Risikomanagementstandards

Transkript

1 Risikomanagementstandards Positionierung der ONR 4900x:2008 im weltweiten Vergleich

2 Risikomanagementstandards Agenda Grundlegende Überlegungen zu Risikomanagementstandards Das aktuelle Normen-Universum Überblick über ausgewählte Risikomanagementsystem-Standards Vergleich und Würdigung

3 Risikomanagementstandards Agenda Grundlegende Überlegungen zu Risikomanagementstandards - Motivation - Funktion - Normierte Managementsysteme - Anforderungen Das aktuelle Normen-Universum Überblick über ausgewählte Risikomanagementsystem-Standards Vergleich und Würdigung

4 Motivation von Risikomanagementstandards Hilfestellung bei der Gestaltung formalisierter RMS Gestiegene Anforderungen an die Bewältigung von Risken - Anstieg der (wahrgenommenen) Risikolage Gestiegene Komplexität, Dynamik und Vernetztheit (Globalisierung) Unternehmenszusammenbrüche (Metallgesellschaft, Enron) Unfälle, Störfälle, Naturkatastrophen (Kobe-Erdbeben) - Gestiegene Anforderungen an Sicherheit Umwelt- und Arbeitsschutz Produkthaftung - Gestiegene Anforderungen an Unternehmensführung (Compliance) Corporate Governance Finanzberichterstattung Unternehmensfinanzierung (Basel II) Fehlende Grundsätze ordnungsgemäßen Risikomanagements/ Generally Accepted Risk Management Principles) (GoRM/GARMP) - Prinzipien - Systeme/Prozesse/Organisation - Methoden

5 Funktion und Wirkung von Standards Bildung, Transparenzerhöhung, Koordination, Kostensenkung Definition Standard Norm im Sinne einer anerkannten, zumeist in Form von Dokumenten veröffentlichten Regel zur Lösung bzw. Vereinheitlichung eines Sachverhaltes Gegenstand Zwecke Ökonomische Wirkungen Steuerung bestimmter Aspekte menschlicher Anstrengungen wie Produkte, Systeme und Prozesse zur Verständigung, Vereinheitlichung und Abstimmung Erziehung und Bildung, Sprachregelung Vereinfachung, Komplexitätsreduktion, Ressourcenschonung Transparenzerhöhung und Vertrauensbildung (Zertifizierungsbasis) Reduktion externer Effekte Senkung von Transaktionskosten Realisierung von Netzwerkeffekten und Skalenerträgen

6 Normierte Managementsysteme Normierung von Unternehmensstrukturen & -prozessen Normierte Managementsysteme Aufbau- und Ablaufregeln sowie Methoden für bestimmte führungsbezogene Problemstellungen Allgemeingültige Empfehlungen (Definition, Beschreibung) für den Aufbau formalisierter und überprüfbarer Unternehmensstrukturen und -prozesse Dienen als Leitlinien und Benchmarks Regelung von Prozessen, Fähigkeiten und Verhaltensweisen Anwendungsgebiete Qualität Umweltschutz Arbeitsschutz IT-Sicherheit Risikomanagement Risikomanagement als Normiertes Managementsystem Orientierungsrahmen und Vergleichsmaßstab, einheitliches Verständnis Hilfestellung beim wirtschaftlichen Aufbau eines effizienten und effektiven Risikomanagementsystems Unterstützt die Kommunikation von Risikomanagementbemühungen an Anspruchsgruppen (Zertifizierung, Corporate Governance etc.)

7 Anforderungen an Risikomanagementstandards Sprachregelung, Systematisierung, Zertifizierung Sprachregelung (Begriffsdefinition) Schaffung eines einheitlichen Begriffsverständnisses Vollständigkeit Erfassung aller Risikobereiche (Risikoarten, Unternehmensaktivitäten, -ebenen und -bereiche) Systematisierung Definition von Systemelementen und deren Beziehungen Gestaltungsnützlichkeit und Anwenderfreundlichkeit (Praktikabilität) Praktikable Hilfestellungen für Aufbau und Betrieb von RMS durch verständliche Sprache, Beispiele, Methoden und Organisationsvorschläge (Aufgabenzuordnung) Generische Breite und Flexibilität Allgemeingültigkeit und Anpassbarkeit Integrierbarkeit (Wirtschaftlichkeit) Einbindung in die Strukturen und Prozesse von Unternehmen bzw. andere normierte Managementsysteme (Qualität, Umweltschutz, Arbeitssicherheit) Compliance (Gesetze, Corporate Governance, Interne Kontrolle, Wirtschaftsprüfung) Erfüllung rechtlicher Anforderungen Zertifizierung bzw. Auditierung und Kommunikation Erhöhung der Transparenz und des Vertrauens (Stakeholder), Rating bzw. Kapitalmarkt

