LITMIR.BIZ

Скачать книгу

die Risikomanagementprozesse in die operativen Prozesse der Organisation integriert sind, können sie effektiv und effizient sein. Zudem sollte das Risikomanagement bei der operativen und strategischen Planung und im Change Management-Prozess berücksichtigt werden.[68] Ein weiterer Baustein für eine erfolgreiche Implementierung und Aufrechterhaltung des Risikomanagementsystems stellt die Bereitstellung angemessener Ressourcen dar. Besondere Bedeutung kommt dabei der Auswahl der mit dem Risikomanagement befassten Personen, insbesondere hinsichtlich Fähigkeiten, Erfahrung und Kompetenz zu. Zudem sollte sichergestellt werden, dass für jede Stufe des Risikomanagementprozesses ausreichend Ressourcen vorhanden sind.[69]

      53

Die Etablierung von internen und externen Kommunikationswegen und Berichtsverfahren stellt ebenfalls eine wesentliche Komponente des Risikomanagementsystems dar. Die internen Kommunikationswege und Berichtsverfahren sollen zum einen dafür sorgen, dass die wesentlichen Komponenten des Risikomanagementsystems, sein Wirksamkeitsgrad und die sich aus dem System ergebenden Erkenntnisse angemessen kommuniziert werden. Zum anderen soll sichergestellt werden, dass für das Risikomanagement relevante Informationen auf einem angemessenen Niveau und zeitgerecht bereitstehen.[70] Die externen Kommunikationswege und Berichtsverfahren sollen zum einen für einen effektiven Informationsaustauch mit externen Stakeholdern, beispielsweise auch in Krisensituationen, sorgen. Zum anderen sollen sie die Einhaltung der rechtlichen, regulatorischen und Governance-spezifischen Anforderungen gewährleisten.[71] Dabei sollen die relevanten Informationen durch entsprechende Prozesse aus einer Vielzahl von Quellen unter Beachtung der Sensibilität der Informationen verdichtet werden.[72]

      54

Um nach der Implementierung des Risikomanagementsystems seine fortwährende Wirksamkeit sicherzustellen, ist eine regelmäßige Überprüfung (Review) und Kontrolle (Monitoring) des Systems durchzuführen. Dies kann beispielsweise durch die regelmäßige Überprüfung von Risikokennzahlen sowie des Fortschritts oder der Abweichung von der Planung erfolgen. Daneben sollte überprüft werden, inwieweit die Grundsätze des Risikomanagements und die Risikomanagement-Richtlinie eingehalten werden.[73] Auf Basis dieser Überprüfungs- und Kontrollaktivitäten sollen Verbesserungsmaßnahmen hinsichtlich des Risikomanagementsystems, der Richtlinie und der Planung umgesetzt werden, um das Niveau des Risikomanagements und der Risikomanagementkultur der Organisation kontinuierlich zu erhöhen.[74]

c) Risikomanagementprozess

      55

Die Hauptkomponente des Risikomanagementprozesses stellt die Risikobeurteilung dar, welche aus den Elementen Risikoidentifikation, Risikoanalyse und Risikobewertung besteht. Während der Risikostrategie im RMS eine übergeordnete Funktion zukommt, die im Wesentlichen die Aufgaben und Ziele des Risikomanagements festlegt, stellt der Risikomanagementprozess den operativen Teil des Risikomanagementsystems dar. Im Rahmen der Risikoidentifikation sollen Unternehmen Risikoquellen, deren Wirkungsbereich, potentielle Ereignisse und deren Ursachen und mögliche Auswirkungen ermitteln. Dabei sollte eine möglichst umfassende Liste von Risiken, die das Erreichen der festgelegten Ziele negativ beeinflussen können, erstellt werden. Die Vollständigkeit der Risikoliste ist von hoher Bedeutung, da nicht identifizierte Risiken im weiteren Risikomanagementprozess – insbesondere der Risikoanalyse – nicht weiter berücksichtigt werden können. Daher sind sämtliche potentiellen Risiken – ganz gleich ob der Ursprung im Einflussbereich des Unternehmens liegt – bei der Ermittlung zu berücksichtigen.[75]

