Methoden für Enterprise Risk Management

Transkript

1 Methoden für Enterprise Risk Management Michaela Schuster ausgeführt am Institut für Softwaretechnik und Interaktive Systeme Technische Universität Wien Betreuer: DI Mag. Andreas Tomek 13. Februar 2007 Zusammenfassung Zur Einführung wird die Entwicklung des regulatorischen Umfeldes eines Enterprise Risk Management dargestellt. Ausgehend vom Sarbanes-Oxley Act in den USA und Parallelentwickungen in anderen Ländern wird auf Rahmenwerke eingegangen, auf die ein Risikomanagement System aufbaut. Die Arbeit fokusiert sich dabei auf das in den USA entwickelte COSO II Framework aus dem Jahre 2004, das weltweit Anerkennung und Nachahmung gefunden hat. An Hand der Systematik dieses Frameworks werden eine Reihe von Methoden des Enterprise Risk Management gezeigt, angefangen von der Durchsetzung eines solchen Risikomanagement Systems in einem bestehenden Unternehmen, bis hin zu jenen Methoden und Tools, die in einem entwickelten Enteprise Risk Management zur Anwendung kommen. Auch auf das vom Österreichischen Normungsausschuss entwickelte Regelwerk für ein Risikomanagement wird hingewiesen. Inhaltsverzeichnis 1 Einleitung 2 2 Enterprise Risk Management (ERM) 5 3 COSO II Framework 6 4 Rollen und Verantwortungsbereiche in einem ERM-System 9 5 Methoden und Techniken zur Implementierung eines ERMs Probleme bei der Implementierung Methoden zur Implementierung eines ERM-Systems Risk Maturity Modelle

2 5.2.2 COSO Implementierungsprozess eines ERMs Implementierung eines ERMs nach Protiviti Herausforderungen bei der Implementierung eines ERMs Methoden und Techniken für ein laufendes ERM-System Ereignis- bzw. Risikoidentifizierung Erfahrungen Checklisten Kreativtechniken Auswertungsmechanismen zur Risikoidentifizierung Risikoeinschätzung Risk Assessment Qualitative Risikoanalyse Quantitative Risikoanalyse Risikobereitschaft Risk Appetite Risikohandhabung Risk Response Maßnahmen zur Risikohandhabung Tools zur Risikohandhabung Kosten der Risikohandhabung Steuerungs- und Kontrollaktivitäten Control Activities Information und Kommunikation Monitoring Zusammenfassung und Ausblick 42 1 Einleitung Jede unternehmerische Tätigkeit ist mit einem Wagnis und damit mit Risiken verbunden. Wer nicht wagt der nicht gewinnt, oder no risk no fun. Dennoch ist in vielen Unternehmen erst in den letzten Jahren ein besonderes Augenmerk auf das Risikomanagement gelegt worden. Zuvor wurden nur einzelne Risiken ins Auge gefasst wie z.b.: finanzielle Risiken und solche die sich durch eine Versicherung abdecken ließen. [18, 126] Die Verpflichtung dem jährlichen Rechnungslegungsabschluss nicht nur einen Lagebericht zur Geschäftsentwicklung hinzuzufügen, sondern nach dem österreichischen Rechnungslegungsänderungsgesetz 2004 (ReLÄG 2004) auch einen Risikobericht zu erstatten ergibt sich aus 243(1).[12, 1491] Danach sind... die wesentlichen Risken und Ungewissheiten, denen das Unternehmen ausgesetzt ist, zu beschreiben. Barborka et al. [12] Mit dieser Gesetzesänderung wurde die EU-Richtlinie 2003/51/EG umgesetzt. [12, 1489] Diese Risikoberichte betreffen Risiken, die von der Geschäftsleitung bzw. vom Finanzmanagement definiert wurden. Ein alle Stufen eines Unternehmens durchdringendes Risikomanagement ist dadurch nicht gegeben. 2

3 Der Österreichische Arbeitskreis für Corporate Governance, hat erstmalig am den Österreichischen Corporate Governance Kodex vorgestellt. Die aktuelle Ausgabe vom Jänner 2006 sieht im Abschnitt VI. Transparenz und Prüfung unter Punkt 63 vor [23, 34]: Die Gesellschaft erstellt ihren Konzernabschluss nach den internatinalen Rechnungsstandards. Österreichischer Arbeitskreis für Corporate Governance [23] Diese Bestimmung deckt sich mit dem 245a Abs. 1 des Handelsgesetzbuches, nach dem börsennotierte Unternehmen für Geschäftsjahre, die nach dem beginnen, Konzernabschlüsse nach den internationalen Rechnungslegungsstandards aufzustellen. Der Punkt 67 des Österreichischen Corporate Governance Kodex legt fest [23, 35]: Die Gesellschaft legt im Konzernlagebericht eine angemessene Analyse des Geschäftsverlaufes vor und beschreibt darin wesentliche finanzi- elle und nicht-finanzielle Risiken und Ungewissheiten, denen das Unternehmen ausgesezt ist, wie Branchenrisiken, geographische Risiken, Zinsen, Währungen, Derivativgeschäfte und Off-balance-sheet Transaktionen, sowie die wesentlichen eingesetzten Risikomanagement-Instrumente. Österreichischer Arbeitskreis für Corporate Governance [23] Die Finanzskandale in den Jahren 2001 und 2002 haben in den USA zu einem Vertrauensverlust der Kapitalmärkte geführt. Zu nennen sind hier die Insolvenz von Enron, einem Energieunternehmen, im Dezember 2001 und der Zusammenbruch von Worldcom, einem Telekommunikationsunternehmen, im Juli Beide waren von dem bis dahin renommierten Wirtschaftsprüfungsunternehmen Arthur Andersen geprüft worden. [14, 7ff] Daraus hat sich gezeigt, dass die geltenden Generally Accepted Accounting Principles (GAAP) unzureichend waren. Die Reaktion der US-Behörden war, dass der Kongress im Juli 2002 den Sarbanes-Oxley Act (SOX) beschlossen hat. SOX ist ein US-Gesetz, das aber durch die mannigfaltige Verflechtungen internationaler Konzerne, weltweite Wirkung hat: Einerseits für Tochtergesellschaften außerhalb der USA, andererseits für in den USA börsenorientierten Unternehmen. Die Durchführungsbestimmungen zum SOX wurden in der Zeit vom August 2002 bis Oktober 2003 von der Security and Exchange Commission (SEC) erlassen. [14, 12,13] In Section 302 legt SOX die Anforderungen an die Berichterstattung in die Verpflichtung des Chief Executive Officer (CEO) und Chief Financial Officer (CFO). Dazu werden im Unterabschnitt 302(a)(4)(A) der CEO und der CFO für die Einrichtung und Erhaltung interner Kontrollen verantwortlich gemacht. Entsprechend Abschnitt 302(a)(4)(C) haben CEO und CFO die Effektivität der internen Kontrollen innerhalb eines Zeitraums von 90 Tagen vor der Erstellung des Reports zu bewerten. Auch müssen wesentliche Veränderungen in der internen Kontrolle berichtet werden. [13, 8ff] Der SOX fordert in Section 404(a)(1) die Einrichtung und die Erhaltung einer entsprechenden internen Kontrollstruktur und Verfahren für das finanzielle Berichtswesen. Laut S404(a)(2) muss der für die Veröffentlichung des Jahresberichtes Verantwortliche am Ende des Fiskaljahres die Effektivität der internen Kontrolleinrichtungen und die angewendeten Verfahren bewerten. Abschnitt S404(b) verpflichtet den externen Abschlussprüfer einen gesonderten Bericht über die interne Prüfung zu erstellen. [13, 11] 3

4 Die von der SEC erlassenen Durchführungsbestimmungen zum SOX Abschnitt 404 sehen den Einsatz eines anerkannten standardisierten Rahmenwerkes vor. Dazu empfiehlt SEC die Benutzung von COSO, allerdings nicht zwingend. [14, 75f] Das Committee of the Sponsoring Organizations of the Treadway Commission (COSO) ist eine gemeinsame Initiative privatwirtschaftlicher amerikanischer Wirtschaftsinstitute. Es hat eine Studie zu den Ursachen betrügerischer Finanzberichterstattung in den USA durchgeführt. Als Ergebnis zeigte sich, dass bei den untersuchten Betrugsfällen das interne Kontrollsystem des Unternehmens entweder nicht umfassend genug gestaltet war oder vom Management umgangen werden konnte. Um dies zukünftig zu verhindern, lautete die Empfehlung ein adäquates Rahmenwerk als Basis für das interne Kontrollsystem zu entwickeln. Christof Menzies [14] Das Ergebnis, die Fassung 1992, ist ein internes Kontrollsystem, mit Schwerpunkt Finanzen, das bereits ein Risk Assessment beinhaltet hat. Das danach aufkommende Bewusstsein, dass das Risikomanagement nicht nur für den Finanzbereich sondern unternehmensweit Bedeutung hat, führte zu einer COSO Studie im Jahr 2003, die 2004 als COSO II veröffentlicht wurde. COSO II fußt auf dem Rahmenwerk von COSO I aus dem Jahre 1992 und erweitert dieses um ein unternehmensweites Risikomanagement. [14, 118] Die neueste Entwicklung hat gezeigt, dass für kleine und mittlere Kapitalgesellschaften eine vereinfachte Fassung von COSO II angebracht ist. In diesem Sinne hat das Committee of Sponsoring Organizations of the Treadway Commission im Juni 2006 das Leitsystem COSO small business guidance veröffentlicht, das zwar auf dem gleichen Rahmenwerk beruht wie COSO I, welches aber speziell auf Fragen und Probleme von kleinen und mittleren Unternehmen abgestellt ist. [5] Neben COSO haben sich noch andere Frameworks entwickelt von denen der The King Report on Corporate Governance for South Africa (King II Report) aus dem Jahre 2002 zu nennen ist, der im Anhang risk management and internal controls enthält. Anzuführen ist auch der Australian/New Zeland Standard Risk Management (AU/NZS) der im Anhang 1 den The Standard s risk managment process darstellt. [19, 16ff] Ein weiteres Framework, das auf die finanzielle Struktur eines Finanzdienstleisters (Banken, Versicherungen) abzielt, ist das International Convergence of Capital Measurment and Capital Standards: A Revised Framework, bekannt als Basel II. Basel II basiert auf 3 Pfeilern. Minimum an Kapitalbedarf, Überwachungs- und Berichtsprozesse und Marktdisziplin. Die Risiken gliedert Basel II in 3 Kategorien: Kreditrisiken, Marktrisiken und operationelle Risiken. [20, 71f] [22, 27f] Für Europa ist auch von Bedeutung der Risk Management Standard (RMS) aus 2004 von der Federation of European Risk Management Association (FERMA). FERMA ist ein Konsortium von Britischen Organisationen, welches aus Instituten für Risk Management, Versicherun- gen und Risikomanagement des öffentlichen Sektors besteht. [19, 16ff] In Zusammenarbeit mit der Swiss Association of Quality hat das ON Österreichische Normungsinstitut im Jänner 2004 ein Regelwerk zum Risikomanagement für Organisationen und Systeme herausgebracht, das sich aus folgenden Teilen zusammensetzt [1] [22, 10f]: 4

