehen, die der Betriebsweise derOrganisation angepasst ist und als 'Sponsor'für Risikomanagement auftreten kann.

Bei der Bewertung seines internenKontrollsystems sollte der Vorstandmindestens erwägen:

• Beschaffenheit und Umfang der Downside-Risiken, die für das Unternehmen innerhalbihrer bestimmten geschäftlichen Tätigkeittragbar sind

• die Wahrscheinlichkeit, dass solche RisikenRealität werden



13

• Behandlung nicht akzeptabler Risiken

• Fähigkeit des Unternehmens, dieWahrscheinlichkeit und die Auswirkungenauf den Betrieb möglichst gering zu halten.

• Kosten und Nutzen des Risikos und dererfolgten Kontrollmaßnahme

• Wirksamkeit desRisikomanagementprozesses

• Risikoimplikationen vonVorstandsentscheidungen

8.3 Rolle der UnternehmenseinheitenDiese beinhaltet Folgendes:

• den Unternehmenseinheiten kommt dieprimäre Verantwortung für das laufendeRisikomanagement zu

• das Management derUnternehmenseinheiten ist für dieFörderung der Risikosensibilisierunginnerhalb ihrer geschäftlichen Tätigkeitenverantwortlich; sie solltenRisikomanagementziele in ihre Tätigkeitaufnehmen

• Risikomanagement sollte regelmäßig beiManagementsitzungen zur Sprachekommen, um die Gesamtrisikoposition zuuntersuchen und den Arbeiten im Lichteeiner wirksamen Risikoanalyse neueSchwerpunkte zu setzen

• das Management derUnternehmenseinheiten solltegewährleisten, dass Risikomanagement indie Projektplanungsphase wie auch in dasgesamte Projekt eingegliedert wird

8.4 Rolle der Funktion RisikomanagementJe nach Organisationsgröße kann die FunktionRisikomanagement von einem einzigen “RisikoChampion” bis zu einem Teilzeitrisikomanageroder einer ganzen Risikomanagementabteilungreichen. Die Rolle der Funktion.

Risikomanagement sollte Folgendesbeinhalten:

• Festlegung von Politik und Strategie fürRisikomanagement

• Hauptverfechter von Risikomanagementauf strategischer und operativer Ebene

• Aufbau einer risikosensiblen Kulturinnerhalb der Organisation einschließlichangemessener Aufklärung

• Aufstellung einer internen Risikopolitik undvon Strukturen für dieUnternehmenseinheiten

• Entwurf und Revision vonRisikomanagementprozessen

• Koordinierung der verschiedenendienstlichen Tätigkeiten, die innerhalb derOrganisation zu RisikomanagementfragenRat geben

• Entwicklung von Risikoreaktionsprozessen,einschließlich Programme fürunvorhergesehene Ereignisse undUnternehmenskontinuität

• Ausarbeitung von Risikoberichten fürVorstand und Stakeholder

8.5 Rolle der InnenrevisionDie Rolle der Innenrevision gestaltet sichwahrscheinlich in jeder Organisation anders.

In der Praxis nimmt die Innenrevision wohleinige der oder alle der folgenden Aufgabenwahr:

• Fokussierung der Innenrevisionsarbeit aufdie vom Management identifiziertenbedeutsamen Risiken undRechnungsprüfung derRisikomanagementprozesse in dergesamten Organisation

• Gewissheit bezüglich Risikomanagementbieten



14

• Bereitstellung aktiver Unterstützung undMitarbeit im Risikomanagementprozess

• Erleichterung von Risikoidentifizierung/-schätzung und Unterrichtung desLinienpersonals im BereichRisikomanagement und interne Kontrolle

• Koordinierung der Risikoberichterstattungan den Vorstand, das Gremium derRechnungsprüfer usw.

Bei der Festlegung der geeignetesten Rolle füreine bestimmte Organisation sollte dieInnenrevision die Einhaltung der beruflicherforderlichen Unabhängigkeit und Objektivitätgewährleisten.

8.6 Ressourcen und Durchführung

Die zur Durchführung derRisikomanagementpolitik der Organisationerforderlichen Ressourcen sollten auf jedemManagementniveau und innerhalb jederUnternehmenseinheit eindeutig festgelegtwerden.

