Methoden für Enterprise Risk Management

Größe: px
Ab Seite anzeigen:

Download "Methoden für Enterprise Risk Management"

Transkript

1 Methoden für Enterprise Risk Management Michaela Schuster ausgeführt am Institut für Softwaretechnik und Interaktive Systeme Technische Universität Wien Betreuer: DI Mag. Andreas Tomek 13. Februar 2007 Zusammenfassung Zur Einführung wird die Entwicklung des regulatorischen Umfeldes eines Enterprise Risk Management dargestellt. Ausgehend vom Sarbanes-Oxley Act in den USA und Parallelentwickungen in anderen Ländern wird auf Rahmenwerke eingegangen, auf die ein Risikomanagement System aufbaut. Die Arbeit fokusiert sich dabei auf das in den USA entwickelte COSO II Framework aus dem Jahre 2004, das weltweit Anerkennung und Nachahmung gefunden hat. An Hand der Systematik dieses Frameworks werden eine Reihe von Methoden des Enterprise Risk Management gezeigt, angefangen von der Durchsetzung eines solchen Risikomanagement Systems in einem bestehenden Unternehmen, bis hin zu jenen Methoden und Tools, die in einem entwickelten Enteprise Risk Management zur Anwendung kommen. Auch auf das vom Österreichischen Normungsausschuss entwickelte Regelwerk für ein Risikomanagement wird hingewiesen. Inhaltsverzeichnis 1 Einleitung 2 2 Enterprise Risk Management (ERM) 5 3 COSO II Framework 6 4 Rollen und Verantwortungsbereiche in einem ERM-System 9 5 Methoden und Techniken zur Implementierung eines ERMs Probleme bei der Implementierung Methoden zur Implementierung eines ERM-Systems Risk Maturity Modelle

2 5.2.2 COSO Implementierungsprozess eines ERMs Implementierung eines ERMs nach Protiviti Herausforderungen bei der Implementierung eines ERMs Methoden und Techniken für ein laufendes ERM-System Ereignis- bzw. Risikoidentifizierung Erfahrungen Checklisten Kreativtechniken Auswertungsmechanismen zur Risikoidentifizierung Risikoeinschätzung Risk Assessment Qualitative Risikoanalyse Quantitative Risikoanalyse Risikobereitschaft Risk Appetite Risikohandhabung Risk Response Maßnahmen zur Risikohandhabung Tools zur Risikohandhabung Kosten der Risikohandhabung Steuerungs- und Kontrollaktivitäten Control Activities Information und Kommunikation Monitoring Zusammenfassung und Ausblick 42 1 Einleitung Jede unternehmerische Tätigkeit ist mit einem Wagnis und damit mit Risiken verbunden. Wer nicht wagt der nicht gewinnt, oder no risk no fun. Dennoch ist in vielen Unternehmen erst in den letzten Jahren ein besonderes Augenmerk auf das Risikomanagement gelegt worden. Zuvor wurden nur einzelne Risiken ins Auge gefasst wie z.b.: finanzielle Risiken und solche die sich durch eine Versicherung abdecken ließen. [18, 126] Die Verpflichtung dem jährlichen Rechnungslegungsabschluss nicht nur einen Lagebericht zur Geschäftsentwicklung hinzuzufügen, sondern nach dem österreichischen Rechnungslegungsänderungsgesetz 2004 (ReLÄG 2004) auch einen Risikobericht zu erstatten ergibt sich aus 243(1).[12, 1491] Danach sind... die wesentlichen Risken und Ungewissheiten, denen das Unternehmen ausgesetzt ist, zu beschreiben. Barborka et al. [12] Mit dieser Gesetzesänderung wurde die EU-Richtlinie 2003/51/EG umgesetzt. [12, 1489] Diese Risikoberichte betreffen Risiken, die von der Geschäftsleitung bzw. vom Finanzmanagement definiert wurden. Ein alle Stufen eines Unternehmens durchdringendes Risikomanagement ist dadurch nicht gegeben. 2

3 Der Österreichische Arbeitskreis für Corporate Governance, hat erstmalig am den Österreichischen Corporate Governance Kodex vorgestellt. Die aktuelle Ausgabe vom Jänner 2006 sieht im Abschnitt VI. Transparenz und Prüfung unter Punkt 63 vor [23, 34]: Die Gesellschaft erstellt ihren Konzernabschluss nach den internatinalen Rechnungsstandards. Österreichischer Arbeitskreis für Corporate Governance [23] Diese Bestimmung deckt sich mit dem 245a Abs. 1 des Handelsgesetzbuches, nach dem börsennotierte Unternehmen für Geschäftsjahre, die nach dem beginnen, Konzernabschlüsse nach den internationalen Rechnungslegungsstandards aufzustellen. Der Punkt 67 des Österreichischen Corporate Governance Kodex legt fest [23, 35]: Die Gesellschaft legt im Konzernlagebericht eine angemessene Analyse des Geschäftsverlaufes vor und beschreibt darin wesentliche finanzi- elle und nicht-finanzielle Risiken und Ungewissheiten, denen das Unternehmen ausgesezt ist, wie Branchenrisiken, geographische Risiken, Zinsen, Währungen, Derivativgeschäfte und Off-balance-sheet Transaktionen, sowie die wesentlichen eingesetzten Risikomanagement-Instrumente. Österreichischer Arbeitskreis für Corporate Governance [23] Die Finanzskandale in den Jahren 2001 und 2002 haben in den USA zu einem Vertrauensverlust der Kapitalmärkte geführt. Zu nennen sind hier die Insolvenz von Enron, einem Energieunternehmen, im Dezember 2001 und der Zusammenbruch von Worldcom, einem Telekommunikationsunternehmen, im Juli Beide waren von dem bis dahin renommierten Wirtschaftsprüfungsunternehmen Arthur Andersen geprüft worden. [14, 7ff] Daraus hat sich gezeigt, dass die geltenden Generally Accepted Accounting Principles (GAAP) unzureichend waren. Die Reaktion der US-Behörden war, dass der Kongress im Juli 2002 den Sarbanes-Oxley Act (SOX) beschlossen hat. SOX ist ein US-Gesetz, das aber durch die mannigfaltige Verflechtungen internationaler Konzerne, weltweite Wirkung hat: Einerseits für Tochtergesellschaften außerhalb der USA, andererseits für in den USA börsenorientierten Unternehmen. Die Durchführungsbestimmungen zum SOX wurden in der Zeit vom August 2002 bis Oktober 2003 von der Security and Exchange Commission (SEC) erlassen. [14, 12,13] In Section 302 legt SOX die Anforderungen an die Berichterstattung in die Verpflichtung des Chief Executive Officer (CEO) und Chief Financial Officer (CFO). Dazu werden im Unterabschnitt 302(a)(4)(A) der CEO und der CFO für die Einrichtung und Erhaltung interner Kontrollen verantwortlich gemacht. Entsprechend Abschnitt 302(a)(4)(C) haben CEO und CFO die Effektivität der internen Kontrollen innerhalb eines Zeitraums von 90 Tagen vor der Erstellung des Reports zu bewerten. Auch müssen wesentliche Veränderungen in der internen Kontrolle berichtet werden. [13, 8ff] Der SOX fordert in Section 404(a)(1) die Einrichtung und die Erhaltung einer entsprechenden internen Kontrollstruktur und Verfahren für das finanzielle Berichtswesen. Laut S404(a)(2) muss der für die Veröffentlichung des Jahresberichtes Verantwortliche am Ende des Fiskaljahres die Effektivität der internen Kontrolleinrichtungen und die angewendeten Verfahren bewerten. Abschnitt S404(b) verpflichtet den externen Abschlussprüfer einen gesonderten Bericht über die interne Prüfung zu erstellen. [13, 11] 3

4 Die von der SEC erlassenen Durchführungsbestimmungen zum SOX Abschnitt 404 sehen den Einsatz eines anerkannten standardisierten Rahmenwerkes vor. Dazu empfiehlt SEC die Benutzung von COSO, allerdings nicht zwingend. [14, 75f] Das Committee of the Sponsoring Organizations of the Treadway Commission (COSO) ist eine gemeinsame Initiative privatwirtschaftlicher amerikanischer Wirtschaftsinstitute. Es hat eine Studie zu den Ursachen betrügerischer Finanzberichterstattung in den USA durchgeführt. Als Ergebnis zeigte sich, dass bei den untersuchten Betrugsfällen das interne Kontrollsystem des Unternehmens entweder nicht umfassend genug gestaltet war oder vom Management umgangen werden konnte. Um dies zukünftig zu verhindern, lautete die Empfehlung ein adäquates Rahmenwerk als Basis für das interne Kontrollsystem zu entwickeln. Christof Menzies [14] Das Ergebnis, die Fassung 1992, ist ein internes Kontrollsystem, mit Schwerpunkt Finanzen, das bereits ein Risk Assessment beinhaltet hat. Das danach aufkommende Bewusstsein, dass das Risikomanagement nicht nur für den Finanzbereich sondern unternehmensweit Bedeutung hat, führte zu einer COSO Studie im Jahr 2003, die 2004 als COSO II veröffentlicht wurde. COSO II fußt auf dem Rahmenwerk von COSO I aus dem Jahre 1992 und erweitert dieses um ein unternehmensweites Risikomanagement. [14, 118] Die neueste Entwicklung hat gezeigt, dass für kleine und mittlere Kapitalgesellschaften eine vereinfachte Fassung von COSO II angebracht ist. In diesem Sinne hat das Committee of Sponsoring Organizations of the Treadway Commission im Juni 2006 das Leitsystem COSO small business guidance veröffentlicht, das zwar auf dem gleichen Rahmenwerk beruht wie COSO I, welches aber speziell auf Fragen und Probleme von kleinen und mittleren Unternehmen abgestellt ist. [5] Neben COSO haben sich noch andere Frameworks entwickelt von denen der The King Report on Corporate Governance for South Africa (King II Report) aus dem Jahre 2002 zu nennen ist, der im Anhang risk management and internal controls enthält. Anzuführen ist auch der Australian/New Zeland Standard Risk Management (AU/NZS) der im Anhang 1 den The Standard s risk managment process darstellt. [19, 16ff] Ein weiteres Framework, das auf die finanzielle Struktur eines Finanzdienstleisters (Banken, Versicherungen) abzielt, ist das International Convergence of Capital Measurment and Capital Standards: A Revised Framework, bekannt als Basel II. Basel II basiert auf 3 Pfeilern. Minimum an Kapitalbedarf, Überwachungs- und Berichtsprozesse und Marktdisziplin. Die Risiken gliedert Basel II in 3 Kategorien: Kreditrisiken, Marktrisiken und operationelle Risiken. [20, 71f] [22, 27f] Für Europa ist auch von Bedeutung der Risk Management Standard (RMS) aus 2004 von der Federation of European Risk Management Association (FERMA). FERMA ist ein Konsortium von Britischen Organisationen, welches aus Instituten für Risk Management, Versicherun- gen und Risikomanagement des öffentlichen Sektors besteht. [19, 16ff] In Zusammenarbeit mit der Swiss Association of Quality hat das ON Österreichische Normungsinstitut im Jänner 2004 ein Regelwerk zum Risikomanagement für Organisationen und Systeme herausgebracht, das sich aus folgenden Teilen zusammensetzt [1] [22, 10f]: 4

5 Begriffe und Grundlagen ONR Elemente des Risikomanagement-Systems ONR Leitfaden für das Risikomanagement ONR Leitfaden für die Einbettung des Risikomanagementsystems in das Managementsystem ONR Anforderungen an die Qualifikation des Risikomanagers ONR Brühwiler, der Vorsitzende des Arbeitskreises Risikomanagement des Österreichischen Normungsinstituts, führt hierzu aus [1, 3]: Das Regelwerk Risikomanagement soll aufbauend auf vorhandenen normativen Grundlagen einen übergeordneten, offenen und umfassenden Rahmen für das Risikomanagement von Organisationen und Systemen schaffen. Durch die Anpassung an die individuellen Gegebenheiten und Bedürfnisse kann das Risikomanagement in unterschiedlichen Gebieten, aber auf einheitlichen Grundlagen, Begriffen, Methoden und System-Elementen angewendet werden. Bruno Brühwiler [1] Brühwiler verweist auch auf die Bedeutung von Basel II, mit dem die Risiken in der Finanzwirtschaft abgedeckt werden. Zur Geltung des ON-Regelwerkes schreibt Brühwiler [1, 2]: ONR 49000ff... wollen den Unternehmen und Organisationen keinenfalls neue Vorschriften auferlegen, wie es in den USA mit den Sarbanes-Oxley geschieht. Die neuen ONRs verstehen sich als Hilfestellung für Manager, die wissen wollen, wie sie am besten mit ihren Risiken umgehen können. Bruno Brühwiler [1] Wegen der globalen Bedeutung von COSO II soll im Folgenden die Darstellung auf dieses Framework fokussiert werden, die in anderen Frameworks genannten Methoden für ein ERM sollen dabei nicht vernachlässigt werden. 2 Enterprise Risk Management (ERM) Chapman beschreibt in Simple tools and techniques for enterprise risk management [2, 8] ein ERM als ein System, das eine Reihe von Parametern erfüllen muss. Es muss in das Geschäftssystem der internen Kontrolle eingebettet, muss aber gleichzeitig auf andere internen Kontrollen abgestimmt sein, muss diese reflektieren bzw. diesen entsprechen. ERM dient dem Schutz und dem Wertzuwachs des Aktienkapitals um das vordringlichste Geschäftsziel zu erfüllen: die Maximierung des Aktienwertes. Ein ERM muss in vielschichtiger Weise alle Aspekte des Geschäftsplanes ansprechen, diese sind: Strategieplan Marketingplan Operationsplan Forschung und Entwicklung Management und Organisation Forecasts und Finanzdaten Finanzbereich Risikomanagementprozesse Geschäftskontrolle 5