5 Begriffe und Grundlagen ONR Elemente des Risikomanagement-Systems ONR Leitfaden für das Risikomanagement ONR Leitfaden für die Einbettung des Risikomanagementsystems in das Managementsystem ONR Anforderungen an die Qualifikation des Risikomanagers ONR Brühwiler, der Vorsitzende des Arbeitskreises Risikomanagement des Österreichischen Normungsinstituts, führt hierzu aus [1, 3]: Das Regelwerk Risikomanagement soll aufbauend auf vorhandenen normativen Grundlagen einen übergeordneten, offenen und umfassenden Rahmen für das Risikomanagement von Organisationen und Systemen schaffen. Durch die Anpassung an die individuellen Gegebenheiten und Bedürfnisse kann das Risikomanagement in unterschiedlichen Gebieten, aber auf einheitlichen Grundlagen, Begriffen, Methoden und System-Elementen angewendet werden. Bruno Brühwiler [1] Brühwiler verweist auch auf die Bedeutung von Basel II, mit dem die Risiken in der Finanzwirtschaft abgedeckt werden. Zur Geltung des ON-Regelwerkes schreibt Brühwiler [1, 2]: ONR 49000ff... wollen den Unternehmen und Organisationen keinenfalls neue Vorschriften auferlegen, wie es in den USA mit den Sarbanes-Oxley geschieht. Die neuen ONRs verstehen sich als Hilfestellung für Manager, die wissen wollen, wie sie am besten mit ihren Risiken umgehen können. Bruno Brühwiler [1] Wegen der globalen Bedeutung von COSO II soll im Folgenden die Darstellung auf dieses Framework fokussiert werden, die in anderen Frameworks genannten Methoden für ein ERM sollen dabei nicht vernachlässigt werden. 2 Enterprise Risk Management (ERM) Chapman beschreibt in Simple tools and techniques for enterprise risk management [2, 8] ein ERM als ein System, das eine Reihe von Parametern erfüllen muss. Es muss in das Geschäftssystem der internen Kontrolle eingebettet, muss aber gleichzeitig auf andere internen Kontrollen abgestimmt sein, muss diese reflektieren bzw. diesen entsprechen. ERM dient dem Schutz und dem Wertzuwachs des Aktienkapitals um das vordringlichste Geschäftsziel zu erfüllen: die Maximierung des Aktienwertes. Ein ERM muss in vielschichtiger Weise alle Aspekte des Geschäftsplanes ansprechen, diese sind: Strategieplan Marketingplan Operationsplan Forschung und Entwicklung Management und Organisation Forecasts und Finanzdaten Finanzbereich Risikomanagementprozesse Geschäftskontrolle 5

6 Abbildung 1: ERM-Framework [2, 10] Chapman [2, 10] verweist auf die Notwendigkeit eines Frameworks und gibt hierzu ein Schema (siehe Abb. 1). Zur Implementierung bemerkt Chapman, dass diese aus eigenen Mitteln und mit eigenem Personal und eigenem Know-how erfolgen kann, oder mit externem Support. Allerdings weist Chapman auf die Probleme bei der Implementierung eines ERM hin, wobei er zu dem Schluss kommt, dass die inneren Reibungsfla chen so groß sein werden, dass externe Beratung angezeigt ist [2, 11,99ff]. Hierzu wird im Abschnitt 5 u ber die Methoden und Techniken zur Implementierung eines ERMs na her eingegangen. Die in Abbildung 1 angefu hrten Risikomanagementprozesse geben einen guten Anhalt um Methoden des Risikomanagements innerhalb eines ERMs zuzuordnen. 3 COSO II Framework Das COSO II Framework das gelegentlich auch COSO-ERM Framework genannt wird beru cksichtigt nicht nur finanzielle Risiken sondern auch Risiken, die das gesamte Unternehmen beru hren. Das Risikomanagement wird damit zu einer unternehmensweiten Disziplin. In der Executive Summery des COSO II Draft wird das Enterprise Risk Management wie folgt definiert: Enterprise risk management is a process, effected by an entity s board of direc tors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within is risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Coso [3] Daraus ergibt sich [3, 3ff]: Enterprise Risk Management ist ein laufender, nie endender Prozess. wird von allen Mitarbeitern umgesetzt, ist also keine reine Policy oder ein Formularsatz, sondern bezieht die Mitarbeiter in jeder Ebene der Organisation mit ein. 6

7 hat Einfluss auf die Strategie, die eventuell angesichts eines auftretenden Risikos geändert werden muss. wird quer durch das Unternehmen angewendet, in jeder Ebene und jeder Einheit. ist so entworfen, dass jedes mögliche Ereignis identifiziert werden kann, das so zu managen ist, dass es innerhalb der Risikobereitschaft des Unternehmens liegt. bietet eine sinnvolle Absicherung für das Top-Management des Unternehmens die gesetzten Unternehmensziele zu erreichen. ist geschaffen, Ziele in einem oder mehreren, überlappenden Bereichen so zu erreichen, dass Gesetze und Vorschriften nicht verletzt werden. Der COSO II Würfel Um das ERM zu veranschaulichen wurde COSO II als dreidimensionales Framework entwickelt und besteht aus vier Zielkategorien, acht Komponenten und vier Stufen der Unternehmensgliederung. Die acht Komponenten sind [18, 129]: Internes Umfeld Abschnitt 5.2 Risikomanagementphilosopie Risikobereitschaft Zusammensetzung des Boards Integrität und ethische Werte Bekenntnis zur Kompetenz Organisationsstruktur Festlegung von Verantwortlichkeit und Autorität Abschnitt 4 Human-Ressource-Standards Zielsetzung Strategische Ziele Abgeleitete Ziele (operative, Reporting- und Compliance-Ziele) Risikobereitschaft Abschnitt Risikotoleranz Ereignisidentifikation Abschnitt 6.1 Erkennen von Ereignissen Einflussfaktoren Methoden zur Ereigniserkennung Chancen und Risiken Wechselbeziehungen zwischen Ereignissen Ereigniskategorien Risikoeinschätzung Abschnitt 6.2 Inhärentes Risiko und Residualrisiko 7

8 Eintrittswahrscheinlichkeit und Auswirkung Methoden zur Risikobeurteilung Wechselbeziehungen zwischen Ereignissen/Risiken Risikobehandlung Abschnitt 6.3 Maßnahmen zur Handhabung von Risiken Evaluation möglicher Maßnahmen Beurteilung und Auswahl geeigneter Maßnahmen Portfolio-Ansatz Steuerungs- und Kontrollaktivitäten Abschnitt 6.4 Abstimmung der Steuerungs- und Kontrollaktivitäten mit den Maßnahmen zur Handhabung von Risiken Arten der Steuerungs- und Kontrollaktivitäten Richtlinien und Verfahren Steuerungs- und Kontrollaktivitäten für IT-Systeme Information und Kommunikation Abschnitt 6.5 Information Kommunikation Monitoring Abschnitt 6.6 Kontinuierliches Monitoring Separate Beurteilungen Berichterstattung über Mängel Die vier Zielkategorien sind [4, 11]: Strategische Ziele betreffen den höchsten Level der Ziele gestützt auf der Unternehmensvision. Operationale Ziele effiziente Nutzung der Unternehmensressourcen zur Zielereichung. Reporting Zuverlässigkeit der Unternehmensberichterstattung. Compliance Übereinstimmung der Geschäftstätigkeit mit geltenden Normen. Die vier sich aus der Unternehmensgliederung ergebenden Einheiten [3, 16]: Filiale, Geschäftseinheit, Division, Gesamtunternehmen. COSO hat die dreidimensionale Darstellung des Frameworks in Gestalt eines Würfels veranschaulicht (siehe Abb. 2). [18, 127] Die in den folgenden Kapiteln dargestellten Methoden und Tools sind so weit als möglich den Komponenten des COSO II Würfels zugeordnet. 8

9 Abbildung 2: COSO II Würfel nach [18, 127] 4 Rollen und Verantwortungsbereiche in einem ERM-System Bevor auf die Methoden und Techniken im Einzelnen eingegangen wird, werden die Rollen und Verantwortungsbereiche innerhalb eines ERMs dargestellt. Obwohl in einem ERM jeder in die Verantwortlichkeit eingebunden ist, so ergeben sich doch Unterschiede in der Rolle, die sich aus der hierarchischen Gliederung eines Unternehmens ergeben [3, 19ff]: Board of Directors Das Board of Directors stellt die Vertretung der Eigentümer und anderer am Unternehmen interessierten Personen (Stakeholders) dar und darüber hinaus auch die vom Board auszuwählenden sachkundigen Manager. Damit unterscheidet sich das Board of Directors vom Aufsichtsrat des deutschen bzw. österreichischen Aktienrechtes, denn nach diesen Rechtsvorschriften kann ein operativ wirkender Manager nicht auch zugleich Mitglied des Aufsichtsrates sein. Damit ist das Board of Directors viel näher an das aktive Geschäft und damit auch an der Mitwirkung am ERM gebunden. [14, 55] Das Management ist dem Board of Directors berichtspflichtig, wobei das Board bei der Auswahl der ihm angehörigen Manager deren Integrität und deren ethischen Werten beachten soll. Das Board spielt eine tragende Rolle bei wichtigen Entscheidungen und bei der Entwicklung von Strategien und übergeordneten Zielsetzungen sowie bei der Entscheidung der bereitzustellenden Mittel. Im Bezug auf das ERM gibt das Board die Richtlinien für [3, 19]: Vorgabe des Rahmens in dem das Management ein effektives ERM zu installieren hat. Bewusstmachung und Zustimmung zur Risikobereitschaft des Unternehmens. Überprüfung der Risikoliste des Unternehmens mit Abstimmung der Risikobereitschaft. Kenntnisnahme der wichtigsten Risiken und Feststellung ob und wie weit das Management darüber zu berichten hat. 9

10 Das Board ist Teil des Inneren Umfeldes und hat darauf zu achten, dass ein ERM eingeführt wird, und dass es effizient arbeitet. Die Entscheidungsgrundlagen beziehen die Mitglieder des Boards aus dem Berichtswesen vom Management an das Board. Management An der Spitze steht der Chief Executive Officer (CEO). Er ist für Einführung und Funktion des ERM ultimativ verantwortlich. Er ist auch bestimmend für den tone at the top, für die Integrität, für die Ethik und anderen Faktoren des Inneren Umfeldes. In größeren Unternehmungen teilt er seine Aufgaben mit den ihm unterstellten Senior Managern, in kleineren Unternehmungen hat er oft die Stellung eines geschäftsführenden Gesellschafters. [3, 20] Laut Section 302 legt SOX die Verpflichtung zur Risikoberichterstattung dem CEO und dem CFO in die Hände. Risk Officer Der Risk Officer, in größeren Unternehmungen auch der Chief Risk Officer (CRO) oder Risk Manager, arbeitet im Zusammenwirken mit anderen Managern. Der Schwerpunkt des ERMs liegt im Wirkungsbereich des Risk Officers, der die weiter unten angeführten Methoden zu handhaben und sowohl in vertikaler als auch in horizontaler Linie zu berichten hat. [3, 20] Andererseits hat die Tätigkeit des Risk Manager auch Grenzen. Ein effektives ERM hilft dem Management Ziele zu erreichen. Aber ein ERM darf nicht so weit gehen, dass ein Erfolg verhindert wird. [3, 19] Internal Auditors Diese spielen eine große Rolle in der Beobachtung des ERMs deren Qualität und Effizienz. Sie sollen sowohl das Management unterstützen und das Board oder das Audit Committee unterrichten. [3, 20] Übriges Personal Das ERM bringt bis zu einem gewissen Grad für jedermann in einem Unternehmen eine Verantwortlichkeit. Daher sollte in der Jobbeschreibung das ERM enthalten sein, sowie die Berichtspflicht über auftretende Risken. [3, 20] Im nächsten Kapitel wird auf die Methoden und Techniken eines ERM-Systems eingegangen. Dabei muss ein Unterschied gemacht werden, zwischen den Methoden bei der Implementierung eines ERMs und jenen Methoden die bei einem laufenden ERM-System angewendet werden müssen. 5 Methoden und Techniken zur Implementierung eines ERMs 5.1 Probleme bei der Implementierung Die Implementierung eines ERM in eine Unternehmensstruktur ist eine schwierige Aufgabe. Chapman beschreibt in Simple tools und techniques [2, 99ff] die Probleme, die sich bei Einführung eines ERM in einem Unternehmen ergeben, wobei er davon ausgeht, dass ein externer Berater (Auftragnehmer) herangezogen wird. Die Ausführungen zeigen, dass der Verzicht auf einen externen Berater kaum das gewünschte Ergebnis bringen wird, wie im Folgenden 10