Die Aufgaben der im BereichRisikomanagement tätigen Personen bei derKoordinierung der Risikomanagementpolitik/-strategie sollten neben ihren etwaigen anderenoperativen Funktionen klar definiert sein.Dieselbe klare Definition ist auch für diejenigenerforderlich, die im Bereich Rechnungsprüfungund Revision interner Kontrollen oder in derFörderung des Risikomanagementprozessestätig sind.

Risikomanagement sollte mittels der Strategie-und Haushaltsprozesse in die Organisationeingebettet sein. Es sollte bei der Induktionund in allen anderen Ausbildungs- undEntwicklungsbereichen wie auch innerhalboperativer Prozesse, z.B. Entwicklungsprojektefür Produkt/Dienstleistung, hervorstechen.

9. Überwachung und Revisiondes Risikomanagement-prozesses.

Zum wirksamen Risikomanagement gehört eineBerichts- und Revisionsstruktur zurGewährleistung einer wirksamenRisikoidentifikation und -schätzung und desBestehens angemessener Kontrollen undReaktionen. Um Verbesserungsmöglichkeitenzu identifizieren, sollte eine regelmäßigeÜberprüfung der Einhaltung von Politik undNormen und der Standardleistung erfolgen.Dabei ist nicht zu vergessen, dassOrganisationen dynamisch sind und indynamischen Umfeldern agieren.Veränderungen in der Organisation und ihremArbeitsumfeld müssen identifiziert und dieSysteme in angemessener Weise abgeändertwerden.

Der Überwachungsprozess sollte dafür sorgen,dass für die Tätigkeiten der Organisationgeeignete Kontrollen bestehen und dass dieVerfahren verstanden und eingehalten werden.Veränderungen in der Organisation und ihremArbeitsumfeld müssen identifiziert und dieSysteme in angemessener Weise abgeändertwerden.

Jeder Überwachungs- und Revisionsprozesssollte auch ermitteln, ob:

• die durchgeführten Maßnahmen denangestrebten Zweck erfüllten

• die zur Durchführung der Schätzungeingesetzten Prozesse und eingeholtenInformationen angemessen waren

• bessere Kenntnisse zu besserenEntscheidungen beigetragen hätten undwelche Lektionen man für zukünftigeRisikoschätzungen und -managementziehen könnte


ANLAGE

15

10. AnlageTechniken zur Risikoidentifizierung -Beispiele

• Brainstorming

• Fragebögen

• Unternehmensstudien zur Untersuchungjedes Unternehmensprozesses undBeschreibung der internen Prozesse wieauch der externen Faktoren, die einenEinfluss auf diese Prozesse ausübenkönnen

• Branchenleistungsvergleich (Benchmarking)

• Analyse des Einsatzortes

• Workshops zur Risikoschätzung

• Vorfallermittlung

• Rechnunsprüfung und Inspektion

• HAZOP (Hazard & Operability Studies)Gefahren- und Durchführbarkeitsstudien

Risikoanalyseverfahren und

-techniken - Beispiele

Upside risk• Markterhebung

• Untersuchungen

• Vermarktungstest

• Forschung und Entwicklung

• Unternehmenswirkungsanalyse

Beides

• Modellierung einer Abhängigkeit

• SWOT -Analyse (Stärken, Schwächen,Möglichkeiten, Gefahren)

• Ereignisbaumanalyse

• Planung fürzur Unternehmenskontinuität

• BPEST (uUnternehmerische, Ppolitische,wWirtschaftliche, Ssoziale, tTechnologische)Analyse

• Modellierung einer wirklichen Entscheidung

• Entscheidungsfassung unter Risiko- undUngewissheitsbedingungen

• Statistische Rückschlüsse

• Maßnahmen zentraler Tendenz undStreuung

• PESTLE (Politisch, Wirtschaftlich, Sozial,

Technisch, Rechtlich, Umweltmäßig)

Downside-Risiko

• Bedrohungsanalyse

• Fehlerbaumanalyse

• FMEA (Failure Mode & Effect Analysis)(Analyse von Fehlerarten und den darausresultierenden Folgen)