6 Abbildung 1: ERM-Framework [2, 10] Chapman [2, 10] verweist auf die Notwendigkeit eines Frameworks und gibt hierzu ein Schema (siehe Abb. 1). Zur Implementierung bemerkt Chapman, dass diese aus eigenen Mitteln und mit eigenem Personal und eigenem Know-how erfolgen kann, oder mit externem Support. Allerdings weist Chapman auf die Probleme bei der Implementierung eines ERM hin, wobei er zu dem Schluss kommt, dass die inneren Reibungsfla chen so groß sein werden, dass externe Beratung angezeigt ist [2, 11,99ff]. Hierzu wird im Abschnitt 5 u ber die Methoden und Techniken zur Implementierung eines ERMs na her eingegangen. Die in Abbildung 1 angefu hrten Risikomanagementprozesse geben einen guten Anhalt um Methoden des Risikomanagements innerhalb eines ERMs zuzuordnen. 3 COSO II Framework Das COSO II Framework das gelegentlich auch COSO-ERM Framework genannt wird beru cksichtigt nicht nur finanzielle Risiken sondern auch Risiken, die das gesamte Unternehmen beru hren. Das Risikomanagement wird damit zu einer unternehmensweiten Disziplin. In der Executive Summery des COSO II Draft wird das Enterprise Risk Management wie folgt definiert: Enterprise risk management is a process, effected by an entity s board of direc tors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within is risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Coso [3] Daraus ergibt sich [3, 3ff]: Enterprise Risk Management ist ein laufender, nie endender Prozess. wird von allen Mitarbeitern umgesetzt, ist also keine reine Policy oder ein Formularsatz, sondern bezieht die Mitarbeiter in jeder Ebene der Organisation mit ein. 6

7 hat Einfluss auf die Strategie, die eventuell angesichts eines auftretenden Risikos geändert werden muss. wird quer durch das Unternehmen angewendet, in jeder Ebene und jeder Einheit. ist so entworfen, dass jedes mögliche Ereignis identifiziert werden kann, das so zu managen ist, dass es innerhalb der Risikobereitschaft des Unternehmens liegt. bietet eine sinnvolle Absicherung für das Top-Management des Unternehmens die gesetzten Unternehmensziele zu erreichen. ist geschaffen, Ziele in einem oder mehreren, überlappenden Bereichen so zu erreichen, dass Gesetze und Vorschriften nicht verletzt werden. Der COSO II Würfel Um das ERM zu veranschaulichen wurde COSO II als dreidimensionales Framework entwickelt und besteht aus vier Zielkategorien, acht Komponenten und vier Stufen der Unternehmensgliederung. Die acht Komponenten sind [18, 129]: Internes Umfeld Abschnitt 5.2 Risikomanagementphilosopie Risikobereitschaft Zusammensetzung des Boards Integrität und ethische Werte Bekenntnis zur Kompetenz Organisationsstruktur Festlegung von Verantwortlichkeit und Autorität Abschnitt 4 Human-Ressource-Standards Zielsetzung Strategische Ziele Abgeleitete Ziele (operative, Reporting- und Compliance-Ziele) Risikobereitschaft Abschnitt Risikotoleranz Ereignisidentifikation Abschnitt 6.1 Erkennen von Ereignissen Einflussfaktoren Methoden zur Ereigniserkennung Chancen und Risiken Wechselbeziehungen zwischen Ereignissen Ereigniskategorien Risikoeinschätzung Abschnitt 6.2 Inhärentes Risiko und Residualrisiko 7

8 Eintrittswahrscheinlichkeit und Auswirkung Methoden zur Risikobeurteilung Wechselbeziehungen zwischen Ereignissen/Risiken Risikobehandlung Abschnitt 6.3 Maßnahmen zur Handhabung von Risiken Evaluation möglicher Maßnahmen Beurteilung und Auswahl geeigneter Maßnahmen Portfolio-Ansatz Steuerungs- und Kontrollaktivitäten Abschnitt 6.4 Abstimmung der Steuerungs- und Kontrollaktivitäten mit den Maßnahmen zur Handhabung von Risiken Arten der Steuerungs- und Kontrollaktivitäten Richtlinien und Verfahren Steuerungs- und Kontrollaktivitäten für IT-Systeme Information und Kommunikation Abschnitt 6.5 Information Kommunikation Monitoring Abschnitt 6.6 Kontinuierliches Monitoring Separate Beurteilungen Berichterstattung über Mängel Die vier Zielkategorien sind [4, 11]: Strategische Ziele betreffen den höchsten Level der Ziele gestützt auf der Unternehmensvision. Operationale Ziele effiziente Nutzung der Unternehmensressourcen zur Zielereichung. Reporting Zuverlässigkeit der Unternehmensberichterstattung. Compliance Übereinstimmung der Geschäftstätigkeit mit geltenden Normen. Die vier sich aus der Unternehmensgliederung ergebenden Einheiten [3, 16]: Filiale, Geschäftseinheit, Division, Gesamtunternehmen. COSO hat die dreidimensionale Darstellung des Frameworks in Gestalt eines Würfels veranschaulicht (siehe Abb. 2). [18, 127] Die in den folgenden Kapiteln dargestellten Methoden und Tools sind so weit als möglich den Komponenten des COSO II Würfels zugeordnet. 8

9 Abbildung 2: COSO II Würfel nach [18, 127] 4 Rollen und Verantwortungsbereiche in einem ERM-System Bevor auf die Methoden und Techniken im Einzelnen eingegangen wird, werden die Rollen und Verantwortungsbereiche innerhalb eines ERMs dargestellt. Obwohl in einem ERM jeder in die Verantwortlichkeit eingebunden ist, so ergeben sich doch Unterschiede in der Rolle, die sich aus der hierarchischen Gliederung eines Unternehmens ergeben [3, 19ff]: Board of Directors Das Board of Directors stellt die Vertretung der Eigentümer und anderer am Unternehmen interessierten Personen (Stakeholders) dar und darüber hinaus auch die vom Board auszuwählenden sachkundigen Manager. Damit unterscheidet sich das Board of Directors vom Aufsichtsrat des deutschen bzw. österreichischen Aktienrechtes, denn nach diesen Rechtsvorschriften kann ein operativ wirkender Manager nicht auch zugleich Mitglied des Aufsichtsrates sein. Damit ist das Board of Directors viel näher an das aktive Geschäft und damit auch an der Mitwirkung am ERM gebunden. [14, 55] Das Management ist dem Board of Directors berichtspflichtig, wobei das Board bei der Auswahl der ihm angehörigen Manager deren Integrität und deren ethischen Werten beachten soll. Das Board spielt eine tragende Rolle bei wichtigen Entscheidungen und bei der Entwicklung von Strategien und übergeordneten Zielsetzungen sowie bei der Entscheidung der bereitzustellenden Mittel. Im Bezug auf das ERM gibt das Board die Richtlinien für [3, 19]: Vorgabe des Rahmens in dem das Management ein effektives ERM zu installieren hat. Bewusstmachung und Zustimmung zur Risikobereitschaft des Unternehmens. Überprüfung der Risikoliste des Unternehmens mit Abstimmung der Risikobereitschaft. Kenntnisnahme der wichtigsten Risiken und Feststellung ob und wie weit das Management darüber zu berichten hat. 9

10 Das Board ist Teil des Inneren Umfeldes und hat darauf zu achten, dass ein ERM eingeführt wird, und dass es effizient arbeitet. Die Entscheidungsgrundlagen beziehen die Mitglieder des Boards aus dem Berichtswesen vom Management an das Board. Management An der Spitze steht der Chief Executive Officer (CEO). Er ist für Einführung und Funktion des ERM ultimativ verantwortlich. Er ist auch bestimmend für den tone at the top, für die Integrität, für die Ethik und anderen Faktoren des Inneren Umfeldes. In größeren Unternehmungen teilt er seine Aufgaben mit den ihm unterstellten Senior Managern, in kleineren Unternehmungen hat er oft die Stellung eines geschäftsführenden Gesellschafters. [3, 20] Laut Section 302 legt SOX die Verpflichtung zur Risikoberichterstattung dem CEO und dem CFO in die Hände. Risk Officer Der Risk Officer, in größeren Unternehmungen auch der Chief Risk Officer (CRO) oder Risk Manager, arbeitet im Zusammenwirken mit anderen Managern. Der Schwerpunkt des ERMs liegt im Wirkungsbereich des Risk Officers, der die weiter unten angeführten Methoden zu handhaben und sowohl in vertikaler als auch in horizontaler Linie zu berichten hat. [3, 20] Andererseits hat die Tätigkeit des Risk Manager auch Grenzen. Ein effektives ERM hilft dem Management Ziele zu erreichen. Aber ein ERM darf nicht so weit gehen, dass ein Erfolg verhindert wird. [3, 19] Internal Auditors Diese spielen eine große Rolle in der Beobachtung des ERMs deren Qualität und Effizienz. Sie sollen sowohl das Management unterstützen und das Board oder das Audit Committee unterrichten. [3, 20] Übriges Personal Das ERM bringt bis zu einem gewissen Grad für jedermann in einem Unternehmen eine Verantwortlichkeit. Daher sollte in der Jobbeschreibung das ERM enthalten sein, sowie die Berichtspflicht über auftretende Risken. [3, 20] Im nächsten Kapitel wird auf die Methoden und Techniken eines ERM-Systems eingegangen. Dabei muss ein Unterschied gemacht werden, zwischen den Methoden bei der Implementierung eines ERMs und jenen Methoden die bei einem laufenden ERM-System angewendet werden müssen. 5 Methoden und Techniken zur Implementierung eines ERMs 5.1 Probleme bei der Implementierung Die Implementierung eines ERM in eine Unternehmensstruktur ist eine schwierige Aufgabe. Chapman beschreibt in Simple tools und techniques [2, 99ff] die Probleme, die sich bei Einführung eines ERM in einem Unternehmen ergeben, wobei er davon ausgeht, dass ein externer Berater (Auftragnehmer) herangezogen wird. Die Ausführungen zeigen, dass der Verzicht auf einen externen Berater kaum das gewünschte Ergebnis bringen wird, wie im Folgenden 10

11 dargestellt wird: Auf die Vorarbeiten und Fragestellungen, wie sie bei jedem Projekt auftreten, soll hier nicht weiter eingegangen werden, da sie sich von anderen Projekten nicht wesentlich unterscheiden. Anders ist es bei den Problemen, die sich aus den Schnittstellen zu den Mitarbeitern des Auftraggebers ergeben. Die Einführung eines ERM-Systems bringt organisatorische Änderungen, die in vielen Fällen auf Widerstand der Beteiligten stoßen. Der CEO und der CFO sind zwar gesetzlich verpflichtet ein ERM zu installieren, aber bereits die Schnittstelle zum Board of Stakeholder kann Probleme aufkommen lassen. Chapman verweist hier auf eine Arbeit von Cope, der, nicht ohne Sarkasmus, vier charakteristische Typen von Stakeholder unterschieden hat [2, 101]: Eine key person ist eine für die Erfüllung der ERM-Implementierung entscheidende Person, die die Macht hat Änderungen zu bewirken, aber deren Handlungen oft unvorhersehbar sind. Eine loose cannon ist eine Person, die, wenn sie in der ERM-Implementierung eingebunden ist, einen Mangel an entsprechenden Kenntnissen zeigt und kein rechtes Verständnis für Änderungen und Maßnahmen hat, mit denen Risiken eingeschätzt werden können. Ein little interest ist eine Randfigur, die Macht hat Veränderung zu beeinflussen, deren Interessen jedoch anderwärtig liegen und die nicht interessiert ist vom Anfang an miteinbezogen zu werden. Sie möchte erst später mit der ERM-Implementierung befasst werden, missbilligt dann einige Aspekte und schlägt Änderungen vor. Ein desperate dan hat den ausgeprägten Wunsch in die ERM-Implementierung einbezogen zu werden, hat aber geringe Fähigkeiten und ein niederes Maß an Verständnis für die Notwendigkeit von Änderungen. Andererseits sollen gerade die Stakeholder während der ERM-Implementierung den Prozess überwachen und durch ihren Einfluss einen erfolgreichen Abschluss sichern. Auch die Schnittstellen zu operativen Managern sind mitunter problembelastet. In einem bestehenden Unternehmen haben sich die einzelnen Personen, insbesondere im Management Positionen erarbeitet oder ersessen und sehen daher jeder organisatorischen Änderung mit Misstrauen entgegen. Diese Personen fürchten um ihre Reputation durch eine zusätzliche Kontrolle. Auch das Sammeln von Informationen ein wichtiger Prozess muss einem vorgegeben Plan folgen: Welche Daten werden benötigt, wo sind sie zu finden und wie kann man darauf zugreifen. Dabei ist es notwendig die Daten auch richtig zu verstehen, was in der Regel nur durch persönliche Gesprächen mit Personen des Auftraggebers erfolgen kann. Für gewöhnlich stößt man beim Sammeln von Daten auf harte Fakten, während hingegen potentielle Risiken in schwer fassbaren Bereichen liegen können. Bei Einschätzung der Risiken muss man die Kultur der Organisation verstehen. Die Kultur beeinflusst die Art der Aktivitäten, die Arbeitsmethoden, die Qualitätskontrolle, die Entscheidungsprozesse, etc. Es ist auch zu berücksichtigen, dass Mitglieder des vom Auftraggeber bestellten Projektteams bewusst eine Risikoeinschätzung unterdrücken von dem ihre Jobs abhängig sind. Das Umgekehrte kann eintreten, wenn z.b.: eine Firmenübernahme geplant ist und die damit verbunden Risiken überbewertet werden aus Angst vor drohenden Jobkürzungen. [2, 101f] Aus dieser zweifellos negativ gefärbten Darstellung einer ERM-Implentierung zeigt sich, dass 11