11 dargestellt wird: Auf die Vorarbeiten und Fragestellungen, wie sie bei jedem Projekt auftreten, soll hier nicht weiter eingegangen werden, da sie sich von anderen Projekten nicht wesentlich unterscheiden. Anders ist es bei den Problemen, die sich aus den Schnittstellen zu den Mitarbeitern des Auftraggebers ergeben. Die Einführung eines ERM-Systems bringt organisatorische Änderungen, die in vielen Fällen auf Widerstand der Beteiligten stoßen. Der CEO und der CFO sind zwar gesetzlich verpflichtet ein ERM zu installieren, aber bereits die Schnittstelle zum Board of Stakeholder kann Probleme aufkommen lassen. Chapman verweist hier auf eine Arbeit von Cope, der, nicht ohne Sarkasmus, vier charakteristische Typen von Stakeholder unterschieden hat [2, 101]: Eine key person ist eine für die Erfüllung der ERM-Implementierung entscheidende Person, die die Macht hat Änderungen zu bewirken, aber deren Handlungen oft unvorhersehbar sind. Eine loose cannon ist eine Person, die, wenn sie in der ERM-Implementierung eingebunden ist, einen Mangel an entsprechenden Kenntnissen zeigt und kein rechtes Verständnis für Änderungen und Maßnahmen hat, mit denen Risiken eingeschätzt werden können. Ein little interest ist eine Randfigur, die Macht hat Veränderung zu beeinflussen, deren Interessen jedoch anderwärtig liegen und die nicht interessiert ist vom Anfang an miteinbezogen zu werden. Sie möchte erst später mit der ERM-Implementierung befasst werden, missbilligt dann einige Aspekte und schlägt Änderungen vor. Ein desperate dan hat den ausgeprägten Wunsch in die ERM-Implementierung einbezogen zu werden, hat aber geringe Fähigkeiten und ein niederes Maß an Verständnis für die Notwendigkeit von Änderungen. Andererseits sollen gerade die Stakeholder während der ERM-Implementierung den Prozess überwachen und durch ihren Einfluss einen erfolgreichen Abschluss sichern. Auch die Schnittstellen zu operativen Managern sind mitunter problembelastet. In einem bestehenden Unternehmen haben sich die einzelnen Personen, insbesondere im Management Positionen erarbeitet oder ersessen und sehen daher jeder organisatorischen Änderung mit Misstrauen entgegen. Diese Personen fürchten um ihre Reputation durch eine zusätzliche Kontrolle. Auch das Sammeln von Informationen ein wichtiger Prozess muss einem vorgegeben Plan folgen: Welche Daten werden benötigt, wo sind sie zu finden und wie kann man darauf zugreifen. Dabei ist es notwendig die Daten auch richtig zu verstehen, was in der Regel nur durch persönliche Gesprächen mit Personen des Auftraggebers erfolgen kann. Für gewöhnlich stößt man beim Sammeln von Daten auf harte Fakten, während hingegen potentielle Risiken in schwer fassbaren Bereichen liegen können. Bei Einschätzung der Risiken muss man die Kultur der Organisation verstehen. Die Kultur beeinflusst die Art der Aktivitäten, die Arbeitsmethoden, die Qualitätskontrolle, die Entscheidungsprozesse, etc. Es ist auch zu berücksichtigen, dass Mitglieder des vom Auftraggeber bestellten Projektteams bewusst eine Risikoeinschätzung unterdrücken von dem ihre Jobs abhängig sind. Das Umgekehrte kann eintreten, wenn z.b.: eine Firmenübernahme geplant ist und die damit verbunden Risiken überbewertet werden aus Angst vor drohenden Jobkürzungen. [2, 101f] Aus dieser zweifellos negativ gefärbten Darstellung einer ERM-Implentierung zeigt sich, dass 11

12 auch ein externer Berater auf Schwierigkeiten stoßen wird. Umso mehr muss man befürchten, dass Personen, die aus dem eigenen Kreis mit der Einführung eines ERMs beauftragt werden geringe Aussichten auf Erfolg haben werden. Die Gründe dafür liegen auf der Hand: Betriebsblindheit, Voreingenommenheit, Freunde nicht verletzen zu wollen, Abhängigkeitsgefühl von ehemaligen Vorgesetzten, begleichen alter Rechnungen,..., jedenfalls nicht Unbefangenheit und Objektivität. Damit zeigt sich aus den dargestellten Problemen, die sich bei der Einführung eines ERM innerbetrieblich ergeben, wie wichtig es ist, ein entsprechendes Inneres Umfeld gemäß der ersten Komponente des COSO II Würfels zu schaffen. Die ERM-Implementierung auch wenn sie von einem externen Berater erfolgt wird nicht mit einem Schlag gelingen. Chapman [2, 417] zeigt verschiedene Stufen von Implementierungsprozessen eines Risk Maturity Modells auf, die im Folgenden dargestellt werden. Auch der COSO Implementierungsprozess eines ERMs sowie die Implementierung eines ERMs nach Protiviti werden vorgestellt. 5.2 Methoden zur Implementierung eines ERM-Systems Die erfolgreiche Implementierung eines ERM-Systems kann zugleich als eine Methode betrachtet werden, um das Interne Umfeld erfolgreich zu gestalten Risk Maturity Modelle Bereits 1993 wurde vom Government Center for Information Systems (CCTA) ein Risk Marturiy Modell vorgeschlagen, das vier Reifestufen (maturity levels) umfasst. Eine Alterntive veröffentlichte Hilson 1997, das ebenfalls vier Entwicklungsstufen aufweist: naive, novice, normalised und natural. Zur vierten Entwicklungsstufe hat Hopkinson im Jahr 2000 ein Risk Maturity Modell for Business entwickelt, das diese Stufe nach folgenden Aufgaben gliedert: Management, Risk Identification, Risk Analysis, Risk Control, Risk Review und Culture. [2, 417] Das hier näher dargestellte Business Risk Maturity Modell in Abb. 3 stammt von Chapman (2006). [2, 420] Auch dieses Modell zeigt vier Stufen. Die Implementierung geht durch alle Bereiche des Unternehmens stufenweise vor sich. Dieses Modell bezieht sich zwar nicht auf die einzelnen Komponenten von COSO II lässt sich aber auf diese projizieren COSO Implementierungsprozess eines ERMs COSO beschreibt in Enterprise Risk Management Integrated Framework, Application Techniques [7, 3] einen Implementierungsprozess, der auf einer Reihe funktioneller Schritte beruht: Vorbereitungen eines Kernteams Dieses Team setzt sich aus Vertretern verschiedener Unternehmenseinheiten einschließlich der strategischen Planung zusammen. Das Team muss sich mit den Komponenten des Frameworks vertraut machen, ferner mit den Konzepten und Prinzipien eines Risikomanagements. Damit entstehen ein gemeinsames Verständnis und das Fundament, um ein ERM zu implementieren. Wichtig ist die Erläuterung der Vorteile eines Enterprise Risik Mangements [3, 2f]. Diese Vorteile sind: 12

13 Überblick Kultur System Erfahrung Training Management Stufe 1 Stufe 2 Stufe 3 Stufe 4 Anfangszustand Basis Standard Ausgereiftes System - Gesetzestreue nur im Ansatz vorhandetes - RM zur Verbesserung des Geschäf- - RM ist im Routinegeschäftsprozess vom An- - RM wird als wesentlich betrachtet um eingerichtet fang bis Ende eingebunden, von der Produkti- Geschäftsziele zu erreichen - Risikobereitschaft nicht definiert - Risikobereitschaft ist definiert on bis zur Auslieferung bzw. Leistungserbringuntion - Kommunikation zur ganzen Organisa- - Kein Framework entwickelt - Framework ist eingerichtet - Risikoprofile nicht definiert - Risikosystem ist eingerichtet - Vorteile von RM sind auf allen Ebenen der - Die Risikobereitschaft ist transparent - Senior Management bezieht RM nicht - Risikoprofil ist definiert Organisation erkannt worden - Geschäftsabläufe laufend verbessert als Entscheidungswerkzeug mit ein - Initiatives RM - Ausgeklügelte Modelltechnik - RM nur für die gesetzliche Mindestanforderungen des Jahresberichtes - Genaue Risikomanagement- Rollen sind nicht definiert - Risikostrategie unklar - Risikorahmenwerk (und deren festgesetzte Teile) unterentwickelt - Sehr beschränktes Verständnis der Systeme, der Terminologie oder der Software - Kein Training im Haus oder mit externen Support vorgesehen - Managementpraktiken sind auf die Erfüllung der gesetzlichen Mindestanforderungen ausgerichtet - Verlustrisiko ist definiert - Rollen und Verantwortlichkeiten sind definiert - Meetingstruktur ist festgelegt - Entscheidungsfindungsmechanismen sind eingerichtet - RM Framework ist in Entwicklung - Operation Research (OR) oder Business Continuity Management (BCM) nicht eingesetzt - Schlechte Datensammlung und Trendanalyse - Beschränkt auf wenige Personen des Audit Komitee und des Sekretariats - Training findet durch Mitglieder des Audit Komitee statt - Betriebskapital wird für operationalen Risiken bereitgestellt - Operationales RM reagiert erst bei Auftreten eines Risikos (reaktiv) - Risikobericht auf jährlicher Basis - Initiative Annäherung an das RM um Geschäftsabläufe zu verbessern - Zentrale Risikomanagement Funktion ist geschaffen - Im Rahmen des Boards werden auf hoher Ebene Risiken und Verantwortlichkeiten in regelmäßigen Abständen besprochen - RM Strategie ist definiert, grundsätzlich und praktisch - RM Framework ist entwickelt - OR und BCM Framework sind implementiert - Im Haus besteht ein Kern von Experten bezüglich Systeme, Modellierung und Planung von Gegenmaßnahmen - Risikomanager ist ernannt - Ein Risiko Komitee ist eingerichtet - Richtlinien werden den Abteilungsleitern zur Verfügung gestellt - Frühwarnindikatoren sind für das OR eingerichtet - Betriebskapital wird für die Markt-, Kredit-, und operationale Risiken zur Verfügung gestellt - Die Kontrolle der operationalen Risiken werden in den Geschäftsablauf miteinbezogen - BCM Pläne sind entwickelt - Risiken werden auf Halbjahresbasis berichtet - RM Kultur wird vom CEO geleitet - RM Information wird zur Entscheidungsfindung genützt - Die Rollen und Verantwortlichkeiten im RM werden im Einstellungsprozess, auf die Stellenbeschreibung und die Arbeitsbeurteilung einbezogen - Vorsorgliche Verankerung von RM in Dienstverträgen - RM Strategie ist definiert und wird laufend überprüft - RM Framework ist entwickelt und mit Best Practise gemessen - Das Risikobewusstsein durchdringt die gesamte Organisation und wird durch externe Berater unterstützt - Trainings- und Ausbildungsprogramme sind für leitende Personen aller Geschäftseinheiten vorgesehen - Richtlinien werden den Abteilungsleitern zur Verfügung gestellt - Frühwarnindikatoren sind für das OR als auch für Geschäftsbereiche eingerichtet - Risiken bezüglich der Geschäftsreputation werden berücksichtigt - Kapitalzuweisung wird für alle Risiken vorgesehen - Operationale Risikokontrolle ist in alle Geschäftsprozesse einbezogen - BCM Pläne werden in regelmäßigen Zeitabschnitten testet - Risikobericht erfolgt monatlich Abbildung 3: Risk Maturity Modell [2, 420] Abstimmung von Risikobereitschaft und Strategie Die Risikobereitschaft ist das Ausmaß eines Risikos welches das Top-Management eines Unternehmens zu übernehmen bereit ist, um die Unternehmensziele zu erreichen. Das Management erwägt die Risikobereitschaft des Unternehmens zuerst in der Bewertung von Alternativstrategien, dann in Zielsetzungen, die mit den ausgewählten Strategien in Übereinstimmung stehen und entwickelt Mechanismen mit denen die entsprechenden Risiken zu bewältigen sind. Verbindung von Wachstum, Risiko und Rendite Unternehmungen akzeptieren Risiken als ein Teil der Wertschöpfung und der Werterhaltung und erwarten einen Return der dem Risiko angemessen ist. Das ERM stellt verbesserte Möglichkeiten bereit um Risiken zu identifizieren und abzuschätzen und stellt ein angemessenes Risikoausmaß fest, das im Verhältnis zu den Wachstums- und Gewinnzielen steht. Bessere Entscheidungsmöglichkeiten bei Auftreten eines Risikos Soll das Risiko vermieden werden, kann man es reduzieren, kann man es teilen oder soll man es akzeptieren. ERM sieht Methoden und Techniken vor, die richtige Entscheidung zu treffen. Minimierung von unerwarteten Ereignissen und Verlusten Ein Unternehmen hat mit ERM die verbesserte Fähigkeit potentielle Ereignisse und 13