FOR LOCAL INFORMATION, PLEASE CONTACT THE OFFICE OF THE NATIONAL ASSOCIATION

AGERS - Asociacion Española de Gerencia de Riesgos y SegurosPríncipe de Vergara, 86 - 1ª Esc., 2º Izda.– 28006 Madrid - SPAINTel: + 34-91-562.84.25– Fax: + 34-91-561.54.05– Email: [email protected]

AIRMIC - The association of Insurance and Risk ManagersLloyd’s Avenue, 6 – London EC3N3AX - UKTel: + 44-207-480.76.10 – Fax: + 44-207-702.37.52 – Email: [email protected]: www.airmic.com

AMRAE - Association pour le Management des Risques et des Assurances de l'Entreprise Avenue Franklin Roosevelt, 9-11 – 75008 Paris - FRANCETel: + 33-1-42.89.33.16 – Fax: + 33-1-42.89.33.14 – Email: [email protected]: www.amrae.asso.fr

ANRA - Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali Viale Coni Zugna, 53 – 20144 Milano - ITALYTel: + 39-02-58.10.33.00 – Fax: + 39-02-58.10.32.33 – Email: [email protected] – Web: www.anra.it

APOGERIS - Associação Portuguesa de Gestão de Riscos e Seguros Avenida da Boavista, 1245, 3a Esq. – 4100-130 Porto – Portugal Tel. (+351) 22 608 24 62 – Fax (+351) 22 608 24 73 – E-mail: [email protected]

BELRIM - Belgian Risk Management AssociationRue Gatti de Gamond, 254 – 1180 Bruxelles - BELGIUMTel: + 32-2-380.03.94 – Fax: + 32-2-370.34.93 – Email: [email protected] – Web: www.belrim.com

BfV - Bundesverband firmenverbundener Versicherungsvermittler und -Gesellschaften E. V.Hattenbergstrasse 10, 55122 Mainz - DTel. + 49 - 6131 – 662226 - Fax. + 49 - 6131 – 662059 - Email. [email protected]: www.bfv-fvv.de

DARIM - Dansk Industris Risk Management ForeningDK-1787 Copenhagen – DENMARKTel: + 45-33-77.33.77 – Fax: + 45-33-77.33.00 – Email: [email protected]

DVS - Deutscher Versicherungs-Schutzverband e.V.Breite Strasse 98 - D 53111 Bonn - GermanyTel: + 49-228-98.22.30 - Fax: + 49-228-63.16.51- Email: [email protected]: www.dvs-schutzverband.de

NARIM - Nederlandse Associatie van Risk en Insurance ManagersPostbus 65707 – 2506 EA Den Haag – THE NETHERLANDSTel: + 31-70-345.74.26 – Fax: + 31-70-427.32.63 – Email: [email protected] – Web: www.narim.com

SIRM - Swiss Association of Insurance and Risk ManagersRoute du Jura, 37- Case Postale, 74 – 1706 Fribourg - SWITZERLANDTel: + 41-26-347.12.20 – Fax: + 41-26-347.12.39 – Email: [email protected] – Web: www.sirm.ch

FERMA - RUE DE LA PRESSE 4 PHONE: + 32 2 227.11.44 EMAIL: [email protected] 1000 BRUSSELS - BELGIUM FAX: + 32 2 227.11.48 WEB: www.ferma-asso.org

FOR MORE INFORMATION ABOUT FERMA

ALARM - The National Forum for Risk Management in the Public SectorQueens Drive, Exmouth - Devon, EX8 2AYTel: 01395 223399 - Fax: 01395 223304 - Email [email protected] - www.alarm-uk.com

IRM - The Institute of Risk Management6 Lloyd’s Avenue - London EC3N 3AXTel: 020 7709 9808 - Facsimile 020 7709 0716 - Email [email protected] - www.theirm.org

DER RISIKOMANAGEMENT-STANDARD · Management und Kontrolle der Organisationsfinanzen und die...

Documents

Transcript of DER RISIKOMANAGEMENT-STANDARD · Management und Kontrolle der Organisationsfinanzen und die...