12 auch ein externer Berater auf Schwierigkeiten stoßen wird. Umso mehr muss man befürchten, dass Personen, die aus dem eigenen Kreis mit der Einführung eines ERMs beauftragt werden geringe Aussichten auf Erfolg haben werden. Die Gründe dafür liegen auf der Hand: Betriebsblindheit, Voreingenommenheit, Freunde nicht verletzen zu wollen, Abhängigkeitsgefühl von ehemaligen Vorgesetzten, begleichen alter Rechnungen,..., jedenfalls nicht Unbefangenheit und Objektivität. Damit zeigt sich aus den dargestellten Problemen, die sich bei der Einführung eines ERM innerbetrieblich ergeben, wie wichtig es ist, ein entsprechendes Inneres Umfeld gemäß der ersten Komponente des COSO II Würfels zu schaffen. Die ERM-Implementierung auch wenn sie von einem externen Berater erfolgt wird nicht mit einem Schlag gelingen. Chapman [2, 417] zeigt verschiedene Stufen von Implementierungsprozessen eines Risk Maturity Modells auf, die im Folgenden dargestellt werden. Auch der COSO Implementierungsprozess eines ERMs sowie die Implementierung eines ERMs nach Protiviti werden vorgestellt. 5.2 Methoden zur Implementierung eines ERM-Systems Die erfolgreiche Implementierung eines ERM-Systems kann zugleich als eine Methode betrachtet werden, um das Interne Umfeld erfolgreich zu gestalten Risk Maturity Modelle Bereits 1993 wurde vom Government Center for Information Systems (CCTA) ein Risk Marturiy Modell vorgeschlagen, das vier Reifestufen (maturity levels) umfasst. Eine Alterntive veröffentlichte Hilson 1997, das ebenfalls vier Entwicklungsstufen aufweist: naive, novice, normalised und natural. Zur vierten Entwicklungsstufe hat Hopkinson im Jahr 2000 ein Risk Maturity Modell for Business entwickelt, das diese Stufe nach folgenden Aufgaben gliedert: Management, Risk Identification, Risk Analysis, Risk Control, Risk Review und Culture. [2, 417] Das hier näher dargestellte Business Risk Maturity Modell in Abb. 3 stammt von Chapman (2006). [2, 420] Auch dieses Modell zeigt vier Stufen. Die Implementierung geht durch alle Bereiche des Unternehmens stufenweise vor sich. Dieses Modell bezieht sich zwar nicht auf die einzelnen Komponenten von COSO II lässt sich aber auf diese projizieren COSO Implementierungsprozess eines ERMs COSO beschreibt in Enterprise Risk Management Integrated Framework, Application Techniques [7, 3] einen Implementierungsprozess, der auf einer Reihe funktioneller Schritte beruht: Vorbereitungen eines Kernteams Dieses Team setzt sich aus Vertretern verschiedener Unternehmenseinheiten einschließlich der strategischen Planung zusammen. Das Team muss sich mit den Komponenten des Frameworks vertraut machen, ferner mit den Konzepten und Prinzipien eines Risikomanagements. Damit entstehen ein gemeinsames Verständnis und das Fundament, um ein ERM zu implementieren. Wichtig ist die Erläuterung der Vorteile eines Enterprise Risik Mangements [3, 2f]. Diese Vorteile sind: 12

13 Überblick Kultur System Erfahrung Training Management Stufe 1 Stufe 2 Stufe 3 Stufe 4 Anfangszustand Basis Standard Ausgereiftes System - Gesetzestreue nur im Ansatz vorhandetes - RM zur Verbesserung des Geschäf- - RM ist im Routinegeschäftsprozess vom An- - RM wird als wesentlich betrachtet um eingerichtet fang bis Ende eingebunden, von der Produkti- Geschäftsziele zu erreichen - Risikobereitschaft nicht definiert - Risikobereitschaft ist definiert on bis zur Auslieferung bzw. Leistungserbringuntion - Kommunikation zur ganzen Organisa- - Kein Framework entwickelt - Framework ist eingerichtet - Risikoprofile nicht definiert - Risikosystem ist eingerichtet - Vorteile von RM sind auf allen Ebenen der - Die Risikobereitschaft ist transparent - Senior Management bezieht RM nicht - Risikoprofil ist definiert Organisation erkannt worden - Geschäftsabläufe laufend verbessert als Entscheidungswerkzeug mit ein - Initiatives RM - Ausgeklügelte Modelltechnik - RM nur für die gesetzliche Mindestanforderungen des Jahresberichtes - Genaue Risikomanagement- Rollen sind nicht definiert - Risikostrategie unklar - Risikorahmenwerk (und deren festgesetzte Teile) unterentwickelt - Sehr beschränktes Verständnis der Systeme, der Terminologie oder der Software - Kein Training im Haus oder mit externen Support vorgesehen - Managementpraktiken sind auf die Erfüllung der gesetzlichen Mindestanforderungen ausgerichtet - Verlustrisiko ist definiert - Rollen und Verantwortlichkeiten sind definiert - Meetingstruktur ist festgelegt - Entscheidungsfindungsmechanismen sind eingerichtet - RM Framework ist in Entwicklung - Operation Research (OR) oder Business Continuity Management (BCM) nicht eingesetzt - Schlechte Datensammlung und Trendanalyse - Beschränkt auf wenige Personen des Audit Komitee und des Sekretariats - Training findet durch Mitglieder des Audit Komitee statt - Betriebskapital wird für operationalen Risiken bereitgestellt - Operationales RM reagiert erst bei Auftreten eines Risikos (reaktiv) - Risikobericht auf jährlicher Basis - Initiative Annäherung an das RM um Geschäftsabläufe zu verbessern - Zentrale Risikomanagement Funktion ist geschaffen - Im Rahmen des Boards werden auf hoher Ebene Risiken und Verantwortlichkeiten in regelmäßigen Abständen besprochen - RM Strategie ist definiert, grundsätzlich und praktisch - RM Framework ist entwickelt - OR und BCM Framework sind implementiert - Im Haus besteht ein Kern von Experten bezüglich Systeme, Modellierung und Planung von Gegenmaßnahmen - Risikomanager ist ernannt - Ein Risiko Komitee ist eingerichtet - Richtlinien werden den Abteilungsleitern zur Verfügung gestellt - Frühwarnindikatoren sind für das OR eingerichtet - Betriebskapital wird für die Markt-, Kredit-, und operationale Risiken zur Verfügung gestellt - Die Kontrolle der operationalen Risiken werden in den Geschäftsablauf miteinbezogen - BCM Pläne sind entwickelt - Risiken werden auf Halbjahresbasis berichtet - RM Kultur wird vom CEO geleitet - RM Information wird zur Entscheidungsfindung genützt - Die Rollen und Verantwortlichkeiten im RM werden im Einstellungsprozess, auf die Stellenbeschreibung und die Arbeitsbeurteilung einbezogen - Vorsorgliche Verankerung von RM in Dienstverträgen - RM Strategie ist definiert und wird laufend überprüft - RM Framework ist entwickelt und mit Best Practise gemessen - Das Risikobewusstsein durchdringt die gesamte Organisation und wird durch externe Berater unterstützt - Trainings- und Ausbildungsprogramme sind für leitende Personen aller Geschäftseinheiten vorgesehen - Richtlinien werden den Abteilungsleitern zur Verfügung gestellt - Frühwarnindikatoren sind für das OR als auch für Geschäftsbereiche eingerichtet - Risiken bezüglich der Geschäftsreputation werden berücksichtigt - Kapitalzuweisung wird für alle Risiken vorgesehen - Operationale Risikokontrolle ist in alle Geschäftsprozesse einbezogen - BCM Pläne werden in regelmäßigen Zeitabschnitten testet - Risikobericht erfolgt monatlich Abbildung 3: Risk Maturity Modell [2, 420] Abstimmung von Risikobereitschaft und Strategie Die Risikobereitschaft ist das Ausmaß eines Risikos welches das Top-Management eines Unternehmens zu übernehmen bereit ist, um die Unternehmensziele zu erreichen. Das Management erwägt die Risikobereitschaft des Unternehmens zuerst in der Bewertung von Alternativstrategien, dann in Zielsetzungen, die mit den ausgewählten Strategien in Übereinstimmung stehen und entwickelt Mechanismen mit denen die entsprechenden Risiken zu bewältigen sind. Verbindung von Wachstum, Risiko und Rendite Unternehmungen akzeptieren Risiken als ein Teil der Wertschöpfung und der Werterhaltung und erwarten einen Return der dem Risiko angemessen ist. Das ERM stellt verbesserte Möglichkeiten bereit um Risiken zu identifizieren und abzuschätzen und stellt ein angemessenes Risikoausmaß fest, das im Verhältnis zu den Wachstums- und Gewinnzielen steht. Bessere Entscheidungsmöglichkeiten bei Auftreten eines Risikos Soll das Risiko vermieden werden, kann man es reduzieren, kann man es teilen oder soll man es akzeptieren. ERM sieht Methoden und Techniken vor, die richtige Entscheidung zu treffen. Minimierung von unerwarteten Ereignissen und Verlusten Ein Unternehmen hat mit ERM die verbesserte Fähigkeit potentielle Ereignisse und 13

14 Vermögensrisiken zu identifizieren und Maßnahmen zu setzen um vor Überraschungen sicher zu sein und darüber hinaus über Kosten und Verluste zu berichten. Identifizierung und Handhabung von Risken, die sich über das gesamte Unternehmen erstrecken Jedes Unternehmen ist mit einer Unzahl von Risiken konfrontiert, die auf verschiedene Teile der Organisation einwirken. Die Unternehmensleitung darf nicht nur einzelne Risken managen, sondern muss auch zusammenhängende Einflüsse verstehen. Bereitstellung integrierender Gegenmaßnahmen auf multiple Risiken Ein Geschäftsprozess kann mehrere inhärente Risiken in sich tragen, das ERM ermöglicht integrierende Lösungen für solche Risiken. Ergreifen von Chancen Das Management neigt dazu eher über Geschäftsmöglichkeiten nachzudenken, als über Risiken. Beim Überdenken einer Reihe von Geschäftsfällen verliert das Management leicht den Überblick, welcher Geschäftsfall mit einer risikoarmen und welcher mit einer risikoreichen Chance verbunden ist. Sinnvolle Kapitalverwendung Eine verlässliche Information über das Gesamtrisiko des Unternehmens gibt dem Management die Möglichkeit eine effektive Einschätzung des Kapitalbedarfs und einer Verbesserung der Mittelverwendung zu treffen. Managementunterstützung Die Personen des Managements müssen den Implementierungsprozess von Anfang an und geschlossen unterstützen. Sie müssen die Vorteile eines ERMs ihren Mitarbeitern erklären und zugleich die erforderlichen Ressourcen sicherstellen. Entwicklung eines Implementierungsplanes Ein Anfangsplan muss für die nächsten Stufen und Projektphasen geschaffen werden, einschließlich der Meilensteine, der Ressourcen und des Zeitablaufes. Die Verantwortlichkeiten sind zu definieren und ein Projektmanagement ist einzusetzen. Der Plan muss die Kommunikation und die Koordination mit der Führungsebene, der einzelnen Unternehmungsbereiche und dem Personal vorsehen. Ferner die Diskussion der unternehmensweiten Veränderungen die mit der Einführung des ERM zusammenhängen. Beurteilung der laufenden Entwicklung Der Implementierungsprozess muss laufend überprüft werden, wie weit die Komponenten, Konzepte und Prinzipien über das gesamte Unternehmen angewendet werden. Damit wird festgestellt, welche Risikomanagementphilosophie sich innerhalb der Organisation entwickelt hat und ob ein übereinstimmendes Verständnis der Risikobereitschaft besteht. Das Kernteam muss die formalen und informalen Richtlinien, Prozesse, Praktiken und Techniken überprüfen und feststellen wie weit die Organisation fähig ist, die Prinzipien des Frameworks anzuwenden. Enterprise Risk Management Vision Das Kernteam entwickelt eine Vision, wie sich das ERM in die Unternehmensstruktur integriert, zur Erreichung der Ziele beiträgt und dabei ein entsprechendes Gleichgewicht mit der Risikobereitschaft des Unternehmens findet. Ferner müssen Managemententscheidungen risikobewusst getroffen werden, um Chancen zu nutzen 14