14 Vermögensrisiken zu identifizieren und Maßnahmen zu setzen um vor Überraschungen sicher zu sein und darüber hinaus über Kosten und Verluste zu berichten. Identifizierung und Handhabung von Risken, die sich über das gesamte Unternehmen erstrecken Jedes Unternehmen ist mit einer Unzahl von Risiken konfrontiert, die auf verschiedene Teile der Organisation einwirken. Die Unternehmensleitung darf nicht nur einzelne Risken managen, sondern muss auch zusammenhängende Einflüsse verstehen. Bereitstellung integrierender Gegenmaßnahmen auf multiple Risiken Ein Geschäftsprozess kann mehrere inhärente Risiken in sich tragen, das ERM ermöglicht integrierende Lösungen für solche Risiken. Ergreifen von Chancen Das Management neigt dazu eher über Geschäftsmöglichkeiten nachzudenken, als über Risiken. Beim Überdenken einer Reihe von Geschäftsfällen verliert das Management leicht den Überblick, welcher Geschäftsfall mit einer risikoarmen und welcher mit einer risikoreichen Chance verbunden ist. Sinnvolle Kapitalverwendung Eine verlässliche Information über das Gesamtrisiko des Unternehmens gibt dem Management die Möglichkeit eine effektive Einschätzung des Kapitalbedarfs und einer Verbesserung der Mittelverwendung zu treffen. Managementunterstützung Die Personen des Managements müssen den Implementierungsprozess von Anfang an und geschlossen unterstützen. Sie müssen die Vorteile eines ERMs ihren Mitarbeitern erklären und zugleich die erforderlichen Ressourcen sicherstellen. Entwicklung eines Implementierungsplanes Ein Anfangsplan muss für die nächsten Stufen und Projektphasen geschaffen werden, einschließlich der Meilensteine, der Ressourcen und des Zeitablaufes. Die Verantwortlichkeiten sind zu definieren und ein Projektmanagement ist einzusetzen. Der Plan muss die Kommunikation und die Koordination mit der Führungsebene, der einzelnen Unternehmungsbereiche und dem Personal vorsehen. Ferner die Diskussion der unternehmensweiten Veränderungen die mit der Einführung des ERM zusammenhängen. Beurteilung der laufenden Entwicklung Der Implementierungsprozess muss laufend überprüft werden, wie weit die Komponenten, Konzepte und Prinzipien über das gesamte Unternehmen angewendet werden. Damit wird festgestellt, welche Risikomanagementphilosophie sich innerhalb der Organisation entwickelt hat und ob ein übereinstimmendes Verständnis der Risikobereitschaft besteht. Das Kernteam muss die formalen und informalen Richtlinien, Prozesse, Praktiken und Techniken überprüfen und feststellen wie weit die Organisation fähig ist, die Prinzipien des Frameworks anzuwenden. Enterprise Risk Management Vision Das Kernteam entwickelt eine Vision, wie sich das ERM in die Unternehmensstruktur integriert, zur Erreichung der Ziele beiträgt und dabei ein entsprechendes Gleichgewicht mit der Risikobereitschaft des Unternehmens findet. Ferner müssen Managemententscheidungen risikobewusst getroffen werden, um Chancen zu nutzen 14

15 und den Kapitaleinsatz zu optimieren. Entwicklung der Fähigkeiten Die laufende Beurteilung des Implentierungsstatus und die ERM Vision bringt die Erkenntnisse mit sich, wie und wo das Know-How der Mitarbeiter verbessert werden muss, ebenso auch die Technologie und die Prozessabläufe. Auch zeigt sich, welche neuen Fähigkeiten entwickelt werden müssen. Dazu sind Aufgaben und Verantwortlichkeiten zu definieren, Organisationsmodelle zu modifizieren, ebenso wie Richtlinien, Prozesse, Methoden, Werkzeuge, Techniken und der Informationsfluss. Implementierungsplan Der Anfangsplan ist auf aktuellen Stand zu bringen und zu verbessern, indem man in die Tiefe und Breite geht und weitere Einschätzungen und Strukturänderungen mit einbezieht. Zusätzliche Verantwortlichkeiten müssen definiert und das Projektmanagement verbessert werden. Veränderung von Management, Entwicklung und Einsatz Aktivitäten müssen entwickelt und implementiert werden um die ERM Vision zu erhalten und die notwendigen Fähigkeiten abzusichern. Dazu gehören Trainingsprogramme, Leistungsanreize und die Überwachung des restlichen Implementierungsprozesses. Monitoring Das Management muss kontinuierlich über die Stärken und Schwächen der Managementfähigkeiten unterrichtet werden, als Teil eines sich ständig verbessernden Managementprozesses. Einen anderen Weg der Implementierung eines ERMs beschreibt ein von Protiviti Independent Risk Consulting herausgegebenes Papier: Enterprise Risk Management: Practical Implementation Ideas. [9] Implementierung eines ERMs nach Protiviti Diese Implementierungsmethode von Protoviti [9, 3] geht von der innen Struktur eines Unternehmens nach außen. Es wird von einem oder zwei wesentlichen Risiken ausgegangen, diese werden bewertet, die Bedrohlichkeit festgestellt und Gegenmaßnahmen ins Auge gefasst. In vier Stufen werden dem Management und den Mitarbeitern die Wichtigkeit und auch die wirtschaftliche Bedeutung eines ERMs gezeigt und in einer fünften Stufe auf weitere Risiken ausgedehnt. Stufe 1: Enterprise Risk Assessment (ERA) Man schätze die wichtigsten, kritischen Risiken eines Unternehmens ein und zeige, dass die Organisation keine Gegenmaßnahmen getroffen hat bzw. sich auch über die Bewertung dieser Risiken unklar ist. Stufe 2: Artikulation der Risiko Management Vision In diesem Schritt wird die wirtschaftliche Notwendigkeit für die Einführung eines Risiko Managements gezeigt. Auch soll dargestellt werden, wie wichtig es ist, dass die Organisation mit diesen Risiken sachgerecht umgeht. Dazu ist es notwendig, dass die Risiko Management Vision auf die Fähigkeiten und Ziele des Managements aufbaut. Die Methoden, die ein Risiko 15

16 Management zu Erfolg verhelfen, umfassen: Richtlinien, Prozesse, Kompetenzen, ein Berichtswesen und Techniken um Gegenmaßnahmen gegen Risiken zu ergreifen. Die Verwirklichung dieser Anforderungen führt zu einer ERM-Infrastruktur. Daraus erkennt man: Je größer die Kluft zwischen den laufenden und den gewünschten Status der Organisation in Bezug auf ein Risiko Management ist, desto größer ist die Forderung nach einer ERM-Infrastruktur. Eine Arbeitsgruppe von Senior Managern soll angehalten werden die Rolle des Risiko Managements in der Organisation zu definieren und der gesamten Unternehmenseinheit verständlich zu machen. Stufe 3: Verbessertes Risiko Management an Hand von einer oder zwei Risiken In dieser Stufe soll das Risiko Management so weit als möglich verbessert werden, wobei man ein oder zwei wichtige Risiken heranzieht. Für die Identifikation und Bewertung dieser Risiken sind Anknüpfungspunkte zu schaffen. Diese können nach Protiviti sein: Notwendigkeit den Anforderungen des SOX zu entsprechen (Section 404 und 302). Aufzeigen eines oder einiger wichtigen Risiken, die nicht schon im Finanzbericht aufscheinen. Bewertung unternehmensweiter Risiken, um die wichtigen Risikobereiche zu identifizieren. Integration des ERMs mit den anderen Managementprozessen z.b.: mit den strategischen Management, dem jährlichen Geschäftsplan, Entwicklung neuer Produkte, Qualitätsverbesserungen, etc. In den USA beginnen viele börsennotierte Unternehmungen die Einführung eines ERM in Hinblick auf Section 404 (SOX), um die geforderte Transparenz ihrer finanziellen Berichterstattung zu erfüllen. Stufe 4: Bewertung der bestehenden ERM-Infrastruktur und deren Verbesserung Es bedarf einer gewissen Disziplin eine ERM Infrastruktur aufrecht zu erhalten. Dazu gehört unter anderen auch die Beseitigung von offenen Lücken zwischen dem tatsächlichen und gewünschten Status. Auch soll eine allgemein gültige Sprachregelung eingeführt werden. Dazu ist es sinnvoll die unternehmensspezifische ERM-Infrastruktur in ein anerkanntes Framework zu überführen, das Regeln und Best Practices anbietet, ferner Trainingsprogramme und die Ernennung eines Chief Risk Officer vorsieht, die Risikobereitschaft definiert, sowie Gegenmaßnahmen in die Geschäftsabläufe integriert. Eine ERM-Infrastruktur wird nicht für alle Unternehmensarten und -größen die gleiche sein. Ein Framework wie z.b.: COSO sieht eine breite Anwendung vor, ist damit für jedes Unternehmen einsetzbar und bietet zudem eine einheitliche Terminologie. Stufe 5: Ausdehnung des Risk Managements auf das gesamte Unternehmen In den ersten 4 Stufen wurden nur wenige ausgewählte Risiken zur Demonstration herangezogen, um die Vision des ERM zu veranschaulichen und verwirklichen. In der letzten Stufe muss nun diese Vision auf eine breitere Basis gestellt und auch mehr und mehr andere Risiken behandelt werden. 16