8 Risikomanagementstandards Agenda Grundlegende Überlegungen zu Risikomanagementstandards Das aktuelle Normen-Universum - Normenspektrum - Merkmale - Stammbaum - Systemelemente - Integration und Zertifizierung Überblick über ausgewählte RMS-S Vergleich und Würdigung

9 Risikomanagement-Normenspektrum Über 80 Normen mit unterschiedlicher Ausrichtung Terminologien Sicherheit (System Safety and Reliability, Safety Engineering, Operational Risk Management) - Aspekte: Gesundheit, Umwelt, Sicherheit, Produkte, Informationssysteme - Branchen: Raumfahrt, Medizin, Biotechnik, Petrochemie, Software Projekte (Projektrisikomanagement) Finanzinstitutionen (Financial Risk Management) - Basel II - Solvency II - MaRisk Finanzberichtserstattung, Corporate Governance, Business Risk Management - KonTraG, BilReG, IDW-PS 340, DCGK (Deutschland) - OR, Swiss Code for GC (Schweiz) - RLAG, UGB, CGK (Österreich) - SOA (USA) Umfassende Risikomanagementsystem-Standards

10 Merkmale von Risikomanagementstandards Regelungsbreite und -tiefe Risikobegriff Anwendungsbereich (Branche, Funktion, Risikoart, Projekte) Gegenstand Schaden, Verlust (asymmetrisch) speziell generell Risikomanagement- prozess Orientierung intern extern Integration (Managementsystem) Separat, isoliert integriert Zertifizierung Nicht möglich möglich Möglichkeit der Zielabweichung (symmetrisch) Gesamtorganisation (Politik, Rollen, Umsetzung etc.) Detaillierung Abstrakt, prinzipiell Konkret, Methoden Ziele, Prinzipien keine vorhanden Praktische Erläuterung keine vorhanden

11 Stammbaum der aktuellen Risikomanagementstandards Evolution und Konvergenz Normierte Managementsysteme Gesundheit, Umwelt, Sicherheit Systeme, Organisationen Corporate Governance, Interne Kontrolle, ERM ISO , 1994, 2000 spezielle Normen CAN/CS-Q850 AS/NZS COSO IC 1992 ISO , 2000, AS/NZS JIS Q 2001 ISO/IEC Guide AS/NZS 4360 ONR ff. COSO ERM ISO ONR ff

12 Ableitung von Systemelementen Benchmark für Risikomanagementsysteme Grundlagen Planung Steuerung Kontrolle 1. Unternehmensstrategie 2. Risikopolitik 3. Programm 4. Aufbauorganisation / Verantwortlichkeiten 5. Risikoanalyse 6. Risikobewertung 7. Risikoaggregation 8. Risikobewältigung 9. Implementierung / Steuerung 10. Laufende Überwachung / Kontrolle 11. Periodische Überprüfung 12. Bewertung durch oberste Leitung Informationsversorgung & Kommunikation Ressourcen- Management Sonstiges 13. Informationsbeschaffung 14. Dokumentation / -slenkung 15. Aufzeichnung / -slenkung 16. Interne Kommunikation & Mitarbeitereinbindung 17. Externe Kommunikation 18. Mitarbeiterqualifikation 19. Sonstige Ressourcen 20. Notfall- / Wiederanlaufmanagement 21. Schnittstelle zu anderen Managementsystemen

13 Integration und Zertifizierung von Risikomanagementsystemen Synergien und externe Risikomanagement-Kommunikation Gliederungspunkte des Analyseraster: Unternehmensstrategie 1 1 Unternehmensstrategie 15 Aufzeichnung und Aufzeichnungslenkung 2 Risikopolitik 16 Mitarbeitereinbindung / interne Kommunikation 2 3 Programm (d. h. Ziele und Maßnahmen) 17 Externe Kommunikation 4 Aufbauorganisation / Verantwortlichkeiten 5 Risikoanalyse 6 Risikobewertung 7 Risikoaggregation 8 Risikobewältigung 9 Steuerung 10 laufende Überwachung / Korrektur 11 periodische Überprüfung 12 Bewertung durch die oberste Leitung 13 Informationsbeschaffung und Instrumente 14 Dokumentation und Dokumentationslenkung 18 Schulung, Ausbildung und Qualifikation 19 sonstige Ressourcen Zertifizierung 10 ACT Unternehmenspolitiken PLAN Dokumentation und Dokumentationslenkung 14 Aufbauorganisation und Verantwortlichkeiten 4 Aufzeichnung und Aufzeichnungslenkung 15 Mitarbeitereinbindung und 16 interne Kommunikation CHECK DO 2