15 und den Kapitaleinsatz zu optimieren. Entwicklung der Fähigkeiten Die laufende Beurteilung des Implentierungsstatus und die ERM Vision bringt die Erkenntnisse mit sich, wie und wo das Know-How der Mitarbeiter verbessert werden muss, ebenso auch die Technologie und die Prozessabläufe. Auch zeigt sich, welche neuen Fähigkeiten entwickelt werden müssen. Dazu sind Aufgaben und Verantwortlichkeiten zu definieren, Organisationsmodelle zu modifizieren, ebenso wie Richtlinien, Prozesse, Methoden, Werkzeuge, Techniken und der Informationsfluss. Implementierungsplan Der Anfangsplan ist auf aktuellen Stand zu bringen und zu verbessern, indem man in die Tiefe und Breite geht und weitere Einschätzungen und Strukturänderungen mit einbezieht. Zusätzliche Verantwortlichkeiten müssen definiert und das Projektmanagement verbessert werden. Veränderung von Management, Entwicklung und Einsatz Aktivitäten müssen entwickelt und implementiert werden um die ERM Vision zu erhalten und die notwendigen Fähigkeiten abzusichern. Dazu gehören Trainingsprogramme, Leistungsanreize und die Überwachung des restlichen Implementierungsprozesses. Monitoring Das Management muss kontinuierlich über die Stärken und Schwächen der Managementfähigkeiten unterrichtet werden, als Teil eines sich ständig verbessernden Managementprozesses. Einen anderen Weg der Implementierung eines ERMs beschreibt ein von Protiviti Independent Risk Consulting herausgegebenes Papier: Enterprise Risk Management: Practical Implementation Ideas. [9] Implementierung eines ERMs nach Protiviti Diese Implementierungsmethode von Protoviti [9, 3] geht von der innen Struktur eines Unternehmens nach außen. Es wird von einem oder zwei wesentlichen Risiken ausgegangen, diese werden bewertet, die Bedrohlichkeit festgestellt und Gegenmaßnahmen ins Auge gefasst. In vier Stufen werden dem Management und den Mitarbeitern die Wichtigkeit und auch die wirtschaftliche Bedeutung eines ERMs gezeigt und in einer fünften Stufe auf weitere Risiken ausgedehnt. Stufe 1: Enterprise Risk Assessment (ERA) Man schätze die wichtigsten, kritischen Risiken eines Unternehmens ein und zeige, dass die Organisation keine Gegenmaßnahmen getroffen hat bzw. sich auch über die Bewertung dieser Risiken unklar ist. Stufe 2: Artikulation der Risiko Management Vision In diesem Schritt wird die wirtschaftliche Notwendigkeit für die Einführung eines Risiko Managements gezeigt. Auch soll dargestellt werden, wie wichtig es ist, dass die Organisation mit diesen Risiken sachgerecht umgeht. Dazu ist es notwendig, dass die Risiko Management Vision auf die Fähigkeiten und Ziele des Managements aufbaut. Die Methoden, die ein Risiko 15

16 Management zu Erfolg verhelfen, umfassen: Richtlinien, Prozesse, Kompetenzen, ein Berichtswesen und Techniken um Gegenmaßnahmen gegen Risiken zu ergreifen. Die Verwirklichung dieser Anforderungen führt zu einer ERM-Infrastruktur. Daraus erkennt man: Je größer die Kluft zwischen den laufenden und den gewünschten Status der Organisation in Bezug auf ein Risiko Management ist, desto größer ist die Forderung nach einer ERM-Infrastruktur. Eine Arbeitsgruppe von Senior Managern soll angehalten werden die Rolle des Risiko Managements in der Organisation zu definieren und der gesamten Unternehmenseinheit verständlich zu machen. Stufe 3: Verbessertes Risiko Management an Hand von einer oder zwei Risiken In dieser Stufe soll das Risiko Management so weit als möglich verbessert werden, wobei man ein oder zwei wichtige Risiken heranzieht. Für die Identifikation und Bewertung dieser Risiken sind Anknüpfungspunkte zu schaffen. Diese können nach Protiviti sein: Notwendigkeit den Anforderungen des SOX zu entsprechen (Section 404 und 302). Aufzeigen eines oder einiger wichtigen Risiken, die nicht schon im Finanzbericht aufscheinen. Bewertung unternehmensweiter Risiken, um die wichtigen Risikobereiche zu identifizieren. Integration des ERMs mit den anderen Managementprozessen z.b.: mit den strategischen Management, dem jährlichen Geschäftsplan, Entwicklung neuer Produkte, Qualitätsverbesserungen, etc. In den USA beginnen viele börsennotierte Unternehmungen die Einführung eines ERM in Hinblick auf Section 404 (SOX), um die geforderte Transparenz ihrer finanziellen Berichterstattung zu erfüllen. Stufe 4: Bewertung der bestehenden ERM-Infrastruktur und deren Verbesserung Es bedarf einer gewissen Disziplin eine ERM Infrastruktur aufrecht zu erhalten. Dazu gehört unter anderen auch die Beseitigung von offenen Lücken zwischen dem tatsächlichen und gewünschten Status. Auch soll eine allgemein gültige Sprachregelung eingeführt werden. Dazu ist es sinnvoll die unternehmensspezifische ERM-Infrastruktur in ein anerkanntes Framework zu überführen, das Regeln und Best Practices anbietet, ferner Trainingsprogramme und die Ernennung eines Chief Risk Officer vorsieht, die Risikobereitschaft definiert, sowie Gegenmaßnahmen in die Geschäftsabläufe integriert. Eine ERM-Infrastruktur wird nicht für alle Unternehmensarten und -größen die gleiche sein. Ein Framework wie z.b.: COSO sieht eine breite Anwendung vor, ist damit für jedes Unternehmen einsetzbar und bietet zudem eine einheitliche Terminologie. Stufe 5: Ausdehnung des Risk Managements auf das gesamte Unternehmen In den ersten 4 Stufen wurden nur wenige ausgewählte Risiken zur Demonstration herangezogen, um die Vision des ERM zu veranschaulichen und verwirklichen. In der letzten Stufe muss nun diese Vision auf eine breitere Basis gestellt und auch mehr und mehr andere Risiken behandelt werden. 16

17 Mit dieser Methode wird versucht, das in der Regel bereits vorhandene Gefühl für ein Krisenmanagement stufenweise in ein Gefühl für ein Risikomanagement umzuwandeln Herausforderungen bei der Implementierung eines ERMs Abbildung 4 zeigt, dass die höchsten Herausforderungen, die eine Implementierung eines ERM mit sich bringen, die im Unternehmen beschäftigten Menschen betrifft, gefolgt von der Verfügbarkeit und der rechtzeitigen Bereitstellung der Informationen. Diese Herausforderun- Abbildung 4: Herausforderungen bei der ERM-Implementierung [16, 31] gen sind systemimmanent, während zum Beispiel eine Überregulierung von außen aufgezwungen werden kann. [16, 31] 6 Methoden und Techniken für ein laufendes ERM-System 6.1 Ereignis- bzw. Risikoidentifizierung Ausgehend von der Unternehmensvision den strategischen Zielen und einzelnen Zielen sind Ereignisse bzw. Risiken zu identifizieren, die die Erreichung dieser Ziele verhindern oder behindern. Damit wird zum Ausdruck gebracht, dass bei der Identifizierung von Risiken auf die gegebenen Ziele Bezug genommen werden muss. [7, 21f]. Bei der Risikoidentifizierung bedarf es einerseits eines Rückblickes auf Erfahrungen, andererseits eines Blickes in die Zukunft, um mögliche Risiken zu erfassen Erfahrungen Als erste Quelle zur Identifizierung von Risiken werden die bisherigen Erfahrungen des eigenen Unternehmens, Erfahrungen von Wettbewerbern oder der Branche herangezogen. COSO [7, 23] 17

18 spricht in diesem Zusammenhang von Event Inventories. Allerdings werden auch Workshops von erfahrenen Mitarbeitern dazu dienen um aus vergangenen Ereignissen Schlüsse zu ziehen. Zu diesem Zweck können auch Fragebögen entwickelt werden. Dabei ist zu berücksichtigen, dass Risiken in der Vergangenheit stets auch Gegenmaßnahmen wachgerufen haben, was bei Einschätzung dieser Risiken zu beachten ist. Beispiel: Nach einer Rückrufaktion eines KFZ- Herstellers wurde die Qualitätskontrolle verschärft und Sublieferanten gewechselt Checklisten Abarbeiten von Checklisten in denen typische Risikofaktoren aufgezählt sind, eventuell auch Ereignisse, die Risiken nach sich ziehen können. Hierzu existieren standardisierte risk lists die Risiken nach Kategorien, Ursachen und Bereichen auflisten. Zu diesen Checklisten gehören die PEST prompt Listen. Ihr Name ist ein Akronym für Political, Economic, Social and Techniological Factors. Gegliedert nach diesen Bereichen finden sich Ereignisse, die für ein Unternehmen risikoreich sein können. [2, 131, 427f] Die Business Risk Taxonomy (BRT) bietet strukturierte Checklisten, die nach Klassen, Elementen und Attributen unterteilt werden. Ein Beispiel für eine solche Checkliste findet sich bei Chapman in [2, 132f]. Die Liste weist folgende Risikoklassen auf: Financal, Operational, Techonological, Economic, Environmental, Legal, Political, Market und Social. Auch die ON Regel des Österreichischen Normungsinstituts enthält im Anhang A [25, 16ff] eine Gefahrenliste für Unternehmen. Diese Liste ist strukturiert nach Gefahrengebiet, Gefahrenbereich, Gefahren-Checkpunkt und zugehöriger Beschreibung. Aus dieser Gefahrenliste können spezielle Fälle herausgelöst werden. Als Beispiel für einen besonderen Fall gibt ONR die Tabelle B.3 für ein Chemieunternehmen in bewohnter Umgebung. [25, 25] SWOT prompt Listen sind Checklisten die typische Schwachstellen eines Unternehmens aufzeigen. [2, 116, 133] SWOT ist ein Akronym für Strengths, Weekness, Opportunities und Threats. Diese SWOT prompt Listen erleichtern Analysen durch firmeneigene Arbeitsgruppen; es wird dadurch verhindert, dass aus Betriebsblindheit, Stärken oder Schwächen übersehen werden. Ein Beispiel hierfür findet sich bei Chapman. [2, 423f] Kreativtechniken Will man neue Ziele erreichen oder hat sich das Umfeld geändert, muss man über die bisher gesammelten Erfahrungen und Checklistentechnik hinausgehen und Kreativtechniken einsetzten. [17, 39] Dazu eignen sich Methoden, bei denen eine Gruppe von erfahrenen Mitarbeitern, Experten, aus unterschiedlichen Unternehmensebenen eingesetzt wird. Die Arbeitsweise einer solchen Gruppe kann z.b.: in Brainstorming, in nominaler Gruppentechnik oder Delphitechnik bestehen. 18

19 Brainstorming [2, 140], [17, 39] Der Brainstorming Prozess wurde von Osborn entwickelt und stellt ein Verfahren dar um in einer vielschichtigen Gruppe mit Hilfe freier Assoziationen zu möglichst vielen Lösungsansätzen eines Problems zu kommen. Für das ERM ist eine Gruppe von Mitarbeitern zu bilden, die aus unterschiedlichen Unternehmensebenen zusammengesetzt ist. Brainstorming fordert die Teilnehmer zur Öffnung des Geistes auf und zum Denken des scheinbar Undenkbaren, unterliegt aber strengen Verfahrensregeln. Die Teilnehmer sollten möglichst viele, auch unkonventionelle Gedanken einbringen, diese werden aber von der Brainstormingrunde nicht bewertet. Gedanken anderer Teilnehmer aufzugreifen und fortzuführen ist erlaubt, ja sogar erwünscht. Sämtliche Ideen werden auf Flipcharts notiert. Nach wenigen Tagen kommt das Brainstormingteam erneut zusammen, begutachtet und bewertet die aufgezeichneten Vorschläge und entscheidet über das weitere Vorgehen. Diese zweite Sitzung ist nach Osborn notwendig, denn nur durch die Vertagung der Beurteilung und Kritik wird das kreative Klima der ersten Sitzung nicht gestört. Die Regeln des Brainstromingprozesses lassen sich wie folgt zusammenfassen: Kritik ist untersagt, die Bewertung der Ideen wird auf eine zweite Sitzung verschoben. Freie Assoziation ist erwünscht; je ausgefallener die Idee, desto besser. Quantität wird gewünscht; je mehr Ideen, desto größer die Chance eine Lösung zu finden. Kombinationen und Verbesserungen von Ideen anderer sind erwünscht. Die nominale Gruppentechnik [2, 140], [17, 40] Ein von Delbecq entwickeltes Verfahren, das Einzel- und Gruppentechnik verbindet, ist die nominale Gruppentechnik (NGT). Die Teilnehmer einer solchen Gruppe werden zunächst über ein Problem oder beispielsweise über den Stand eines Projekts informiert. Danach schreibt jeder Teilnehmer die aus seiner Sicht acht größten Risiken dieses Problems auf und zwar in Reihenfolge ihrer Bedeutung. Zuerst werden die Risiken der Klasse 1 abgefragt und auf einem Flipchart notiert, danach die Risiken der Klasse 2 usw. Die genannten Risiken können mitunter ähnlich sein, sodass man sie zu einem einzigen Risiko zusammenfasst. Es kann vorkommen, dass das selbe Risiko mehrmals und eventuell mit unterschiedlicher Priorität genannt wurde. Zum Abschluss werden die abgefragten Risiken in acht Spalten aufgelistet. Jede Spalte hat eine Wertigkeit. Im dem Fall, dass gleiche Risiken verschieden bewertet wurden, werden die Wertigkeiten addiert. Als Ergebnis erhält man eine Liste priorisierter und mit Punkten bewerteter Risiken. Der Vorteil dieser Technik besteht darin, dass der eigentlich kreative Vorgang im Stillen erfolgt und keine Beeinflussung durch die Meinung anderer Personen gegeben ist. Die Auswertung und Diskussion erfolgt sodann in der Gruppe. Delphitechnik [2, 141] Die Delphitechnik wurde ursprünglich von Dalkey, Helmer et. al entwickelt. Die Methode besteht darin einen Vergleich von Expertenmeinungen bezüglich einer speziellen Frage zu erhalten. Diese Experten müssen ohne sich untereinander zu verständigen einen Satz von sorgfältig vorbereiteten Fragebögen beantworten. Einen zweiten Satz von Fragebögen erhalten sie nach einem Feedback des zuvor abgegebenen Fragebogens. Damit soll eine weitgehende Übereinstimmung der Meinungen erzielt werden. Die Experten erhalten ihre Fragebögen 19