17 Mit dieser Methode wird versucht, das in der Regel bereits vorhandene Gefühl für ein Krisenmanagement stufenweise in ein Gefühl für ein Risikomanagement umzuwandeln Herausforderungen bei der Implementierung eines ERMs Abbildung 4 zeigt, dass die höchsten Herausforderungen, die eine Implementierung eines ERM mit sich bringen, die im Unternehmen beschäftigten Menschen betrifft, gefolgt von der Verfügbarkeit und der rechtzeitigen Bereitstellung der Informationen. Diese Herausforderun- Abbildung 4: Herausforderungen bei der ERM-Implementierung [16, 31] gen sind systemimmanent, während zum Beispiel eine Überregulierung von außen aufgezwungen werden kann. [16, 31] 6 Methoden und Techniken für ein laufendes ERM-System 6.1 Ereignis- bzw. Risikoidentifizierung Ausgehend von der Unternehmensvision den strategischen Zielen und einzelnen Zielen sind Ereignisse bzw. Risiken zu identifizieren, die die Erreichung dieser Ziele verhindern oder behindern. Damit wird zum Ausdruck gebracht, dass bei der Identifizierung von Risiken auf die gegebenen Ziele Bezug genommen werden muss. [7, 21f]. Bei der Risikoidentifizierung bedarf es einerseits eines Rückblickes auf Erfahrungen, andererseits eines Blickes in die Zukunft, um mögliche Risiken zu erfassen Erfahrungen Als erste Quelle zur Identifizierung von Risiken werden die bisherigen Erfahrungen des eigenen Unternehmens, Erfahrungen von Wettbewerbern oder der Branche herangezogen. COSO [7, 23] 17

18 spricht in diesem Zusammenhang von Event Inventories. Allerdings werden auch Workshops von erfahrenen Mitarbeitern dazu dienen um aus vergangenen Ereignissen Schlüsse zu ziehen. Zu diesem Zweck können auch Fragebögen entwickelt werden. Dabei ist zu berücksichtigen, dass Risiken in der Vergangenheit stets auch Gegenmaßnahmen wachgerufen haben, was bei Einschätzung dieser Risiken zu beachten ist. Beispiel: Nach einer Rückrufaktion eines KFZ- Herstellers wurde die Qualitätskontrolle verschärft und Sublieferanten gewechselt Checklisten Abarbeiten von Checklisten in denen typische Risikofaktoren aufgezählt sind, eventuell auch Ereignisse, die Risiken nach sich ziehen können. Hierzu existieren standardisierte risk lists die Risiken nach Kategorien, Ursachen und Bereichen auflisten. Zu diesen Checklisten gehören die PEST prompt Listen. Ihr Name ist ein Akronym für Political, Economic, Social and Techniological Factors. Gegliedert nach diesen Bereichen finden sich Ereignisse, die für ein Unternehmen risikoreich sein können. [2, 131, 427f] Die Business Risk Taxonomy (BRT) bietet strukturierte Checklisten, die nach Klassen, Elementen und Attributen unterteilt werden. Ein Beispiel für eine solche Checkliste findet sich bei Chapman in [2, 132f]. Die Liste weist folgende Risikoklassen auf: Financal, Operational, Techonological, Economic, Environmental, Legal, Political, Market und Social. Auch die ON Regel des Österreichischen Normungsinstituts enthält im Anhang A [25, 16ff] eine Gefahrenliste für Unternehmen. Diese Liste ist strukturiert nach Gefahrengebiet, Gefahrenbereich, Gefahren-Checkpunkt und zugehöriger Beschreibung. Aus dieser Gefahrenliste können spezielle Fälle herausgelöst werden. Als Beispiel für einen besonderen Fall gibt ONR die Tabelle B.3 für ein Chemieunternehmen in bewohnter Umgebung. [25, 25] SWOT prompt Listen sind Checklisten die typische Schwachstellen eines Unternehmens aufzeigen. [2, 116, 133] SWOT ist ein Akronym für Strengths, Weekness, Opportunities und Threats. Diese SWOT prompt Listen erleichtern Analysen durch firmeneigene Arbeitsgruppen; es wird dadurch verhindert, dass aus Betriebsblindheit, Stärken oder Schwächen übersehen werden. Ein Beispiel hierfür findet sich bei Chapman. [2, 423f] Kreativtechniken Will man neue Ziele erreichen oder hat sich das Umfeld geändert, muss man über die bisher gesammelten Erfahrungen und Checklistentechnik hinausgehen und Kreativtechniken einsetzten. [17, 39] Dazu eignen sich Methoden, bei denen eine Gruppe von erfahrenen Mitarbeitern, Experten, aus unterschiedlichen Unternehmensebenen eingesetzt wird. Die Arbeitsweise einer solchen Gruppe kann z.b.: in Brainstorming, in nominaler Gruppentechnik oder Delphitechnik bestehen. 18

19 Brainstorming [2, 140], [17, 39] Der Brainstorming Prozess wurde von Osborn entwickelt und stellt ein Verfahren dar um in einer vielschichtigen Gruppe mit Hilfe freier Assoziationen zu möglichst vielen Lösungsansätzen eines Problems zu kommen. Für das ERM ist eine Gruppe von Mitarbeitern zu bilden, die aus unterschiedlichen Unternehmensebenen zusammengesetzt ist. Brainstorming fordert die Teilnehmer zur Öffnung des Geistes auf und zum Denken des scheinbar Undenkbaren, unterliegt aber strengen Verfahrensregeln. Die Teilnehmer sollten möglichst viele, auch unkonventionelle Gedanken einbringen, diese werden aber von der Brainstormingrunde nicht bewertet. Gedanken anderer Teilnehmer aufzugreifen und fortzuführen ist erlaubt, ja sogar erwünscht. Sämtliche Ideen werden auf Flipcharts notiert. Nach wenigen Tagen kommt das Brainstormingteam erneut zusammen, begutachtet und bewertet die aufgezeichneten Vorschläge und entscheidet über das weitere Vorgehen. Diese zweite Sitzung ist nach Osborn notwendig, denn nur durch die Vertagung der Beurteilung und Kritik wird das kreative Klima der ersten Sitzung nicht gestört. Die Regeln des Brainstromingprozesses lassen sich wie folgt zusammenfassen: Kritik ist untersagt, die Bewertung der Ideen wird auf eine zweite Sitzung verschoben. Freie Assoziation ist erwünscht; je ausgefallener die Idee, desto besser. Quantität wird gewünscht; je mehr Ideen, desto größer die Chance eine Lösung zu finden. Kombinationen und Verbesserungen von Ideen anderer sind erwünscht. Die nominale Gruppentechnik [2, 140], [17, 40] Ein von Delbecq entwickeltes Verfahren, das Einzel- und Gruppentechnik verbindet, ist die nominale Gruppentechnik (NGT). Die Teilnehmer einer solchen Gruppe werden zunächst über ein Problem oder beispielsweise über den Stand eines Projekts informiert. Danach schreibt jeder Teilnehmer die aus seiner Sicht acht größten Risiken dieses Problems auf und zwar in Reihenfolge ihrer Bedeutung. Zuerst werden die Risiken der Klasse 1 abgefragt und auf einem Flipchart notiert, danach die Risiken der Klasse 2 usw. Die genannten Risiken können mitunter ähnlich sein, sodass man sie zu einem einzigen Risiko zusammenfasst. Es kann vorkommen, dass das selbe Risiko mehrmals und eventuell mit unterschiedlicher Priorität genannt wurde. Zum Abschluss werden die abgefragten Risiken in acht Spalten aufgelistet. Jede Spalte hat eine Wertigkeit. Im dem Fall, dass gleiche Risiken verschieden bewertet wurden, werden die Wertigkeiten addiert. Als Ergebnis erhält man eine Liste priorisierter und mit Punkten bewerteter Risiken. Der Vorteil dieser Technik besteht darin, dass der eigentlich kreative Vorgang im Stillen erfolgt und keine Beeinflussung durch die Meinung anderer Personen gegeben ist. Die Auswertung und Diskussion erfolgt sodann in der Gruppe. Delphitechnik [2, 141] Die Delphitechnik wurde ursprünglich von Dalkey, Helmer et. al entwickelt. Die Methode besteht darin einen Vergleich von Expertenmeinungen bezüglich einer speziellen Frage zu erhalten. Diese Experten müssen ohne sich untereinander zu verständigen einen Satz von sorgfältig vorbereiteten Fragebögen beantworten. Einen zweiten Satz von Fragebögen erhalten sie nach einem Feedback des zuvor abgegebenen Fragebogens. Damit soll eine weitgehende Übereinstimmung der Meinungen erzielt werden. Die Experten erhalten ihre Fragebögen 19

20 per und bleiben hinsichtlich ihrer Antworten anonym. Zum Abschluss erhalten die befragten Teilnehmer die Resultate und werden wieder befragt, ob sie ihre ursprünglichen Antworten aufrechterhalten oder berichtigen wollen. Für gewöhnlich werden nicht mehr als drei Fragedurchgänge abgehalten. Auch bei dieser Methode wird verhindert, dass Experten sich der Meinung vorgesetzter oder älterer Kollegen anschließen und nicht unbeeinflusst antworten Auswertungsmechanismen zur Risikoidentifizierung COSO beschreibt in Application Techniques [7, 21] im Kapitel Event Identification eine Reihe von Identifikationsmethoden von denen zwei genannt seien und zwar: Die Onging Event Identification und die Methode der Interrelationship of Events. [7, 30f] Die Ongoing Event Identifcation bringt zum Ausdruck, dass der Vorgang der Risiko Identifikation kein einmaliger, etwa zum Zeitpunkt der Budgeterstellung ist, sondern einen laufenden Prozess darstellt, der sich über das gesamte Geschäftsjahr erstreckt. Die Methode der Interrelationship of Events kann mit einem Fischgrätendiagramm (siehe Abb. 5) dargestellt werden und zeigt, wie aus den verschiedenen Bereichen Ereignisse abgeleitet werden aus denen Risiken resultieren. Abbildung 5: Fischgrätendiagramm [7, 31] Zur Effizienz der Risiko-Identifizierungstechniken gibt Chapman in [2, 138] unter Berufung auf Jones, Sutherland (1999) nachstehende Grafik in Abbildung 6 an. Die höchste Effizienz wird mit 9 Punkten und die niedrigste mit 1 Punkt bewertet. Es zeigt sich daraus, dass die verschiedenen Formen der Gruppentechniken die wirksamsten sind und mit etwa 6 bis 7 Punkten bewertet werden. Hingegen erzielt man mit dem Einsatz von Checklisten und Fragebögen die niederste Effizienz. 20