14 Risikomanagementstandards Agenda Grundlegende Überlegungen zu Risikomanagementstandards Das aktuelle Normen-Universum Überblick über ausgewählte RMS-S - AS/NZS 4360: JIS Q COSO ERM - ORN 4900x: ISO/DIS Vergleich und Würdigung

15 Synoptischer Überblick über Risikomanagementsystem-Standards RMS-Standards Standard AS/NZS 4360 Risk Management, Australien/Neuseeland 1995/1999/2004, Seiten CAN/CSA Q850 Risk Management: Guidelines for Decision-Makers, Kanada 1997, 46 Seiten PD 6668:2000 Managing Risk for Corporate Governance, Großbritannien 2000, 32 Seiten JIS Q 2001 Guidelines for developement and implementation of a risk management system, Japan 2001, 108 COSO ERM Enterprise Risk Management Integrated Framework, USA, 2004, Seiten ONR 4900x Risikomanagement für Organisationen und Systeme, Österreich 2004/2008, Seiten ISO/DIS Risk Management Guidelines for principles and implementation of risk management, International ca Beschreibung Ältester & bekanntester RM-Standard, universell anwendbar & branchenunabhängig, laufend weiterentwickelt, risiken- & chancenorientiert, begleitendes Handbuch, Antrag auf Anerkennung als ISO-Standard, Eingang in ISO/DIS Zweitältester RM-Standard, entscheidungsbezogen, Betonung der Bedeutung der (öffentlichen) Risikowahrnehmung, -akzeptanz und - kommunikation, gute Hinweise zur Dokumentation Topmanagement und Corporate Governance orientiert, Benchmark- Fragebogen zur Feststellung des RM-Status quo, PDCA (Bezug zu ISO Management-Standards) Terminologie angelehnt an ISO Guide 51 & 73, PDCA-Logik (Anlehnung an ISO Management-Standards), Betonung der gesamtgesellschaftlichen Verantwortung Berufständische Leitlinien, angelehnt an COSO Internal Control Framework, stark Corporate Governance- bzw. revisions- & wirtschaftsprüfungsorientiert, begleitendes Handbuch mit Anwendungshinweisen Terminologie analog zu ISO Guide 73, Ziele/Framework/Prozess analog zu ISO/DIS (Konkretisierung & Erweiterung), PDCA, mehrteilige Normenfamilie, System- & Personenzertifizierung, Managementsystem- Integration generischen & konzise Top-Level-Leitlinie (Grundsätze & generische Leitlinien), Grundlage für andere Standards, PDCA, Terminologie ISO Guide 73, Orga. Einbindung ONR 49001, RMP AS/NZS 4360, keine Zertifizierung

16 AS/NZS 4360:2004 Erster und am besten etablierter RMS-Standard 1. Scope and General Scope and application Objectives Definitions Terminology and translation Referenced documents 2. Risk management process overview General, main elements 3. Risk management process Communicate and consult Establish the context Identify risks Analyse risks Evaluate risks Treat risks Monitor and review Record the risk management process 4. Establish effective risk management Purpose Evaluating existing practices and needs Risk management planning