20 per und bleiben hinsichtlich ihrer Antworten anonym. Zum Abschluss erhalten die befragten Teilnehmer die Resultate und werden wieder befragt, ob sie ihre ursprünglichen Antworten aufrechterhalten oder berichtigen wollen. Für gewöhnlich werden nicht mehr als drei Fragedurchgänge abgehalten. Auch bei dieser Methode wird verhindert, dass Experten sich der Meinung vorgesetzter oder älterer Kollegen anschließen und nicht unbeeinflusst antworten Auswertungsmechanismen zur Risikoidentifizierung COSO beschreibt in Application Techniques [7, 21] im Kapitel Event Identification eine Reihe von Identifikationsmethoden von denen zwei genannt seien und zwar: Die Onging Event Identification und die Methode der Interrelationship of Events. [7, 30f] Die Ongoing Event Identifcation bringt zum Ausdruck, dass der Vorgang der Risiko Identifikation kein einmaliger, etwa zum Zeitpunkt der Budgeterstellung ist, sondern einen laufenden Prozess darstellt, der sich über das gesamte Geschäftsjahr erstreckt. Die Methode der Interrelationship of Events kann mit einem Fischgrätendiagramm (siehe Abb. 5) dargestellt werden und zeigt, wie aus den verschiedenen Bereichen Ereignisse abgeleitet werden aus denen Risiken resultieren. Abbildung 5: Fischgrätendiagramm [7, 31] Zur Effizienz der Risiko-Identifizierungstechniken gibt Chapman in [2, 138] unter Berufung auf Jones, Sutherland (1999) nachstehende Grafik in Abbildung 6 an. Die höchste Effizienz wird mit 9 Punkten und die niedrigste mit 1 Punkt bewertet. Es zeigt sich daraus, dass die verschiedenen Formen der Gruppentechniken die wirksamsten sind und mit etwa 6 bis 7 Punkten bewertet werden. Hingegen erzielt man mit dem Einsatz von Checklisten und Fragebögen die niederste Effizienz. 20

21 Abbildung 6: Effizienz der Risiko-Identifizierungsmethoden [2, 138] 6.2 Risikoeinschätzung Risk Assessment Hinsichtlich der Risikoeinschätzung müssen wir zwischen einer qualitativen und einer quantitativen Analyse unterscheiden. Ausgangspunkt ist die Liste der identifizierten Risiken, wie im vorherigen Kapitel 6.1 Ereignis- bzw. Risikoidentifizierung beschrieben Qualitative Risikoanalyse Die aufgelisteten Risiken müssen von einzelnen Mitarbeitern möglichst im Zuge einer Gruppenarbeit auf ihr Ausmaß eingeschätzt werden. Dazu ist es notwendig einzelne Szenarien zu entwickeln und an Hand dieser, die relative Bedeutung der einzelnen Risiken festzulegen. Für die Bewertung wird eine Skala von 1 bis 5 (oder 1 bis 10) eingeführt, um daraus die Reihung und damit die Bedeutung dieser Risiken zu bestimmen. Erfahrungsgemäß bringt die qualitative Bewertung nach dem Bauchgefühl, insbesondere wenn sie von einer Gruppe erarbeitet worden ist, gute Ergebnisse. [10, 78f] Die Einschätzung der Risiken kann nach dem Schema in Abbildung 7 vor sich gehen. Abbildung 7: Risikoanalyse nach [17, 53] Empfindlichkeitsanalyse [2, 176] Die Empfindlichkeitsanalyse eignet sich speziell für die Beurteilung von Chancen und Risiken 21

22 von einzelnen Projekten. Sie beruht auf der Fragetechnik: was wenn? Chapman gibt hierzu ein Beispiel: Was können wir tun, wenn das Umsatzvolumen um 10% höher ist als erwartet? Was müssen wir tun, wenn das Umsatzvolumen um 5% geringer ist als erwartet? Was passiert, wenn wir die Preise um 20% senken? Was passiert, wenn wir die Preise um 5% anheben? Die Beantwortung dieser Fragen, die man zweckmäßig in einer Gruppe erarbeiten lässt, können nur qualitativ, d.h. aus einem gewissen Gefühl heraus gegeben werden. Szenarioanalyse [2, 177] Ein ähnlicher Ansatz zur möglichen Risikobegrenzung einzelner Projekte besteht darin, dass man einer Gruppe etwa die folgenden Fragen stellt: Wie ist der Verlauf eines Projektes bei optimistischer Betrachtungsweise, welche Risiken sind zu erwarten? Wie sieht das bei pessimistischer Betrachtungsweise aus? Was ist der höchst wahrscheinliche Verlauf? Damit können mögliche Grenzen eines Risikos abgeschätzt werden Quantitative Risikoanalyse Die quantitative Risikoanalyse sucht die Risiken zu bewerten. Dabei sind drei Komponenten zu berücksichtigen: der Wert des gefährdeten Gutes, der Risikofaktor und die Eintrittswahrscheinlichkeit. Damit kann zwar ein Wert errechnet und bei der Planung und Budgetierung berücksichtigt werden. Der Risikofaktor und die Eintrittswahrscheinlichkeit eines Schadens unterliegen einer Annahme. Auch muss zwischen einem inhärenten und einem residualen Risiko unterschieden werden. Ein inhärentes Risiko wohnt einem Ereignis inne und wird wirksam ohne dass eine Gegenmaßnahme ergriffen worden ist. Ein residuales oder Restrisiko umfasst jenes Schadensausmaß, das trotz Gegenmaßnahmen eintritt. Es muss also beim Wertansatz eines gefährdeten Gutes berücksichtig werden, ob Gegenmaßnahmen, wie sie im folgenden Kapitel beschrieben werden, vorgesehen sind [7, 33f], [10, 73f]: Wert des gefährdeten Gutes Es muss zunächst der als gefährdet identifizierte Vermögenswert zuzüglich der Sicherungsmaßnahmen und Folgeschäden bewertet werden. Risikofaktor Das voraussichtliche Schadensausmaß muss geschätzt werden, denn der gefährdete Vermögenswert muss nicht zur Gänze vernichtet werden, sondern vielleicht nur zu einem Teil. Damit ergibt sich der Wertansatz für das vermutete Schadensausmaß des Einzelschadens. Einzelschaden = Wert des Vermögensgutes Risikofaktor 22

23 Darüber hinaus ist der Erwartungswert des Einzelschadens auf das betreffende Geschäftsjahr zu beziehen. Kann dieser Schaden mehrmals auftreten, so muss der erwartete Einzelschaden mit der geschätzten Häufigkeit multipliziert werden. Kann der Eintritt eines Schadens innerhalb des Geschäftsjahres nur vermutet werden, so muss er mit dem Wahrscheinlichkeitsfaktor (1 < p > 0) multipliziert werden. Tritt ein Schaden nur in größeren Zeiträumen auf, z.b. einmal in 10 Jahren, so muss nur der jährliche Anteil, für dieses Beispiel ein Zehntel pro Geschäftsjahr, berücksichtigt werden. Jährlicher Schaden = Einzelschaden Eintreten des Schadens pro Jahr Damit wird auch eine sorgfältige Berechnung niemals einen exakten Erwartungswert ergeben, denn die Berechnung fußt auf zwei Annahmen, die des Risikofaktors und die der Eintrittswahrscheinlichkeit. Risiko- und Eintrittswahrscheinlichkeit Um Risiken in eine Matrix einordnen zu können sind diese mit ihrer Eintrittswahrscheinlichkeit zu verknüpfen. Dazu geben Dietrich et al. in [21, 125] ein Muster einer einfachen Risikomatrix (siehe Abb. 8). Aus dieser Risikomatrix kann die Risikoverteilung analysiert werden. Das Abbildung 8: Beispiel für eine Risikoverteilung [21, 125] Beispiel zeigt, dass ein erheblicher Teil der Risiken im kritischen Bereich liegen. In diesem Fall muss eine Rückmeldung an die Planung und Geschäftsleitung erfolgen. Im Bezug auf den Eintrittszeitpunkt ist auch zu berücksichtigen, wann ein Risiko eintreten kann. Grundsätzlich gibt es vier Möglichkeiten [17, 58]: Jederzeit Ab einen bestimmten Zeitpunkt Spätestens zu einem bestimmten Zeitpunkt Nur zu einem ganz bestimmten Zeitpunkt Entscheidungsbäume Mittels Entscheidungsbäumen lassen sich bei komplexen Situationen rational begründete Entscheidungen herbeiführen, durch die Risiken zu begrenzen sind. Chapman gibt hierzu ein 23

24 Beispiel, das hier verkürzt wiedergegeben wird [2, 168]: Eine Regierung beschließt am Stadtrand einer Metropole einen neuen Flughafen zu errichten. Es steht allerdings noch nicht fest, ob dies am Ort A oder am Ort B erfolgen soll. Es ist klar, dass die Grundstückspreise von dieser Entscheidung stark beeinflusst werden. Sie sind schon jetzt gestiegen, ein sprunghafter Anstieg ist aber erst bei einer Entscheidung über den Standort A oder B zu erwarten. Eine Hotelkette plant für den Bau eines Flughafenhotels ein Grundstück in A oder B zu erwerben. Damit ergeben sich folgende Möglichkeiten: Man kauft in A man kauft in B man kauft in A und B oder unterlässt den Kauf. Der Entscheidungsbaum berücksichtigt diese vier Möglichkeiten und stellt auch den finanziellen Vorteil oder Verlust dar, der sich ergibt, wenn man in A oder B gekauft hat; z.b.: man kauft in A ein Grundstück um 19 Millionen, der Flughafen wird auch in A gebaut, damit steigt der Grundstückspreis auf 32 Millionen, es ergibt sich ein Wertzuwachs von 13 Millionen. Hat man in A gekauft, aber der Flughafen wird in B gebaut, woraufhin der Grundstückspreis auf 6 Millionen absinkt, so ergibt sich ein Verlust von 13 Millionen. Der Entscheidungsbaum im Abbildung 9 spielt alle Möglichkeiten durch, es lässt sich daraus aber noch keine klare Entscheidung ableiten. Eine Entscheidung kann erst getroffen werden, Abbildung 9: Entscheidungsbaum für die Landkaufentscheidung [2, 168] wenn man ein spekulatives Element einführt. In diesem Beispiel besteht dieses Element in der Überlegung, dass mit einer Wahrscheinlichkeit von 60% der Flughafen in B gebaut wird, und mit einer Wahrscheinlichkeit von 40% in A. Diese Annahme wurde aus ökonomischen Überlegungen und aus der Verkehrslage abgeleitet. Damit ergibt der Entscheidungsbaum ein anderes Bild. Aber zuvor muss der Begriff des Expected Monetary Value (EMV) erklärt werden. Dieser erwartet Geldzuwachs ergibt sich aus der Berechnung in Tabelle 1. [2, 170] Mit der Rückverfolgung des Entscheidungsbaumes in Abbildung 10 ergibt sich eine eindeutige Entscheidungsgrundlage. Es ist aber zu bedenken, dass dies nur auf Grund der spekulativen Annahme zu Stande gekommen ist. Die ökonomischen und verkehrstechnischen Überlegungen müssen bei einer politischen Entscheidung nicht unbedingt zutreffen. Darin besteht das Restrisiko. 24