21 Abbildung 6: Effizienz der Risiko-Identifizierungsmethoden [2, 138] 6.2 Risikoeinschätzung Risk Assessment Hinsichtlich der Risikoeinschätzung müssen wir zwischen einer qualitativen und einer quantitativen Analyse unterscheiden. Ausgangspunkt ist die Liste der identifizierten Risiken, wie im vorherigen Kapitel 6.1 Ereignis- bzw. Risikoidentifizierung beschrieben Qualitative Risikoanalyse Die aufgelisteten Risiken müssen von einzelnen Mitarbeitern möglichst im Zuge einer Gruppenarbeit auf ihr Ausmaß eingeschätzt werden. Dazu ist es notwendig einzelne Szenarien zu entwickeln und an Hand dieser, die relative Bedeutung der einzelnen Risiken festzulegen. Für die Bewertung wird eine Skala von 1 bis 5 (oder 1 bis 10) eingeführt, um daraus die Reihung und damit die Bedeutung dieser Risiken zu bestimmen. Erfahrungsgemäß bringt die qualitative Bewertung nach dem Bauchgefühl, insbesondere wenn sie von einer Gruppe erarbeitet worden ist, gute Ergebnisse. [10, 78f] Die Einschätzung der Risiken kann nach dem Schema in Abbildung 7 vor sich gehen. Abbildung 7: Risikoanalyse nach [17, 53] Empfindlichkeitsanalyse [2, 176] Die Empfindlichkeitsanalyse eignet sich speziell für die Beurteilung von Chancen und Risiken 21

22 von einzelnen Projekten. Sie beruht auf der Fragetechnik: was wenn? Chapman gibt hierzu ein Beispiel: Was können wir tun, wenn das Umsatzvolumen um 10% höher ist als erwartet? Was müssen wir tun, wenn das Umsatzvolumen um 5% geringer ist als erwartet? Was passiert, wenn wir die Preise um 20% senken? Was passiert, wenn wir die Preise um 5% anheben? Die Beantwortung dieser Fragen, die man zweckmäßig in einer Gruppe erarbeiten lässt, können nur qualitativ, d.h. aus einem gewissen Gefühl heraus gegeben werden. Szenarioanalyse [2, 177] Ein ähnlicher Ansatz zur möglichen Risikobegrenzung einzelner Projekte besteht darin, dass man einer Gruppe etwa die folgenden Fragen stellt: Wie ist der Verlauf eines Projektes bei optimistischer Betrachtungsweise, welche Risiken sind zu erwarten? Wie sieht das bei pessimistischer Betrachtungsweise aus? Was ist der höchst wahrscheinliche Verlauf? Damit können mögliche Grenzen eines Risikos abgeschätzt werden Quantitative Risikoanalyse Die quantitative Risikoanalyse sucht die Risiken zu bewerten. Dabei sind drei Komponenten zu berücksichtigen: der Wert des gefährdeten Gutes, der Risikofaktor und die Eintrittswahrscheinlichkeit. Damit kann zwar ein Wert errechnet und bei der Planung und Budgetierung berücksichtigt werden. Der Risikofaktor und die Eintrittswahrscheinlichkeit eines Schadens unterliegen einer Annahme. Auch muss zwischen einem inhärenten und einem residualen Risiko unterschieden werden. Ein inhärentes Risiko wohnt einem Ereignis inne und wird wirksam ohne dass eine Gegenmaßnahme ergriffen worden ist. Ein residuales oder Restrisiko umfasst jenes Schadensausmaß, das trotz Gegenmaßnahmen eintritt. Es muss also beim Wertansatz eines gefährdeten Gutes berücksichtig werden, ob Gegenmaßnahmen, wie sie im folgenden Kapitel beschrieben werden, vorgesehen sind [7, 33f], [10, 73f]: Wert des gefährdeten Gutes Es muss zunächst der als gefährdet identifizierte Vermögenswert zuzüglich der Sicherungsmaßnahmen und Folgeschäden bewertet werden. Risikofaktor Das voraussichtliche Schadensausmaß muss geschätzt werden, denn der gefährdete Vermögenswert muss nicht zur Gänze vernichtet werden, sondern vielleicht nur zu einem Teil. Damit ergibt sich der Wertansatz für das vermutete Schadensausmaß des Einzelschadens. Einzelschaden = Wert des Vermögensgutes Risikofaktor 22

23 Darüber hinaus ist der Erwartungswert des Einzelschadens auf das betreffende Geschäftsjahr zu beziehen. Kann dieser Schaden mehrmals auftreten, so muss der erwartete Einzelschaden mit der geschätzten Häufigkeit multipliziert werden. Kann der Eintritt eines Schadens innerhalb des Geschäftsjahres nur vermutet werden, so muss er mit dem Wahrscheinlichkeitsfaktor (1 < p > 0) multipliziert werden. Tritt ein Schaden nur in größeren Zeiträumen auf, z.b. einmal in 10 Jahren, so muss nur der jährliche Anteil, für dieses Beispiel ein Zehntel pro Geschäftsjahr, berücksichtigt werden. Jährlicher Schaden = Einzelschaden Eintreten des Schadens pro Jahr Damit wird auch eine sorgfältige Berechnung niemals einen exakten Erwartungswert ergeben, denn die Berechnung fußt auf zwei Annahmen, die des Risikofaktors und die der Eintrittswahrscheinlichkeit. Risiko- und Eintrittswahrscheinlichkeit Um Risiken in eine Matrix einordnen zu können sind diese mit ihrer Eintrittswahrscheinlichkeit zu verknüpfen. Dazu geben Dietrich et al. in [21, 125] ein Muster einer einfachen Risikomatrix (siehe Abb. 8). Aus dieser Risikomatrix kann die Risikoverteilung analysiert werden. Das Abbildung 8: Beispiel für eine Risikoverteilung [21, 125] Beispiel zeigt, dass ein erheblicher Teil der Risiken im kritischen Bereich liegen. In diesem Fall muss eine Rückmeldung an die Planung und Geschäftsleitung erfolgen. Im Bezug auf den Eintrittszeitpunkt ist auch zu berücksichtigen, wann ein Risiko eintreten kann. Grundsätzlich gibt es vier Möglichkeiten [17, 58]: Jederzeit Ab einen bestimmten Zeitpunkt Spätestens zu einem bestimmten Zeitpunkt Nur zu einem ganz bestimmten Zeitpunkt Entscheidungsbäume Mittels Entscheidungsbäumen lassen sich bei komplexen Situationen rational begründete Entscheidungen herbeiführen, durch die Risiken zu begrenzen sind. Chapman gibt hierzu ein 23

24 Beispiel, das hier verkürzt wiedergegeben wird [2, 168]: Eine Regierung beschließt am Stadtrand einer Metropole einen neuen Flughafen zu errichten. Es steht allerdings noch nicht fest, ob dies am Ort A oder am Ort B erfolgen soll. Es ist klar, dass die Grundstückspreise von dieser Entscheidung stark beeinflusst werden. Sie sind schon jetzt gestiegen, ein sprunghafter Anstieg ist aber erst bei einer Entscheidung über den Standort A oder B zu erwarten. Eine Hotelkette plant für den Bau eines Flughafenhotels ein Grundstück in A oder B zu erwerben. Damit ergeben sich folgende Möglichkeiten: Man kauft in A man kauft in B man kauft in A und B oder unterlässt den Kauf. Der Entscheidungsbaum berücksichtigt diese vier Möglichkeiten und stellt auch den finanziellen Vorteil oder Verlust dar, der sich ergibt, wenn man in A oder B gekauft hat; z.b.: man kauft in A ein Grundstück um 19 Millionen, der Flughafen wird auch in A gebaut, damit steigt der Grundstückspreis auf 32 Millionen, es ergibt sich ein Wertzuwachs von 13 Millionen. Hat man in A gekauft, aber der Flughafen wird in B gebaut, woraufhin der Grundstückspreis auf 6 Millionen absinkt, so ergibt sich ein Verlust von 13 Millionen. Der Entscheidungsbaum im Abbildung 9 spielt alle Möglichkeiten durch, es lässt sich daraus aber noch keine klare Entscheidung ableiten. Eine Entscheidung kann erst getroffen werden, Abbildung 9: Entscheidungsbaum für die Landkaufentscheidung [2, 168] wenn man ein spekulatives Element einführt. In diesem Beispiel besteht dieses Element in der Überlegung, dass mit einer Wahrscheinlichkeit von 60% der Flughafen in B gebaut wird, und mit einer Wahrscheinlichkeit von 40% in A. Diese Annahme wurde aus ökonomischen Überlegungen und aus der Verkehrslage abgeleitet. Damit ergibt der Entscheidungsbaum ein anderes Bild. Aber zuvor muss der Begriff des Expected Monetary Value (EMV) erklärt werden. Dieser erwartet Geldzuwachs ergibt sich aus der Berechnung in Tabelle 1. [2, 170] Mit der Rückverfolgung des Entscheidungsbaumes in Abbildung 10 ergibt sich eine eindeutige Entscheidungsgrundlage. Es ist aber zu bedenken, dass dies nur auf Grund der spekulativen Annahme zu Stande gekommen ist. Die ökonomischen und verkehrstechnischen Überlegungen müssen bei einer politischen Entscheidung nicht unbedingt zutreffen. Darin besteht das Restrisiko. 24

25 EMV für Knoten 1 = = 2.6 EMV für Konten 2 = = 2.6 EMV für Knoten 3 = = 0 EMV für Knoten 4 = = 0 Tabelle 1: Berechnung des Expected Monetary Value Abbildung 10: Rückverfolgung des Entscheidungsbaums [2, 170] Markov-Ketten Es gibt Entscheidungen, die Prozesse auslösen, deren Verlauf und deren damit verbundenen Risiken nur mit Hilfe stochastischer Methoden abzuschätzen sind. Dazu zählt auch der Einsatz von Markov-Ketten. Eine Markov-Kette kombiniert das Prinzip der Wahrscheinlichkeitsverkettung mit den Algorithmen der Matrizen-Rechnung. Ausgangspunkt ist die Definition einer Übergangswahrscheinlichkeit von einer Periode eines Prozesses zur nächsten. Dabei wird immer nur die letzte Periode berücksichtigt, die vorangehenden bleiben unberührt. [2, 170], [11, 683] Ein einfaches Beispiel zeigt diesen Ablauf [2, 170f]: Die Übergangsmatrix des Ausgangspunkts P sei: P = E 1 E 2 E E Durch Quadrierung der Matrix P erhält man die Übergangsmatrix der zweiten Periode: P = E 1 E 2 E E