17 JIS Q 2001:2001 Struktur orientiert an PDCA bzw. ISO 9000 ff. & ISO ff. Revision durch die oberste Leitung Check Act 3.9 Umsetzung der Korrekturen und Verbesserungen des Risikomanagementsystems Kontinuierliche Verbesserung Bewertung der Risikomanagement-Performance und der Risikomanagementsystem-Effektivität Context Risikomanagement-Richtlinien Risikomanagement-Planung Risikomanagement-Umsetzung Strukturen und Mechanismen zur Aufrechterhaltung des Risikomanagementsystems Maintain Plan 3.4 Do Vorbemerkungen 1. Anwendungsbereich 2. Definitionen 3. Prinzipien und Elemente von Risikomanagementsystemen 3.1 allgemeine Prinzipien 3.2 Organisation zur Gestaltung und Erhaltung von RMS: Rolle der obersten Leitung, Rolle des Risikomanagers 3.3 Risikomanagement-Richtlinien: Begriff, RM- Verhaltensleitlinien, Festlegung der RM-Basisziele 3.4 RM-Planung bzw. RMP: Risikoanalyse, Risikobewertung, RM-Ziele, Maßnahmenauswahl, Ausarbeitung des RM-Programms 3.5 RM-Umsetzung: RM-Programm, Krisenmanagement, Kontinuitätsmanagement 3.6 Bewertung der RM-Performance und RMS- Effektivität 3.7 Umsetzung und Überprüfung der kontinuierlichen RMS-Verbesserung 3.8 Organisation und Maßnahmen zur Aufrechterhaltung des RM: Fähigkeiten/Aus- /Weiterbildung, Simulation, Risikokommunikation, Erstellung des RM-Handbuchs, Dokumentenmanagement, Überwachung identifizierter Risiken, Management des Risikoregisters, RMS-Audit 3.9 Revision des RMS durch die oberste Leitung

18 COSO ERM-Framework 2004 Corporate Governance-/IKS-orientiert (SOA) ERM-Komponenten Ziele

19 ONR 4900x:2008 Risikomanagement für Organisationen und Systeme Anwendung von ISO/DIS in der Praxis Anwendungsbereich Normative Verweisungen Begriffe Grundlagen (Ansatz, Integration, Ziele, Grundsätze) Allgemeines (Politik, Auftrag, Verpflichtung) Risikomanagementsystem (Verantwortung der Leitung, Ressourcenmanagement, Umsetzung, Systemüberwachung, Verbesserung) Risikomanagementprozess (Allgemeines, Informationsaustausch, Zusammenhang erstellen, Risikobeurteilung, Risikobewältigung, Risikoüberwachung und Risikoüberprüfung) Aufzeichnung des Risikomanagements (System, Prozess) Einbettung des Risikomanagements Integriertes Risikomanagement Wechselwirkung mit Kernprozessen Nahtstellen zu anderen Management-Teilsystemen Risikomanagementsystem als eigenständiges MS Einsatz der Methoden zur Risikobeurteilung im RMP Kreativitätstechniken Szenarioanalysen Indikatorenanalysen Funktionsanalysen Statistische Analysen Notfall-, Krisen- und Kontinuitätsmanagement als Teile des RM Leitfaden für das Notfall- und Krisenmanagement Leitfaden für das Kontinuitätsmanagement Aus- und Weiterbildung von Risikomanagern

20 ISO/DIS Risk Management Grundsätze & Richtlinien für die Umsetzung des RM ISO/IEC Guide 73 Risk Management Vocabulary ONR 49001:2004 Principles of Risk Management AS/NZS 4360:2004

21 Risikomanagementstandards Agenda Grundlegende Überlegungen zu Risikomanagementstandards Das aktuelle Normen-Universum Überblick über ausgewählte RMS-S Vergleich und Würdigung

22 Abdeckung der Systemelemente durch die Standards Regelungskern, Mängel und Evolution Elemente CAN-Q850 BS PD 6668 JIS Q 2001 FERMA COSO ERM IRMS CoP AS/NZS 4360 ONR 4900x Unternehmensstrategie Risikopolitik Programm Aufbauorga / Verantwortlichkeiten P Risikoanalyse Risikobewertung Risikoaggregation Risikobewältigung S Implementierung/Steuerung laufende Überwachung K periodische Überprüfung Bewertung durch oberste Leitung Informationsbeschaffung Dokumentation IVK Aufzeichnung Interne Kommunikation & MA externe Kommunikation Mitarbeiterqualifikation R sonstige Ressourcen Notfall-/ Wiederanlaufmanagement X Schnittstellen zu anderen NMS

23 Ähnlichkeiten, Unterschiede, Entwicklungsperspektive Kernelement Risikomanagementprozess Weitgehender Konsens bzgl. Risikomanagementprozess - Materiell gleiche Prozessfolge und Aktivitäten Jedoch terminologische Differenzen Bedeutende Unterschiede - Regelungsbreite und -tiefe - Kommunikation mit Anspruchsgruppen Verbindung zu Organisationszielen/-politik Hinweise zur Implementierung Normative Aussagen (Ziele und Vorzüge) Beachtung psychologischer Aspekte Schnittstellen mit anderen Managementsystemen Einbezug von Krisen- und Kontinuitätsmanagement Dokumentation Thematisierung der kontinuierliche Verbesserung und organisationales Lernen (PDCA) Risikoverständnis/-definition (einheitliches Begriffsverständnis, reibungslose Kommunikation) Entwicklungsperspektive - Weitere Konvergenz und Verbesserung wünschenswert zur Etablierung von GoRM/GARMP Verstärkte Beachtung psychologischer Aspekte