25 EMV für Knoten 1 = = 2.6 EMV für Konten 2 = = 2.6 EMV für Knoten 3 = = 0 EMV für Knoten 4 = = 0 Tabelle 1: Berechnung des Expected Monetary Value Abbildung 10: Rückverfolgung des Entscheidungsbaums [2, 170] Markov-Ketten Es gibt Entscheidungen, die Prozesse auslösen, deren Verlauf und deren damit verbundenen Risiken nur mit Hilfe stochastischer Methoden abzuschätzen sind. Dazu zählt auch der Einsatz von Markov-Ketten. Eine Markov-Kette kombiniert das Prinzip der Wahrscheinlichkeitsverkettung mit den Algorithmen der Matrizen-Rechnung. Ausgangspunkt ist die Definition einer Übergangswahrscheinlichkeit von einer Periode eines Prozesses zur nächsten. Dabei wird immer nur die letzte Periode berücksichtigt, die vorangehenden bleiben unberührt. [2, 170], [11, 683] Ein einfaches Beispiel zeigt diesen Ablauf [2, 170f]: Die Übergangsmatrix des Ausgangspunkts P sei: P = E 1 E 2 E E Durch Quadrierung der Matrix P erhält man die Übergangsmatrix der zweiten Periode: P = E 1 E 2 E E

26 Die Übergangsmatrix für die 4. Periode ergibt sich aus P 4 usw. Ein Anwendungsbeispiel zeigen Hillier und Liebermann in Operations Reseach. [11, 683f] Hier geht es um die Entscheidung über den Austausch von nicht mehr voll funktionstüchtigen Maschinen, die zufällig ausfallen bzw. Ausschuss liefern. Die Ausfallzeiten und Ausschussquoten werden täglich festgestellt und bewertet. Die Maschinen sind in fünf Klassen eingeteilt von neuwertig bis nicht mehr funktionstauglich. Aus den Beobachtungen dieser Maschinen ergibt sich für jede Klasse eine durchschnittliche Fehlerquote, die in Geldwert ausgedrückt wird. Aus den klassenspezifischen Fehlerquoten lässt sich eine Ausgangsmatrix erstellen. Mittels einer Markov-Kette kann man den zufälligen, aber stochastisch definierten täglichen Geldverlust ermitteln. Daraus lässt sich ableiten, wann diese Verluste eine Neuanschaffung rechtfertigen. Simulationen Monte Carlo Methode Diese Methode ist eine zufallsbedingte Simulation mit hohem Rechenaufwand. Allerdings existieren heute Tools, die auf schnellen Rechnern diese Methode unterstützen. Die Monte Carlo Methode benützt eine große Menge von gleichverteilten Zufallszahlen, auf denen man mit vorgegebenen Bedingungen sogenannte Irrfahrtsprozesse durchführt um angenäherte Lösungen zu finden. Dieser Prozess ist iterativ und mit steigenden Iterationen steigt auch die Genauigkeit. Diese Methode wird in der Regel für großangelegte Versuchsreihen eingesetzt um deren Erfolg bzw. Risiko abzuschätzen. Als Beispiel sei die Simulation der Entwicklung eines neuen Medikaments angeführt. Erfahrungsgemäß ergibt sich aus untersuchten chemischen Verbindungen 1 Treffer. Für die Entwicklung ist ein Zeithorizont bis zu 20 Jahren anzusetzen. Es ist daher plausibel, dass bei einem solchen Projekt genaue und aufwändige Simulationen vorgenommen werden, um Chancen und Risiken herauszufinden. Die zufallsbedingte Simulation wurde erstmalig bei der Entwicklung der Atombombe in Los Alamos angewendet und zwar unter dem Decknamen Monte Carlo Methode. [2, 178] Methoden der Risikoanalysen im Überblick Einen tabellarischen Überblick über Methoden der Risikoanalyse (siehe Abb. 11) bietet ONR [24, 14] Abbildung 11: Methoden der Risikoanalyse im Überblick [24, 14] Die dort verwendeten Abkürzungen bedeuten: FMEA (Failure Mode and Effects Analysis) 26

27 findet für die Analyse von Baugruppen in der Automobilindustrie sowie für die Qualitätsverbesserung technisch komplexer Systeme Verwendung. Die HAZOP (Hazard & Operability Study) wird bevorzugt für die Risikoanalyse von Prozessen in der Chemie, Pharmaindustrie und bei Nuklearanlagen verwendet. HACCP (Hazard Analysis and Critical Control Points) wird in der Nahrungsmittel- und Getränkeindustrie eingesetzt um damit physikalische, biologische, chemische und mechanische Gefährdungen zu ermitteln und damit zu eliminieren. HACCP ist zugleich auch ein Werkzeug der Qualitätssicherung. Mit RPZ, der Risikoprioritätszahl, wird das Risiko ermittelt. RPZ berechnet sich aus dem Produkt der Wahrscheinlichkeit des Auftretens (A), aus der Bedeutung (B) und der Wahrscheinlichkeit des Entdeckens (E). Die von ONR dargestellte Übersichtstabelle ist vom Standpunkt der COSO-Systematik unvollständig und mischt Methoden der Risikoanalyse mit den Methoden der Risikohandhabung. Interessant ist, dass ONR auch Qualitätssicherungssysteme mit einbezieht. Operative und rechtliche Auswirkungen In einem verzweigten Konzern ist es nicht nur wichtig Risiken zu identifizieren und zu bewerten, sondern es muss auch festgestellt werden, welche Einflüsse und Auswirkungen diese Risiken zwischen den Einheiten der operativen und der rechtlichen Struktur hervorrufen. Wenn z.b.: bedeutende Produktionseinheiten in einem Erdbebengebiet liegen und daher starken Risiken ausgesetzt sind, so hat das auf das Risiko Management des Gesamtkonzerns wesentlichen Einfluss. Menzies gibt nachstehendes Beispiel (siehe Abb. 12), wie gegenseitige Einflüsse visualisiert werden. [14, 188] Abbildung 12: Verknüpfung der rechtlichen Struktur mit der operationalen Struktur [14, 188] Risikobereitschaft Risk Appetite Die Risikobereitschaft muss vom Board of Directors bzw. von der Geschäftsleitung grundsätzlich festgelegt und in einer Policy dokumentiert werden. [15, 97] Das Ausmaß der Risikobereitschaft hängt von der Risikokultur des Unternehmens und des Geschäftszweiges ab. Es lassen sich drei Typen unterscheiden [7, 186]: 27

28 Risikoabneigung Risiko neutral Risikofreudig Zur Festlegung der Risikobereitschaft kann eine Risk Map angelegt werden, die eine Aufzählung einzelner Risiken enthält, die nach ihrer Bedeutung in mehrere Klassen zusammengefasst werden. Es muss definiert werden, bis zu welcher Klasse die Risikobereitschaft geht. Auch kann innerhalb der einzelnen Klassen, bezogen auf spezielle Projekte ein Prozentsatz des eingesetzten Kapitals oder des erwarteten Gewinnes, als noch akzeptabel bestimmt werden. [7, 16f], [21, 132] Daraus ergibt sich ein Bereich in dem allfällige Risiken toleriert werden, bzw. ein Bereich in dem das Risikotoleranzfeld überschritten wird. Diese Bereiche lassen sich auch grafisch (siehe Abb. 13) darstellen, wobei die Grundlage eine Risikomatrix darstellt. In der Regel werden Ri- Abbildung 13: Einordnung der Risiken nach ihrer Akzeptanz nach [21, 164] siken, die aus einer Kollision mit rechtlichen Normen oder mit den ethischen Grundsätzen des Unternehmens resultieren, unabhängig von ihrem Ausmaß, ausgeschlossen. 6.3 Risikohandhabung Risk Response Nach der Risikoidentifizierung und Abschätzung obliegt es dem Management geeignete Gegenmaßnahmen zu treffen bzw. zu planen um den Risikoeintritt abzuwehren. Es muss daran gedacht werden, dass eine vorausschauende Handhabung der Risiken notwendig ist, um nicht eine Krisensituation aufkommen zu lassen. [17, 81] Maßnahmen zur Risikohandhabung COSO nennt vier mögliche Schritte um Risiken entgegenzuwirken die im Folgenden näher erörtert werden [7, 55]: Risikovermeidung (Avoidance) Risikoreduzierung (Reduction) Risikoteilung (Sharing) Risikoakzeptanz (Acceptance) 28

29 Die Risikovermeidung kann darin bestehen, dass man sich von riskanten Geschäften zurückzieht, ferner von gefährlichen Verfahren (Umweltschäden), von störanfälligen Produkten (Produkthaftung), aus gefährlichen Gebieten (Naturkatastrophen, politische Unruhen). Auch muss auf geplante Expansionen in gefährliche Bereiche verzichtet werden. Zur Risikovermeidung gehöhrt auch das weite Feld der Qualitätssicherung. Dabei ist nicht nur an Qualitätssicherung im technischen Sinn zu denken, sondern auch im organisatorischen, d.h. Sicherung der Liefertreue. In diesem Sinn umfasst die Zertifizierung nach ISO 9000ff sowohl Technik als auch Organisation. [22, 30f] Die Risikoreduzierung umfasst z.b.: die Diversifikationen von Produktlinien (Marken- und Billigprodukte). Einengung von operationalen Limits (gegen Eigenmächtigkeiten einzelner Manager). Einführung von transparenten und effektiven Geschäftsprozessen. Verstärkung des Risikobewusstseins des verantwortlichen Managements, insbesondere auch in Bezug auf das Restrisiko. Hierzu soll ein risk owner bestimmt werden, der für die Risiken eines bestimmten Geschäftsprozess die Verantwortung zu tragen hat. [15, 99] Mit der Risikoteilung wird ein Risiko ganz oder teilweise auf andere Organisationen abgewälzt. Dazu gehören Versicherungen (klassische Risikoteilung), Partnerschaften (joint ventures), Kurssicherungen durch Kapitalmarktinstrumente, Outsourcing von Geschäftsprozessen, vertragliche Absicherungen mit Geschäftspartnern wie Lieferanten und Kunden. Bei der Risikoakzeptanz geht man davon aus, dass die Überschreitung eines Risikos dadurch kompensiert wird, dass ein anderes Risiko unterschritten wird. Damit darf aber der Gesamtrahmen eines Portfolios nicht gesprengt werden. Ein Risiko ist auch dann zu akzeptieren, wenn es unterhalb des Limits der Risikobereitschaft liegt. Welche der oben genannten Maßnahmen der Risikohandhabung man zweckmäßig einsetzt, stellt Pickett, in Auditing the Risk Management Process [15, 23] in Form einer Risikomatrix dar (siehe Abb. 14): Abbildung 14: Handhabung von Risiken [15, 23] Eine besondere Bedeutung kommt auch der Priorität der Risikohandhabung zu. Die Risikomatrix bietet dazu eine Hilfe (siehe Abb. 15). [17, 69] 29

30 Abbildung 15: Prioritätenmatrix nach [17, 69] Tools zur Risikohandhabung COSO gibt in [7, 56f] zur Dokumentation der Handhabung von Risiken eine Reihe von Musterbeispielen (Best Practices) die im Wesentlichen nach folgendem Schema (siehe Abb. 16) aufgebaut sind: Abbildung 16: Risikohandhabung [7, 56] Kosten der Risikohandhabung Die Maßnahmen zur Risikohandhabung sind mit Kosten verbunden. Diese Kosten müssen sorgfältig abgeschätzt werden und mit dem Verlust, den der Eintritt eines Risikos bewirkt, abgewogen werden. Dazu dient eine Kosten Nutzenanalyse (siehe Abbb. 17), die auf dem Laufenden zu halten ist und überwacht werden muss. Es hat keinen Sinn Kosten aufzuwenden die höher sind, als der vom Risiko voraussichtlich verursachte Schaden. [7, 58f] Abbildung 17: Kosten Nutzenanalyse [7, 59] 30

31 6.4 Steuerungs- und Kontrollaktivitäten Control Activities In der sechsten Komponente des COSO II Frameworks, den Control Activities, wird die Risikohandhabung umgesetzt. Es besteht daher ein enger Zusammenhang zwischen den vorhergehenden Komponenten: Zielsetzung Risikoidentifikation Risikobewertung Risikohandhabung und deren Umsetzung durch die Steuerungs und Kontrollaktivitäten. Im Zentrum der Control Activities steht die Realisierung der verschiedenen Möglichkeiten der Risikohandhabung. Diese müssen zur richtigen Zeit und in systematischer Weise eingesetzt werden. Es soll nicht zu Überlappungen kommen, aber auch nicht zu Lücken. Die Aufgabe der Control Activities ist es, einen geordneten, aufeinander abgestimmten und zeitlich definierten Einsatz der Risiko-Gegenmaßnahmen zu steuern [4, 60], [7, 63f], [8, 61]: Vorab ist zu klären, in welche Kategorie das gegenständliche Risiko fällt [7, 63f]: Risikovermeidung, Risikoreduzierung, Risikoteilung, Risikoakzeptanz. Steuerungs- und Kontrollaktivitäten betreffen alle Ebenen des Unternehmens Es liegt in der Natur eines ERM-Systems, dass die Aktivitäten durch alle Ebenen des Unternehmens zu entfalten sind. COSO gibt hier folgenden Überblick [8, 62f]: Aktivitäten der Geschäftsleitung Die Geschäftsleitung bzw. das Senior Management muss die Kosten und Nebenwirkungen der vorgeschlagenen Risiko-Gegenmaßnahmen mit den Unternehmenszielen und dem Budget vergleichen und auch zukünftigen Pläne berücksichtigen. Dabei muss die Geschäftsleitung die von ihr erlassenen Policies gegebenenfalls interpretieren. Aktivitäten des Linien-Managements Das Linien-Management muss im Rahmen seiner Wirkungsbereiche die Risiko- Gegenmaßnahmen umsetzen, deren Wirkung beurteilen, den Verlauf kontrollieren und darüber berichten. Informationsverarbeitung Eine Vielzahl von Steuerungsprogrammen und Kontrolleinrichtungen müssen erarbeitet werden um den zeitlichen Ablauf, die Vollständigkeit und auch die Autorisierung von Risiko- Gegenmaßnahmen zu verfolgen. Dazu müssen gegebenenfalls neue Systeme erarbeitet und bestehende verändert werden. Physikalische Kontrollen Es gibt Bereiche in denen nur manueller Einsatz eine Kontrolle ermöglicht, dazu gehören Warenbestandsfeststellung, Kontrolle des Inventars (z.b.: Einrichtung, Maschinen), Kassenbestände etc. Diese Kontrollen müssen regelmäßig vorgenommen werden und dienen der Prüfung, ob alle in den Büchern aufscheinenden Vermögenswerte auch tatsächlich vorhanden sind. Leistungsindikatioren Es ist zu prüfen, ob die in der Planung der operativen und finanziellen Bereiche angenommen Prozesse mit den tatsächlichen Abläufen übereinstimmen. So können z.b.: unerwartete Re- 31