26 Die Übergangsmatrix für die 4. Periode ergibt sich aus P 4 usw. Ein Anwendungsbeispiel zeigen Hillier und Liebermann in Operations Reseach. [11, 683f] Hier geht es um die Entscheidung über den Austausch von nicht mehr voll funktionstüchtigen Maschinen, die zufällig ausfallen bzw. Ausschuss liefern. Die Ausfallzeiten und Ausschussquoten werden täglich festgestellt und bewertet. Die Maschinen sind in fünf Klassen eingeteilt von neuwertig bis nicht mehr funktionstauglich. Aus den Beobachtungen dieser Maschinen ergibt sich für jede Klasse eine durchschnittliche Fehlerquote, die in Geldwert ausgedrückt wird. Aus den klassenspezifischen Fehlerquoten lässt sich eine Ausgangsmatrix erstellen. Mittels einer Markov-Kette kann man den zufälligen, aber stochastisch definierten täglichen Geldverlust ermitteln. Daraus lässt sich ableiten, wann diese Verluste eine Neuanschaffung rechtfertigen. Simulationen Monte Carlo Methode Diese Methode ist eine zufallsbedingte Simulation mit hohem Rechenaufwand. Allerdings existieren heute Tools, die auf schnellen Rechnern diese Methode unterstützen. Die Monte Carlo Methode benützt eine große Menge von gleichverteilten Zufallszahlen, auf denen man mit vorgegebenen Bedingungen sogenannte Irrfahrtsprozesse durchführt um angenäherte Lösungen zu finden. Dieser Prozess ist iterativ und mit steigenden Iterationen steigt auch die Genauigkeit. Diese Methode wird in der Regel für großangelegte Versuchsreihen eingesetzt um deren Erfolg bzw. Risiko abzuschätzen. Als Beispiel sei die Simulation der Entwicklung eines neuen Medikaments angeführt. Erfahrungsgemäß ergibt sich aus untersuchten chemischen Verbindungen 1 Treffer. Für die Entwicklung ist ein Zeithorizont bis zu 20 Jahren anzusetzen. Es ist daher plausibel, dass bei einem solchen Projekt genaue und aufwändige Simulationen vorgenommen werden, um Chancen und Risiken herauszufinden. Die zufallsbedingte Simulation wurde erstmalig bei der Entwicklung der Atombombe in Los Alamos angewendet und zwar unter dem Decknamen Monte Carlo Methode. [2, 178] Methoden der Risikoanalysen im Überblick Einen tabellarischen Überblick über Methoden der Risikoanalyse (siehe Abb. 11) bietet ONR [24, 14] Abbildung 11: Methoden der Risikoanalyse im Überblick [24, 14] Die dort verwendeten Abkürzungen bedeuten: FMEA (Failure Mode and Effects Analysis) 26

27 findet für die Analyse von Baugruppen in der Automobilindustrie sowie für die Qualitätsverbesserung technisch komplexer Systeme Verwendung. Die HAZOP (Hazard & Operability Study) wird bevorzugt für die Risikoanalyse von Prozessen in der Chemie, Pharmaindustrie und bei Nuklearanlagen verwendet. HACCP (Hazard Analysis and Critical Control Points) wird in der Nahrungsmittel- und Getränkeindustrie eingesetzt um damit physikalische, biologische, chemische und mechanische Gefährdungen zu ermitteln und damit zu eliminieren. HACCP ist zugleich auch ein Werkzeug der Qualitätssicherung. Mit RPZ, der Risikoprioritätszahl, wird das Risiko ermittelt. RPZ berechnet sich aus dem Produkt der Wahrscheinlichkeit des Auftretens (A), aus der Bedeutung (B) und der Wahrscheinlichkeit des Entdeckens (E). Die von ONR dargestellte Übersichtstabelle ist vom Standpunkt der COSO-Systematik unvollständig und mischt Methoden der Risikoanalyse mit den Methoden der Risikohandhabung. Interessant ist, dass ONR auch Qualitätssicherungssysteme mit einbezieht. Operative und rechtliche Auswirkungen In einem verzweigten Konzern ist es nicht nur wichtig Risiken zu identifizieren und zu bewerten, sondern es muss auch festgestellt werden, welche Einflüsse und Auswirkungen diese Risiken zwischen den Einheiten der operativen und der rechtlichen Struktur hervorrufen. Wenn z.b.: bedeutende Produktionseinheiten in einem Erdbebengebiet liegen und daher starken Risiken ausgesetzt sind, so hat das auf das Risiko Management des Gesamtkonzerns wesentlichen Einfluss. Menzies gibt nachstehendes Beispiel (siehe Abb. 12), wie gegenseitige Einflüsse visualisiert werden. [14, 188] Abbildung 12: Verknüpfung der rechtlichen Struktur mit der operationalen Struktur [14, 188] Risikobereitschaft Risk Appetite Die Risikobereitschaft muss vom Board of Directors bzw. von der Geschäftsleitung grundsätzlich festgelegt und in einer Policy dokumentiert werden. [15, 97] Das Ausmaß der Risikobereitschaft hängt von der Risikokultur des Unternehmens und des Geschäftszweiges ab. Es lassen sich drei Typen unterscheiden [7, 186]: 27

28 Risikoabneigung Risiko neutral Risikofreudig Zur Festlegung der Risikobereitschaft kann eine Risk Map angelegt werden, die eine Aufzählung einzelner Risiken enthält, die nach ihrer Bedeutung in mehrere Klassen zusammengefasst werden. Es muss definiert werden, bis zu welcher Klasse die Risikobereitschaft geht. Auch kann innerhalb der einzelnen Klassen, bezogen auf spezielle Projekte ein Prozentsatz des eingesetzten Kapitals oder des erwarteten Gewinnes, als noch akzeptabel bestimmt werden. [7, 16f], [21, 132] Daraus ergibt sich ein Bereich in dem allfällige Risiken toleriert werden, bzw. ein Bereich in dem das Risikotoleranzfeld überschritten wird. Diese Bereiche lassen sich auch grafisch (siehe Abb. 13) darstellen, wobei die Grundlage eine Risikomatrix darstellt. In der Regel werden Ri- Abbildung 13: Einordnung der Risiken nach ihrer Akzeptanz nach [21, 164] siken, die aus einer Kollision mit rechtlichen Normen oder mit den ethischen Grundsätzen des Unternehmens resultieren, unabhängig von ihrem Ausmaß, ausgeschlossen. 6.3 Risikohandhabung Risk Response Nach der Risikoidentifizierung und Abschätzung obliegt es dem Management geeignete Gegenmaßnahmen zu treffen bzw. zu planen um den Risikoeintritt abzuwehren. Es muss daran gedacht werden, dass eine vorausschauende Handhabung der Risiken notwendig ist, um nicht eine Krisensituation aufkommen zu lassen. [17, 81] Maßnahmen zur Risikohandhabung COSO nennt vier mögliche Schritte um Risiken entgegenzuwirken die im Folgenden näher erörtert werden [7, 55]: Risikovermeidung (Avoidance) Risikoreduzierung (Reduction) Risikoteilung (Sharing) Risikoakzeptanz (Acceptance) 28

29 Die Risikovermeidung kann darin bestehen, dass man sich von riskanten Geschäften zurückzieht, ferner von gefährlichen Verfahren (Umweltschäden), von störanfälligen Produkten (Produkthaftung), aus gefährlichen Gebieten (Naturkatastrophen, politische Unruhen). Auch muss auf geplante Expansionen in gefährliche Bereiche verzichtet werden. Zur Risikovermeidung gehöhrt auch das weite Feld der Qualitätssicherung. Dabei ist nicht nur an Qualitätssicherung im technischen Sinn zu denken, sondern auch im organisatorischen, d.h. Sicherung der Liefertreue. In diesem Sinn umfasst die Zertifizierung nach ISO 9000ff sowohl Technik als auch Organisation. [22, 30f] Die Risikoreduzierung umfasst z.b.: die Diversifikationen von Produktlinien (Marken- und Billigprodukte). Einengung von operationalen Limits (gegen Eigenmächtigkeiten einzelner Manager). Einführung von transparenten und effektiven Geschäftsprozessen. Verstärkung des Risikobewusstseins des verantwortlichen Managements, insbesondere auch in Bezug auf das Restrisiko. Hierzu soll ein risk owner bestimmt werden, der für die Risiken eines bestimmten Geschäftsprozess die Verantwortung zu tragen hat. [15, 99] Mit der Risikoteilung wird ein Risiko ganz oder teilweise auf andere Organisationen abgewälzt. Dazu gehören Versicherungen (klassische Risikoteilung), Partnerschaften (joint ventures), Kurssicherungen durch Kapitalmarktinstrumente, Outsourcing von Geschäftsprozessen, vertragliche Absicherungen mit Geschäftspartnern wie Lieferanten und Kunden. Bei der Risikoakzeptanz geht man davon aus, dass die Überschreitung eines Risikos dadurch kompensiert wird, dass ein anderes Risiko unterschritten wird. Damit darf aber der Gesamtrahmen eines Portfolios nicht gesprengt werden. Ein Risiko ist auch dann zu akzeptieren, wenn es unterhalb des Limits der Risikobereitschaft liegt. Welche der oben genannten Maßnahmen der Risikohandhabung man zweckmäßig einsetzt, stellt Pickett, in Auditing the Risk Management Process [15, 23] in Form einer Risikomatrix dar (siehe Abb. 14): Abbildung 14: Handhabung von Risiken [15, 23] Eine besondere Bedeutung kommt auch der Priorität der Risikohandhabung zu. Die Risikomatrix bietet dazu eine Hilfe (siehe Abb. 15). [17, 69] 29

30 Abbildung 15: Prioritätenmatrix nach [17, 69] Tools zur Risikohandhabung COSO gibt in [7, 56f] zur Dokumentation der Handhabung von Risiken eine Reihe von Musterbeispielen (Best Practices) die im Wesentlichen nach folgendem Schema (siehe Abb. 16) aufgebaut sind: Abbildung 16: Risikohandhabung [7, 56] Kosten der Risikohandhabung Die Maßnahmen zur Risikohandhabung sind mit Kosten verbunden. Diese Kosten müssen sorgfältig abgeschätzt werden und mit dem Verlust, den der Eintritt eines Risikos bewirkt, abgewogen werden. Dazu dient eine Kosten Nutzenanalyse (siehe Abbb. 17), die auf dem Laufenden zu halten ist und überwacht werden muss. Es hat keinen Sinn Kosten aufzuwenden die höher sind, als der vom Risiko voraussichtlich verursachte Schaden. [7, 58f] Abbildung 17: Kosten Nutzenanalyse [7, 59] 30

31 6.4 Steuerungs- und Kontrollaktivitäten Control Activities In der sechsten Komponente des COSO II Frameworks, den Control Activities, wird die Risikohandhabung umgesetzt. Es besteht daher ein enger Zusammenhang zwischen den vorhergehenden Komponenten: Zielsetzung Risikoidentifikation Risikobewertung Risikohandhabung und deren Umsetzung durch die Steuerungs und Kontrollaktivitäten. Im Zentrum der Control Activities steht die Realisierung der verschiedenen Möglichkeiten der Risikohandhabung. Diese müssen zur richtigen Zeit und in systematischer Weise eingesetzt werden. Es soll nicht zu Überlappungen kommen, aber auch nicht zu Lücken. Die Aufgabe der Control Activities ist es, einen geordneten, aufeinander abgestimmten und zeitlich definierten Einsatz der Risiko-Gegenmaßnahmen zu steuern [4, 60], [7, 63f], [8, 61]: Vorab ist zu klären, in welche Kategorie das gegenständliche Risiko fällt [7, 63f]: Risikovermeidung, Risikoreduzierung, Risikoteilung, Risikoakzeptanz. Steuerungs- und Kontrollaktivitäten betreffen alle Ebenen des Unternehmens Es liegt in der Natur eines ERM-Systems, dass die Aktivitäten durch alle Ebenen des Unternehmens zu entfalten sind. COSO gibt hier folgenden Überblick [8, 62f]: Aktivitäten der Geschäftsleitung Die Geschäftsleitung bzw. das Senior Management muss die Kosten und Nebenwirkungen der vorgeschlagenen Risiko-Gegenmaßnahmen mit den Unternehmenszielen und dem Budget vergleichen und auch zukünftigen Pläne berücksichtigen. Dabei muss die Geschäftsleitung die von ihr erlassenen Policies gegebenenfalls interpretieren. Aktivitäten des Linien-Managements Das Linien-Management muss im Rahmen seiner Wirkungsbereiche die Risiko- Gegenmaßnahmen umsetzen, deren Wirkung beurteilen, den Verlauf kontrollieren und darüber berichten. Informationsverarbeitung Eine Vielzahl von Steuerungsprogrammen und Kontrolleinrichtungen müssen erarbeitet werden um den zeitlichen Ablauf, die Vollständigkeit und auch die Autorisierung von Risiko- Gegenmaßnahmen zu verfolgen. Dazu müssen gegebenenfalls neue Systeme erarbeitet und bestehende verändert werden. Physikalische Kontrollen Es gibt Bereiche in denen nur manueller Einsatz eine Kontrolle ermöglicht, dazu gehören Warenbestandsfeststellung, Kontrolle des Inventars (z.b.: Einrichtung, Maschinen), Kassenbestände etc. Diese Kontrollen müssen regelmäßig vorgenommen werden und dienen der Prüfung, ob alle in den Büchern aufscheinenden Vermögenswerte auch tatsächlich vorhanden sind. Leistungsindikatioren Es ist zu prüfen, ob die in der Planung der operativen und finanziellen Bereiche angenommen Prozesse mit den tatsächlichen Abläufen übereinstimmen. So können z.b.: unerwartete Re- 31