24 Vergleich aktueller Risikomanagement-Standards ONR 4900x: hohe Regelungsbreite/-tiefe & Anwendbarkeit Kriterien JIS Q 2001:2001 COSO ERM (2004) AZ/NZS 4360:2004 ONR 4900x:2008 Risikoverständnis Kombination von Eintrittswahrscheinlichkeit und Auswirkung eines Ereignisses Möglichkeit des Eintritts zielbeeinflussender Ereignisse Möglichkeit des Eintritts zielbeeinflussender Ereignisse Auswirkung von Unsicherheit auf Ziele Anwendungsbereich Generisch v. a. IKS und Finanzberichterstattung Generisch Generisch, Organisationen und Systeme Aufbau PDCA-Logik und Risikomanagementprozess COSO ERM-Würfel, Risikomanagementprozess, Hinweise zu Verantwortlichkeiten Risikomanagementprozess und Leitlinien für die Einrichtung eines effektiven RM PDCA-Logik und Risikomanagementprozess Vollständigkeit und Systematisierung Hoch Hoch Hoch Sehr hoch Praktikabilität Keine Anwendungsbeispiele oder Methodenbeschreibungen Begleitender Leitfaden zu Methoden, Umsetzung und Anwendung (105 Seiten) Begleitender Leitfaden mit Hinweisen, Beispielen und Methoden Umsetzung und Unterstützung des Risikomanagementprozesses (116 Seiten) Hinweise zur Integration, Methoden zur Risikobeurteilung, Notfall-, Krisen- und Kontinuitätsmanagement Bewertung der Methoden Integratierbarkeit Nicht explizit thematisiert in IKS kaum thematisiert Sehr gut, explizite Hinweise Kompatibilität ISO Guide 73, PDCA-Logik Eigene Terminologie und Risikomanagementprozess Grundlage für ISO/DIS Abgestimmt mit ISO Guide 73 und ISO/DIS PDCA-Logik Compliance-Bezug Nicht thematisiert Hauptgegenstand Kaum thematisiert Explizit thematisiert Zertifizierung Nicht möglich Nicht möglich Nicht möglich Möglich

25 Literaturhinweise Darstellung einzelner Standards und Überblick Ballou, Brian/Heitger, Dan: A Building-Block, Approach for Implementing COSO s Enterprise Risk Management Integrated Framework, in: Management Accounting Quarterly, vol. 6 no. 2, S Brühwiler, B.: ISO/DIS und ONR 49000: Neue Standards im Risikomanagement, in: MQ Management und Qualität, 5/2008, S. 26. Eckert, Sven/Möller, Klaus: COSO Enterprise Risk Management Framework, in Controlling, H , S Kuhn, Heinrich: Risikomanagement für Unternehmen - Was bringen die neuen Normen?, in: MQ Management und Qualität, 6/2006, S Schmid, Werner: Risk Management Down Under (AS/NZS 4360:2004), in: RISKNEWS 03/05, S Simister, Terry: Risk Management: the need to set standards, in: Balance Sheet vol. 8, no. 4, S Weidemann, Morten/Wieben, Hans-Jürgen: Zur Zertifizierbarkeit von Risikomanagement-Systemen, in: Der Betrieb, 54. Jg. H. 34, S Weidemann, Morten: Der australisch-neuseeländische Standard AS/NZS 4360:1999 zum Risikomanagement, in: Der Betrieb, 54. Jg. H. 50, S Winter, P.: Risikomanagement-Standards als Leitfaden für formalisierte Unternehmens-Risikomanagementsysteme Überblick und Bewertung, in: ZRFG, Jg. 2 (2007), Heft 4, S. 14. Winter, P.: Standards im Risikomanagement, in: Romeike, F. [Hrsg.] Rechtliche Grundlagen des Risikomanagements - Haftungs- und Strafvermeidung für Corporate Compliance, Erich Schmidt Verlag, Berlin 2008, S