32 sultate oder unvorhersehbare Trends im Bereich von Schlüsselaktivitäten des Unternehmens auftreten, die man bei der Zielsetzung und Planung als unwahrscheinlich eingeschätzt hat. Das Management muss in solchen Fällen untersuchen, ob hier die Planung zu korrigieren ist oder ob Maßnahmen zu ergreifen sind um die Prozessabläufe selbst im Sinne der Zielsetzungen zu beeinflussen. Verantwortungsteilung Um Risiken, die auf Irrtum oder Betrug zurückzuführen sind, auszuschließen ist die Verantwortung für Prozesse auf verschiedene Personen zu verteilen. Informationstechnologie Eine besonderes Augenmerk ist auf die Gefahren und den zu deren Abwendung getroffenen Sicherheitsmaßnahmen zu legen, die mit der Informationstechnologie zusammenhängen. Eine Risikoaktzeptanz oder bloße Risikominderung ist hier auszuschließen, Ziel muss hier eine Risikovermeidung sein [8, 65]: Dazu ist ein IT-Management als steering committee einzusetzen, dessen Aufgabe es ist, den Überblick, die Überwachung und die Berichterstattung über die Informationstechnologie wahrzunehmen, sowie Verbesserungsvorschläge einzubringen. Infrastruktur der Informationstechnologie Die Kontrollaktivitäten sind auf folgende Bereiche anzuwenden: Systemdefinition, Beschaffung und Installation, Konfiguration, Integration und Systemerhaltung. Die Kontrollen müssen sich auch auf Vereinbarungen mit Dritten über die Sicherung des Servicegrades erstrecken; ferner muss die Möglichkeit geschaffen werden die Systemleistung zu verstärken und mittels Business Continuity Planung die Systemverfügbarkeit sicherzustellen. Die Netzwerkleistung ist auch bei Auftreten von Fehlern zu gewährleisten. Für den EDV-Betrieb ist eine Terminplanung vorzusehen. Die Komponenten der IT-Infrastruktur müssen den Berichten des Managements oder des steering committee entsprechen. Auch müssen wesentlichen Neuanschaffungen genehmigt sein, sowie auch die Zugriffsbeschränkungen auf System und Software. Zur Erkennung von Kommunikationfehlern ist eine parity bit detection vorzusehen. Die Kontrollmechanismen der Systemsoftware müssen in der Lage sein Zwischenfälle zu verfolgen und System logging durchzuführen, d.h. zu protokollieren wer und wann Datenänderungen durchgeführt hat. Security Management Dazu gehören logische Zugriffskontrollen, wie sichere Passwörter, eingeschränkter Zugriff auf Netzwerke, Datenbanken und Anwendungen. Benutzerkonten verbunden mit Zugriffskontrollen sichern, dass ein beschränkt berechtigter Benützer nur auf jene Daten zugreifen kann, die er für die Ausübung seiner Aufgaben benötigt. Internet firewalls und virtual private networks schützen Daten vor einem unautorisierten Zugriff von außen. Softwareanschaffung Entwicklung und Erhaltung Die Aufsicht über Software- Anschaffungen und -Implementierungen sind Bestandteil eines festgelegten Change Management Prozesses, einschließlich der erforderlichen Dokumentationen, Tests bezüglich der User Akzeptanz, Stress Tests und einer auf dieses Projekt bezogenen Risikoabschätzung. Ein Zugriff auf Source Codes wird über eine Code Library kontrolliert. 32

33 Softwareentwickler arbeiten in einer getrennten Entwicklungs- bzw. Test-Umgebung und haben keinen Zugriff auf die übrigen Umgebungen. Die Kontrolle von Systemänderungen beinhaltet eine erforderliche Autorisierung zu einem Änderungsantrag, einen Bericht über die Änderungen, Zulassungen, Dokumentationen, Testergebnissen, sowie Auswirkungen der Veränderungen auf andere IT-Komponenten, Stress Tests und Implementierungsprotokolle. Diese in COSO Enterprise Risk Management Integrated Framework Executive Summary [8, 65] als Exhibit 7.2 eingefügte, ausführliche Darstellung enthält nicht nur die Anforderungen an eine IT-Kontrolle sondern führt auch zugleich die erforderlichen Maßnahmen an, die notwendig sind, um das Auftreten von Risiken zu vermeiden. In diesem Sinne lassen sich aus Exhibit 7.2 eine Reihe von ERM-Methoden ableiten. Die Methoden der Steuerungs- und Kontrollaktivitäten, sofern sie nicht im Zusammenhang mit dem Bereich der Informationstechnologie zusammenhängen, sind sehr unterschiedlicher Art und hängen von der Art und Branchenzugehörigkeit eines Unternehmens ab. COSO [7, 63ff] gibt nur wenige konkrete Methoden an und diese nur als Best Practices. So z.b.: Überprüfung der Rechnungskontrolle bei Anschaffung von Investitionsgütern auf mögliche Risiken, Risikoauswirkungen, Risikohandhabung und Restrisiken und die dazugehörigen Control Activities. Wichtig aber ist die Feststellung, dass die Steuerungs- und Kontrollaktivitäten immer einer schriftlichen, ausführlichen Dokumentation bedürfen. 6.5 Information und Kommunikation In einem ERM-System ist die Mitarbeit aller Unternehmensebenen gefordert, daher ist es auch notwendig diese mit entsprechenden Informationen zu versorgen. Dieser Prozess muss ein laufender sein, denn nur so können die Verantwortlichen ihren Aufgaben gerecht werden. COSO formuliert [7, 77]: Having the right information, on time and at the right place, is essential to effecting enterprise risk management. COSO [7] Eine effiziente Kommunikation wird nicht nur top-down erfolgen, sondern auch innerhalb der Organisation horizontal und von unten nach oben. Der Informationsfluss darf sich nicht nur auf die innere Organisation beschränken sondern muss auch die Kommunikation nach außen mit einbeziehen. Das gilt sowohl für finanzielle als auch für nicht finanzielle Bereiche, also auf die Kommunikation mit Shareholder, Geldinstituten, Kunden, Lieferanten und anderen Geschäftspartnern. [8, 67f] Ein typisches Geschäftsmodell in dem der Informationsfluss eines Unternehmens gegenüber seinem externen Umfeld dargestellt wird, ist in COSO [7, 68] dargestellt und sei in Abb. 18 gezeigt. Wie der Informationsfluss bezüglich des ERM-Systems innerhalb eines Unternehmens ablaufen könnte, zeigt Abbildung 19. [7, 69] Tiefe und Rechtzeitigkeit von Informationen Durch die steigende Leistungsfähigkeit der Informationstechnologie kommt es zu einem Überfluss an Daten, sodass es notwendig ist, diese sorgfältig auszuwählen. Es könnte sonst die 33

34 Andere Verbrauchsquellen Öffentl. Körperschaften Joint Ventures Aktionäre & Banken Konkurrenz Stellenbewerber Einkommenschancen & Gefahren Personalbedarf Fähigkeiten & Erfahrungen Gesetzestreue Risiko Teilung Berichte Gefahren & Chancen Geldfluss Verfügbare Technologie Fähigkeiten Spezifizierung Lieferanten Kaufauftrag Waren & Service Unternehmen Nachfrage Warenversand Service Käufer & Händler Abbildung 18: Informationsfluss eines typisches Geschäftsmodells [7, 68] Internes Umfeld Risiko Management Philosophie Risikobereitschaft Zielsetzung Ziele Messeinheiten Liste der Chancen Risikotoleranzen Ereignis- und Risikoidentifikation Liste der Risiken Risikoeinschätzung Abschätzung inheränterisiken Risikohandhabung Abschätzung der Restrisiken Risikohandhabung Risikohandhabung Portfolio Überblick Steuerungs- und Kontrollaktivitäten Ausgaben Indikatoren Berichte Monitoring Abbildung 19: Interner Informationsfluss bezogen auf COSO II [7, 69] 34

35 Gefahr eintreten, dass der Informationsfluss in eine Informationsflut ausartet. Es muss auch sichergestellt werden, dass nur die Mitarbeiter mit Informationen versorgt werden, die sie auch wirklich beno tigen. [7, 75] Anforderungsprofil COSO gibt U berlegungen hinsichtlich des Anforderungsprofils von Informationen vor, die die Auswahl erleichtern sollen [7, 75]: Was sind die wichtigsten Leistungsindikatoren fu r das Unternehmen? Was sind die wichtigsten Risikoindikatoren, die eine top-down Perspektive potentieller Risiken ermo glichen? Welche Leistungsmessungen werden fu r das Monitoring beno tigt? Welche Daten werden fu r die Leistungsmessung beno tigt? Wie detailliert wird die Information beno tigt? Wie oft ist es notwendig eine Information einzuholen? Welcher Grad an Genauigkeit oder Pra zision wird beno tigt? Was sind die Kriterien fu r die Auswahl der Daten? Wo und wie sollte man die Daten erhalten (z.b.: von einer Gescha ftseinheit oder einem Betriebsbereich, elektronisch oder manuell)? Welche Daten/Informationen stammen von einem laufenden Prozess? Wie soll der Aufbewahrungsort der Daten strukturiert sein? Welcher Daten-Recovery-Mechanismus wird beno tigt? Dashboard Reporting Einen kurz gefassten U berblick u ber die Risikosituation eines Unternehmens gibt das Dashboard Reporting (siehe Abb. 20) bei dem die laufende Quartalsentwicklung durch Pfeile dargestellt wird. [7, 78] Die Pfeile bedeuten hinsichtlich ihrer Richtung ein Ansteigen oder Abbildung 20: Dashboard Reporting [7, 78] Abnehmen in ihrem Bereich. Die Farben stehen im Verha ltnis zur Risikotoleranz. Gru n zeigt an, dass ein allfa lliger Verlust innerhalb der Risikotoleranz liegt. Gelb weist darauf hin, dass ein drohender Verlust in der Na he der Risikotoleranz liegt. Rot besagt, dass die Risikotoleranz u berschritten wird. 35

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG Welches sind die 3 Top-Risiken Ihrer Unternehmung? «Risk

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Risikomanagement Vorgaben durch internationale und europäische Normen

Risikomanagement Vorgaben durch internationale und europäische Normen Risikomanagement Vorgaben durch internationale und europäische Normen FH-Prof. Martin Langer, FH Campus Wien Wien, 30. November 2010 Fragestellungen ISO 31000 Was ist Risiko? Beispiele aus der Praxis Hintergründe

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

PricewaterhouseCoopers Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17.