32 sultate oder unvorhersehbare Trends im Bereich von Schlüsselaktivitäten des Unternehmens auftreten, die man bei der Zielsetzung und Planung als unwahrscheinlich eingeschätzt hat. Das Management muss in solchen Fällen untersuchen, ob hier die Planung zu korrigieren ist oder ob Maßnahmen zu ergreifen sind um die Prozessabläufe selbst im Sinne der Zielsetzungen zu beeinflussen. Verantwortungsteilung Um Risiken, die auf Irrtum oder Betrug zurückzuführen sind, auszuschließen ist die Verantwortung für Prozesse auf verschiedene Personen zu verteilen. Informationstechnologie Eine besonderes Augenmerk ist auf die Gefahren und den zu deren Abwendung getroffenen Sicherheitsmaßnahmen zu legen, die mit der Informationstechnologie zusammenhängen. Eine Risikoaktzeptanz oder bloße Risikominderung ist hier auszuschließen, Ziel muss hier eine Risikovermeidung sein [8, 65]: Dazu ist ein IT-Management als steering committee einzusetzen, dessen Aufgabe es ist, den Überblick, die Überwachung und die Berichterstattung über die Informationstechnologie wahrzunehmen, sowie Verbesserungsvorschläge einzubringen. Infrastruktur der Informationstechnologie Die Kontrollaktivitäten sind auf folgende Bereiche anzuwenden: Systemdefinition, Beschaffung und Installation, Konfiguration, Integration und Systemerhaltung. Die Kontrollen müssen sich auch auf Vereinbarungen mit Dritten über die Sicherung des Servicegrades erstrecken; ferner muss die Möglichkeit geschaffen werden die Systemleistung zu verstärken und mittels Business Continuity Planung die Systemverfügbarkeit sicherzustellen. Die Netzwerkleistung ist auch bei Auftreten von Fehlern zu gewährleisten. Für den EDV-Betrieb ist eine Terminplanung vorzusehen. Die Komponenten der IT-Infrastruktur müssen den Berichten des Managements oder des steering committee entsprechen. Auch müssen wesentlichen Neuanschaffungen genehmigt sein, sowie auch die Zugriffsbeschränkungen auf System und Software. Zur Erkennung von Kommunikationfehlern ist eine parity bit detection vorzusehen. Die Kontrollmechanismen der Systemsoftware müssen in der Lage sein Zwischenfälle zu verfolgen und System logging durchzuführen, d.h. zu protokollieren wer und wann Datenänderungen durchgeführt hat. Security Management Dazu gehören logische Zugriffskontrollen, wie sichere Passwörter, eingeschränkter Zugriff auf Netzwerke, Datenbanken und Anwendungen. Benutzerkonten verbunden mit Zugriffskontrollen sichern, dass ein beschränkt berechtigter Benützer nur auf jene Daten zugreifen kann, die er für die Ausübung seiner Aufgaben benötigt. Internet firewalls und virtual private networks schützen Daten vor einem unautorisierten Zugriff von außen. Softwareanschaffung Entwicklung und Erhaltung Die Aufsicht über Software- Anschaffungen und -Implementierungen sind Bestandteil eines festgelegten Change Management Prozesses, einschließlich der erforderlichen Dokumentationen, Tests bezüglich der User Akzeptanz, Stress Tests und einer auf dieses Projekt bezogenen Risikoabschätzung. Ein Zugriff auf Source Codes wird über eine Code Library kontrolliert. 32

33 Softwareentwickler arbeiten in einer getrennten Entwicklungs- bzw. Test-Umgebung und haben keinen Zugriff auf die übrigen Umgebungen. Die Kontrolle von Systemänderungen beinhaltet eine erforderliche Autorisierung zu einem Änderungsantrag, einen Bericht über die Änderungen, Zulassungen, Dokumentationen, Testergebnissen, sowie Auswirkungen der Veränderungen auf andere IT-Komponenten, Stress Tests und Implementierungsprotokolle. Diese in COSO Enterprise Risk Management Integrated Framework Executive Summary [8, 65] als Exhibit 7.2 eingefügte, ausführliche Darstellung enthält nicht nur die Anforderungen an eine IT-Kontrolle sondern führt auch zugleich die erforderlichen Maßnahmen an, die notwendig sind, um das Auftreten von Risiken zu vermeiden. In diesem Sinne lassen sich aus Exhibit 7.2 eine Reihe von ERM-Methoden ableiten. Die Methoden der Steuerungs- und Kontrollaktivitäten, sofern sie nicht im Zusammenhang mit dem Bereich der Informationstechnologie zusammenhängen, sind sehr unterschiedlicher Art und hängen von der Art und Branchenzugehörigkeit eines Unternehmens ab. COSO [7, 63ff] gibt nur wenige konkrete Methoden an und diese nur als Best Practices. So z.b.: Überprüfung der Rechnungskontrolle bei Anschaffung von Investitionsgütern auf mögliche Risiken, Risikoauswirkungen, Risikohandhabung und Restrisiken und die dazugehörigen Control Activities. Wichtig aber ist die Feststellung, dass die Steuerungs- und Kontrollaktivitäten immer einer schriftlichen, ausführlichen Dokumentation bedürfen. 6.5 Information und Kommunikation In einem ERM-System ist die Mitarbeit aller Unternehmensebenen gefordert, daher ist es auch notwendig diese mit entsprechenden Informationen zu versorgen. Dieser Prozess muss ein laufender sein, denn nur so können die Verantwortlichen ihren Aufgaben gerecht werden. COSO formuliert [7, 77]: Having the right information, on time and at the right place, is essential to effecting enterprise risk management. COSO [7] Eine effiziente Kommunikation wird nicht nur top-down erfolgen, sondern auch innerhalb der Organisation horizontal und von unten nach oben. Der Informationsfluss darf sich nicht nur auf die innere Organisation beschränken sondern muss auch die Kommunikation nach außen mit einbeziehen. Das gilt sowohl für finanzielle als auch für nicht finanzielle Bereiche, also auf die Kommunikation mit Shareholder, Geldinstituten, Kunden, Lieferanten und anderen Geschäftspartnern. [8, 67f] Ein typisches Geschäftsmodell in dem der Informationsfluss eines Unternehmens gegenüber seinem externen Umfeld dargestellt wird, ist in COSO [7, 68] dargestellt und sei in Abb. 18 gezeigt. Wie der Informationsfluss bezüglich des ERM-Systems innerhalb eines Unternehmens ablaufen könnte, zeigt Abbildung 19. [7, 69] Tiefe und Rechtzeitigkeit von Informationen Durch die steigende Leistungsfähigkeit der Informationstechnologie kommt es zu einem Überfluss an Daten, sodass es notwendig ist, diese sorgfältig auszuwählen. Es könnte sonst die 33

34 Andere Verbrauchsquellen Öffentl. Körperschaften Joint Ventures Aktionäre & Banken Konkurrenz Stellenbewerber Einkommenschancen & Gefahren Personalbedarf Fähigkeiten & Erfahrungen Gesetzestreue Risiko Teilung Berichte Gefahren & Chancen Geldfluss Verfügbare Technologie Fähigkeiten Spezifizierung Lieferanten Kaufauftrag Waren & Service Unternehmen Nachfrage Warenversand Service Käufer & Händler Abbildung 18: Informationsfluss eines typisches Geschäftsmodells [7, 68] Internes Umfeld Risiko Management Philosophie Risikobereitschaft Zielsetzung Ziele Messeinheiten Liste der Chancen Risikotoleranzen Ereignis- und Risikoidentifikation Liste der Risiken Risikoeinschätzung Abschätzung inheränterisiken Risikohandhabung Abschätzung der Restrisiken Risikohandhabung Risikohandhabung Portfolio Überblick Steuerungs- und Kontrollaktivitäten Ausgaben Indikatoren Berichte Monitoring Abbildung 19: Interner Informationsfluss bezogen auf COSO II [7, 69] 34

35 Gefahr eintreten, dass der Informationsfluss in eine Informationsflut ausartet. Es muss auch sichergestellt werden, dass nur die Mitarbeiter mit Informationen versorgt werden, die sie auch wirklich beno tigen. [7, 75] Anforderungsprofil COSO gibt U berlegungen hinsichtlich des Anforderungsprofils von Informationen vor, die die Auswahl erleichtern sollen [7, 75]: Was sind die wichtigsten Leistungsindikatoren fu r das Unternehmen? Was sind die wichtigsten Risikoindikatoren, die eine top-down Perspektive potentieller Risiken ermo glichen? Welche Leistungsmessungen werden fu r das Monitoring beno tigt? Welche Daten werden fu r die Leistungsmessung beno tigt? Wie detailliert wird die Information beno tigt? Wie oft ist es notwendig eine Information einzuholen? Welcher Grad an Genauigkeit oder Pra zision wird beno tigt? Was sind die Kriterien fu r die Auswahl der Daten? Wo und wie sollte man die Daten erhalten (z.b.: von einer Gescha ftseinheit oder einem Betriebsbereich, elektronisch oder manuell)? Welche Daten/Informationen stammen von einem laufenden Prozess? Wie soll der Aufbewahrungsort der Daten strukturiert sein? Welcher Daten-Recovery-Mechanismus wird beno tigt? Dashboard Reporting Einen kurz gefassten U berblick u ber die Risikosituation eines Unternehmens gibt das Dashboard Reporting (siehe Abb. 20) bei dem die laufende Quartalsentwicklung durch Pfeile dargestellt wird. [7, 78] Die Pfeile bedeuten hinsichtlich ihrer Richtung ein Ansteigen oder Abbildung 20: Dashboard Reporting [7, 78] Abnehmen in ihrem Bereich. Die Farben stehen im Verha ltnis zur Risikotoleranz. Gru n zeigt an, dass ein allfa lliger Verlust innerhalb der Risikotoleranz liegt. Gelb weist darauf hin, dass ein drohender Verlust in der Na he der Risikotoleranz liegt. Rot besagt, dass die Risikotoleranz u berschritten wird. 35