      56

Der Prozess der Risikoanalyse soll dazu dienen, ein Verständnis von den Risiken des Unternehmens zu erhalten. Die Risikoanalyse ist die Grundlage für die Risikobewertung und die daraus abzuleitende Risikosteuerung. Die Risikoanalyse umfasst die Betrachtung der Ursachen und Quellen von Risiken, ihre positiven und negativen Auswirkungen sowie der Wahrscheinlichkeit des Eintritts dieser Auswirkungen. Zudem sollten die Faktoren, welche die Auswirkungen und die Eintrittswahrscheinlichkeit beeinflussen, identifiziert werden. Bei der Bestimmung der Auswirkungen und der Eintrittswahrscheinlichkeit sind bestehende Kontrollen und deren Wirksamkeit zu berücksichtigen. Wirksame Kontrollen können sowohl die Auswirkungen als auch die Eintrittswahrscheinlichkeit von Risiken reduzieren. Aus der Kombination von Eintrittswahrscheinlichkeit und Auswirkung ergibt sich der Grad bzw. das Level eines jeweiligen Risikos. Dabei ist jedoch auch zu beachten, dass verschiedene Risiken miteinander zusammenhängen bzw. sich gegenseitig beeinflussen können. Zudem kann die Risikoanalyse durch getroffene Annahmen und die Unsicherheit, Verfügbarkeit, Qualität, den Umfang und die Bedeutung der zugrunde liegenden Informationen sowie von Beschränkungen bei der modellbasierten Ermittlung der Risiken beeinflusst werden. Die Risikoanalyse kann, je nach zugrunde liegendem Risiko, quantitativ, semi-quantitativ oder qualitativ erfolgen. Die Auswirkungen und die Eintrittswahrscheinlichkeit können beispielsweise durch die modellbasierte Erfassung verschiedener Szenarien eines Ereignisses bzw. einer Reihe von Ereignissen oder durch Extrapolation von experimentellen Untersuchungen oder verfügbaren Daten ermittelt werden. Dabei reicht jedoch eine wertmäßige Beschreibung des Risikos manchmal nicht aus, da Risiken auch qualitative Folgen haben können.[76] In der Praxis ist die Verwendung des Erwartungswerts und einer darauf basierten Risikomatrix häufig anzutreffen. Zudem werden auch Szenario-Analysen (z.B. worst case, mid case und best case) oftmals verwendet.

      57

Basierend auf der Risikoanalyse wird im Rahmen der Risikobewertung festgelegt, für welche Risiken Maßnahmen zu ergreifen und wie die Prioritäten der verschiedenen Risikomaßnahmen sind. Für die Bestimmung der Priorität und der Art der Maßnahmen ist im Rahmen der Risikobewertung ein Vergleich zwischen den aus der Risikoanalyse resultierenden Ergebnissen und Risikoeinstufungen und den im Rahmen der Strategiesetzung festgelegten Risikokriterien bzw. der Risikoeinstellung des jeweiligen Unternehmens durchzuführen. Damit liefert die Risikobewertung die Entscheidungsgrundlage für die Risikosteuerung.[77]

      58

Die wesentliche Aufgabe der Risikosteuerung ist es, eine oder mehrere Maßnahmen, die den Grad bzw. den Level der zu steuernden Risiken ändern können, festzulegen und zu implementieren. Die Risikosteuerung ist als periodischer Prozess zu verstehen, der zunächst die Festlegung und Beurteilung der Maßnahmen sowie des verbleibenden Risikolevels umfasst. Sofern der verbleibende Risikolevel angesichts der Risikoeinstellung nicht akzeptabel ist, ist eine neue Maßnahme zu entwickeln und zu implementieren. Die neue Maßnahme ist sodann ebenfalls einer Wirksamkeitsbeurteilung zu unterziehen. Als Maßnahmen kommt je nach Risiko und Risikoeinstellung eine Vielzahl von möglichen Handlungen in Betracht. Beispielsweise kann eine vollständige Risikovermeidung dadurch erreicht werden, dass die risikobehaftete Aktivität nicht weiter- bzw. durchgeführt wird. Eine Risikoreduzierung kann z.B. durch Maßnahmen zur Entfernung der Risikoquelle oder zur Veränderung der Eintrittswahrscheinlichkeit bzw. der Auswirkung, erzielt werden. Eine Risikoteilung kann durch Maßnahmen zur Einbeziehung weiterer Akteure, z.B. durch Verträge, umgesetzt werden. Daneben stellt zudem die Risikoakzeptanz eine Entscheidungsmöglichkeit für das Unternehmen dar, d.h. das Unternehmen verfolgt die risikobehaftete Aktivität weiter, ohne jegliche Risikosteuerungsmaßnahmen zu treffen.[78] Im Rahmen der Auswahl der Risikosteuerungsmaßnahmen sollte eine Abwägung der Kosten und des Arbeitsaufwands mit dem erzielbaren Nutzen der jeweiligen Maßnahme unter Berücksichtigung der gesetzlichen, regulatorischen und unternehmensinternen Anforderungen erfolgen. Die Auswahl sollte in einem Maßnahmenplan festgehalten werden, welcher klar die einzelnen Maßnahmen sowie deren Priorität festlegt. Zudem sollte der Maßnahmenplan weitere Informationen, wie z.B. die Gründe für die gewählten Maßnahmen (sowie der erwartete Nutzen), die Verantwortlichkeiten für die Umsetzung der Maßnahmen, die erforderlichen Ressourcen, messbare Leistungsindikatoren, Berichterstattungs- und Monitoringanforderungen sowie die Zeitplanung, beinhalten.[79]

      59

Die Wirksamkeit und Wirtschaftlichkeit des Risikomanagementprozesses und der Risikosteuerung sollten einer Überwachung (Monitoring) und Überprüfung (Review) unterliegen, die in einem regelmäßigen Turnus oder einzelfallbezogen

Скачать книгу