PricewaterhouseCoopers Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17. Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17. Juni 2004 Inhalt Was sind operationelle Risiken? Stand und Entwicklung des ORM Integration von ORM

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2 1.1. Definitionen 1. Grundlagen Risiko: Risiko bezeichnet die Möglichkeit eines Schadens oder Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Risiken sind Bestandteil jeder unternehmerischen

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Schweizerisches Institut zur Förderung der Sicherheit

Schweizerisches Institut zur Förderung der Sicherheit Stichworte zum Referenten Inhaber und Geschäftsführer der Euro Risk Limited in Zürich; betriebswirtschaftliche Ausbildung Uni St. Gallen und Uni Zürich; Diss. «Risk Management eine Aufgabe der Unternehmungsführung»;

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Identifikation und Analyse von strategischen Risiken

Identifikation und Analyse von strategischen Risiken Identifikation und Analyse von strategischen Risiken Zürich, Olivier Balmat Group Strategic Risk Management Syngenta Crop Protection AG Inhalt 1. Syngenta Crop Protection AG 2. ERM in der Syngenta 3. ERM

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

Risikomanagement und minderung durch strategisches Facility Management

Risikomanagement und minderung durch strategisches Facility Management Risikomanagement und minderung durch strategisches Facility Management Based on the White Paper Risk Management and Mitigation through Strategic Facility Management This paper deals with risk management

Mehr

Bericht des Aufsichtsrats. Sehr geehrte Aktionärinnen und Aktionäre,

Bericht des Aufsichtsrats. Sehr geehrte Aktionärinnen und Aktionäre, Bericht des Aufsichtsrats Sehr geehrte Aktionärinnen und Aktionäre, der Aufsichtsrat hat im abgelaufenen Geschäftsjahr die ihm gemäß Gesetz, Satzung und Geschäftsordnung obliegenden Aufgaben wahrgenommen

Mehr

Patientensicherheit und Risikomanagement in Reha-Kliniken

Patientensicherheit und Risikomanagement in Reha-Kliniken Patientensicherheit und Risikomanagement Patientensicherheit und Risikomanagement in Reha-Kliniken IQMG-Jahrestagung Berlin November 2013 1 Grundlagen des Risikomanagements Die größten Risiken im Krankenhaus:

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Überblick über das Compliance Management System von Seves

Überblick über das Compliance Management System von Seves Überblick über das Compliance Management System von Seves 1. Chief Compliance Officer und Compliance-Beauftragte 2. Risikoanalyse und Risikobewertung 3. Unterlagen 4. Schulungen 5. Compliance-Bestätigungen

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Erfahrungen und Best Practices aus Projekten - Risikomanagement

Erfahrungen und Best Practices aus Projekten - Risikomanagement Erfahrungen und Best Practices aus Projekten - Risikomanagement ConSol Webcast 14.12.2012 Referent: Lutz Keller Moderator: Jens Brügmann Oh das hatten wir nicht bedacht Risikomanagement in Projekten 14.12.2012

Mehr

Übersichtsdokument - Risikoanalyse

Übersichtsdokument - Risikoanalyse Übersichtsdokument - Risikoanalyse Nutzen und Ziel: Die Analyse der Risiken ist nach der Erarbeitung der Rahmenbedingungen (Risikopolitik, Organisation, Kultur etc.) der zentrale Teil des Integralen Risikomanagements.

Mehr

GrECo JLT Risk Consulting GmbH

GrECo JLT Risk Consulting GmbH www.greco.eu GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Januar 2013 Über GrECo JLT Risk Consulting GrECo JLT Risk Consulting ist eine eigenständige Gesellschaft

Mehr

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008 Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Interne Revision für Mittelständler

Interne Revision für Mittelständler Interne Revision für Mittelständler Der Sarbanes-Oxley-Act (SOX) von 2002 hat schon den Führungskräften großer börsennotierter Unternehmen Kopfschmerzen bereitet, denn sie mussten als erste den Nachweis

Mehr

Projektrisiken verringern und die Möglichkeit eines potenziellen Misserfolgs senken

Projektrisiken verringern und die Möglichkeit eines potenziellen Misserfolgs senken Projektrisiken verringern und die Möglichkeit eines potenziellen Misserfolgs senken Name: Henrik Ortlepp Funktion/Bereich: Prokurist / VP Consulting Europe Organisation: Planview GmbH Liebe Leserinnen

Mehr

6.4.5 Compliance-Management-System (CMS)

6.4.5 Compliance-Management-System (CMS) Seite 1 6.4.5 6.4.5 System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein

Mehr

Riskikomanagement. No risk, no fun? No risk, no project! PROJEKTMANAGEMENT I - 18. Risikomanagement

Riskikomanagement. No risk, no fun? No risk, no project! PROJEKTMANAGEMENT I - 18. Risikomanagement Riskikomanagement No risk, no fun? No risk, no project! Risikomanagement 1 Ein paar Fragen zum Start Was sind Risiken? Wie gehen Sie mit Risiken um? Welche Bedeutung hat das Risiko in einem Projekt? Risikomanagement

Mehr

Risikomanagement in Projekten - Konzepte und Methoden. Dr. Ulrich Stremmel, Allianz Deutschland AG

Risikomanagement in Projekten - Konzepte und Methoden. Dr. Ulrich Stremmel, Allianz Deutschland AG - Konzepte und Methoden Dr. Ulrich Stremmel, Allianz Deutschland AG Inhalt 1 Motivation: Warum Risikomanagement? 2 Begriffe: Was ist Risikomanagement? 3 Kontext: Projektmanagement und Risiko 4 Methoden

Mehr

IKS KURZ-CHECK. Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem

IKS KURZ-CHECK. Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem IKS KURZ-CHECK Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem Ausgangssituation Mit der am 1. Januar 2008 in Kraft getretenen Revision des Schweizer Obligationsrechtes (insb. Art. 728a, 728b,

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Legal Risk Management Weiterbildungsveranstaltung des HIV des Kantons Bern vom 3. Juni 2009. Dr. Lukas Wyss, Fürsprecher LL.M.

Legal Risk Management Weiterbildungsveranstaltung des HIV des Kantons Bern vom 3. Juni 2009. Dr. Lukas Wyss, Fürsprecher LL.M. Legal Risk Management Weiterbildungsveranstaltung des HIV des Kantons Bern vom 3. Juni 2009 Dr. Lukas Wyss, Fürsprecher LL.M. Rechtlicher Hintergrund des Legal Risk Management Corporate Governance: Unter

Mehr

Projektrisiken analysieren

Projektrisiken analysieren Projektrisiken analysieren Compendio: Kapitel 5, Seiten 78-90 15.06.2013 SWE-IPM 1 Inhalt Risiko Management Prozess Risiko-Bewusstsein Chancen und Gefahren gehören zusammen Typische Projektrisiken Risiken

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG IXOS SOFTWARE AG - Hauptversammlung 3.12.2003 IXOS Corporate Governance Peter Rau Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG Technopark 1 Bretonischer Ring 12 D-85630 Grasbrunn/München Tel.: +49.(0)89.4629.0

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME

IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME in Wirtschafts- und Verwaltungsunternehmungen Internal Audit, CIA, Internal Control

Mehr

Risikomanagement zwischen Unternehmenssteuerung und Kontrollsystem

Risikomanagement zwischen Unternehmenssteuerung und Kontrollsystem Risikomanagement zwischen Unternehmenssteuerung und Kontrollsystem Netzwerk Risikomanagement Sektion Bern Frühjahrsveranstaltung 25. April 2012 Dr. B. Brühwiler 29.04.2012 Seite 1 GENESIS des Risikomanagements

Mehr

Risikomanagement in KMU

Risikomanagement in KMU Risikomanagement in KMU Gerhard Schober Senior Risk Manager Partner Euro Risk Ltd. gerhard.schober@eurorisk.ch 15.06.2015 VRIM-Veranstaltung zum Thema ISO 9001:2015 und Risikomanagement Euro Risk Limited

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

Unternehmensweites Chancen- und Risikomanagement. Wir bringen Transparenz In ihr Unternehmen

Unternehmensweites Chancen- und Risikomanagement. Wir bringen Transparenz In ihr Unternehmen Unternehmensweites Chancen- und Risikomanagement Wir bringen Transparenz In ihr Unternehmen Observar AG Historie und Entwicklungsphasen Die Observar AG wurde 2004 als MBO der KPMG Schweiz gegründet. Seit

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

Informationssystemanalyse People Capability Maturity Model 6 1

Informationssystemanalyse People Capability Maturity Model 6 1 Informationssystemanalyse People Capability Maturity Model 6 1 People Capability Maturity Model Neben dem CMM, welches primär zur Verbesserung des Entwicklunsprozesses eingesetzt wird, existiert mit dem

Mehr

Risikomanagement Risikomanagement in Projekten

Risikomanagement Risikomanagement in Projekten AVIATION Division Risikomanagement Risikomanagement in Projekten Quality Manager AVIATION Division Stephan Riechmann Agenda Einführung und Begriffe Risikobeurteilung Risiko-Identifizierung Risikoeinschätzung

Mehr

ISO/IEC 20000. 8. Swiss Business & IT-Service Management & Sourcing Forum 2014

ISO/IEC 20000. 8. Swiss Business & IT-Service Management & Sourcing Forum 2014 ISO/IEC 20000 8. Swiss Business & IT-Service Management & Sourcing Forum 2014 Firmenprofile ¾ ITpoint completes your IT ¾ Firmensitz Schweiz ¾ Über 60 Mitarbeiter ¾ 100% eigenfinanziert ¾ Büros in Rotkreuz,

Mehr

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance Daimler Nachhaltigkeitsbericht 2014 Compliance 47 Compliance Compliance ist ein unverzichtbarer Teil der Integritätskultur bei Daimler. Für uns ist es selbstverständlich, dass wir uns an alle relevanten

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem 17. Bundesfachtagung IKS Transparenz schafft Sicherheit Erfolgsfaktor Internes Kontrollsystem Mag. Gunnar Frei Warum braucht eine Gemeinde ein IKS? Landeskriminalamt ermittelt Wie aus gut informierten

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Leibniz Universität Hannover Services Juni 2009. PwC

Leibniz Universität Hannover Services Juni 2009. PwC Leibniz Universität Hannover Services Juni 2009 PwC Agenda PwC Das interne Kontrollsystem Unser Prüfungsansatz Diskussion und Fragen PricewaterhouseCoopers PwC Daten und Fakten PricewaterhouseCoopers International

Mehr

Was ist vom neuen Standard ISO 31000 Risk Management zu erwarten?

Was ist vom neuen Standard ISO 31000 Risk Management zu erwarten? Netzwerkveranstaltung Was ist vom neuen Standard ISO 31000 Risk Management zu erwarten? Mit den Unterschieden zwischen COSO und ISO Dr. Bruno Brühwiler 22.06.2007 1 Inhaltsübersicht Der COSO Enterprise

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

Erfolgreiches Risikomanagement mit COSO ERM

Erfolgreiches Risikomanagement mit COSO ERM Erfolgreiches Risikomanagement mit COSO ERM Empfehlungen für die Gestaltung und Umsetzung in der Praxis Von Christian Brünger E R I C H S C H M I D T V E R L A G Bibliografische Information der Deutschen

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Beschreibung von IKS und RMS im Lagebericht

Beschreibung von IKS und RMS im Lagebericht November 2009 Beschreibung von IKS und RMS im Lagebericht AUDIT Inhalt Editorial Betroffene Unternehmen Verbindung zwischen RMS und IKS Verbindung zur Risikoberichterstattung Struktur und Inhalt der beschreibenden

Mehr

Change Management. Freiburg im Breisgau 2010. Gantenbein Consulting I ChangeManagement

Change Management. Freiburg im Breisgau 2010. Gantenbein Consulting I ChangeManagement Change Management Freiburg im Breisgau 2010 Gantenbein Consulting I ChangeManagement Inhaltsverzeichnis 1. Veränderungen im Unternehmen 2. Ziele von Veränderungsmanagement 3. Fünf Kernelemente im Veränderungsprozess

Mehr

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand SOLUTION Q_RISKMANAGER 2.0 Das Risikomanagementsystem für den Mittelstand Q4/2012 Q_Riskmanager als webbasierte Lösung des Risikomanagements unter Solvency II Solvency II stellt Unternehmen vor neue Herausforderungen

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Aktualisiertes COSO Internal Control Integrated Framework

Aktualisiertes COSO Internal Control Integrated Framework COSO Internal Control 2013 Accounting Aktualisiertes COSO Internal Control Integrated Framework Neues Rahmenwerk für die Gestaltung und Prüfung des IKS Dietmar Grabher Im Hinblick auf die im Mai 2013 veröffentlichte

Mehr

Die Erklärung zur Unternehmensführung

Die Erklärung zur Unternehmensführung Die Erklärung zur Unternehmensführung nach BilMoG November 2009 AUDIT Inhalt Editorial Betroffene Unternehmen Inhalte Entsprechenserklärung ( 161 AktG) Unternehmensführungspraktiken Beschreibung von Arbeitsweise

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Commerzbank AG Group Audit. - Revision in der Commerzbank -

Commerzbank AG Group Audit. - Revision in der Commerzbank - Commerzbank AG Group Audit - Revision in der Commerzbank - Auftrag Strategische Planung Operative Durchführung Mitarbeiter 1 Der Auftrag und die Positionierung - Zielsetzung Management-Unterstützung Aufzeigen

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

BESCHLUSS DER EUROPÄISCHEN ZENTRALBANK. vom 17. November 2008. zur Festlegung des Rahmens für die gemeinsame Beschaffung durch das Eurosystem

BESCHLUSS DER EUROPÄISCHEN ZENTRALBANK. vom 17. November 2008. zur Festlegung des Rahmens für die gemeinsame Beschaffung durch das Eurosystem DE BESCHLUSS DER EUROPÄISCHEN ZENTRALBANK vom 17. November 2008 zur Festlegung des Rahmens für die gemeinsame Beschaffung durch das Eurosystem (EZB/2008/17) DER EZB-RAT gestützt auf den Vertrag zur Gründung

Mehr

Finance & Control Group Risk Services Evaluation von Risikomanagement Software. Nestlé AG Marc Schaedeli Head of Risk Management

Finance & Control Group Risk Services Evaluation von Risikomanagement Software. Nestlé AG Marc Schaedeli Head of Risk Management Evaluation von Risikomanagement Software Nestlé AG Marc Schaedeli Head of Risk Management Agenda Einführung & Problemstellung Evaluierungsprozess (inkl. RFP) Gesamtbewertung & Ergebnisse Schlussfolgerungen

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr