Risikomanagement - Enterprise risk management

Enterprise Risk Management ( ERM ) in der Wirtschaft umfasst die Methoden und Prozesse, die Organisationen verwenden, um Risiken zu managen und Chancen im Zusammenhang mit der Erreichung ihrer Ziele zu ergreifen. ERM bietet einen Rahmen für das Risikomanagement , der in der Regel die Identifizierung bestimmter Ereignisse oder Umstände umfasst, die für die Ziele der Organisation (Bedrohungen und Chancen) relevant sind, deren Bewertung hinsichtlich der Wahrscheinlichkeit und des Ausmaßes der Auswirkungen, die Festlegung einer Reaktionsstrategie und des Überwachungsprozesses. Indem sie Risiken und Chancen erkennen und proaktiv angehen, schützen und schaffen Unternehmen Wert für ihre Stakeholder, einschließlich Eigentümer, Mitarbeiter, Kunden, Aufsichtsbehörden und die Gesellschaft insgesamt.

ERM kann auch als risikobasierter Ansatz zur Führung eines Unternehmens beschrieben werden, der Konzepte der internen Kontrolle , des Sarbanes-Oxley Act , des Datenschutzes und der strategischen Planung integriert . ERM entwickelt sich weiter, um den Bedürfnissen verschiedener Interessengruppen gerecht zu werden, die das breite Spektrum der Risiken verstehen möchten, denen komplexe Organisationen ausgesetzt sind, um sicherzustellen, dass sie angemessen gemanagt werden. Aufsichtsbehörden und Ratingagenturen haben die Risikomanagementprozesse von Unternehmen verstärkt unter die Lupe genommen.

Laut Thomas Stanton von der Johns Hopkins University besteht der Sinn des Enterprise Risk Management nicht darin, mehr Bürokratie zu schaffen, sondern die Diskussion über die wirklich großen Risiken zu erleichtern.

ERM-Frameworks definiert

Es gibt verschiedene wichtige ERM-Frameworks, von denen jedes einen Ansatz zur Identifizierung, Analyse, Reaktion auf und Überwachung von Risiken und Chancen im internen und externen Umfeld des Unternehmens beschreibt. Das Management wählt eine Risikoreaktionsstrategie für bestimmte identifizierte und analysierte Risiken aus, die Folgendes umfassen kann:

1. Vermeidung: Ausstieg aus risikobehafteten Tätigkeiten
2. Reduzierung: Maßnahmen ergreifen, um die Wahrscheinlichkeit oder Auswirkung des Risikos zu verringern
3. Alternative Maßnahmen: Entscheidung und Berücksichtigung anderer durchführbarer Schritte zur Risikominimierung
4. Teilen oder Versichern: einen Teil des Risikos übertragen oder teilen, um es zu finanzieren
5. Akzeptieren: Aufgrund einer Kosten-Nutzen-Entscheidung werden keine Maßnahmen ergriffen

Die Überwachung wird in der Regel vom Management im Rahmen seiner internen Kontrollaktivitäten durchgeführt, wie z. B. die Überprüfung von Analyseberichten oder Sitzungen des Managementausschusses mit relevanten Experten, um zu verstehen, wie die Risikoreaktionsstrategie funktioniert und ob die Ziele erreicht werden.

Rahmenwerk der Casualty Actuarial Society

Im Jahr 2003 definierte die Casualty Actuarial Society (CAS) ERM als die Disziplin, mit der eine Organisation in jeder Branche Risiken aus allen Quellen bewertet, kontrolliert, ausnutzt, finanziert und überwacht, um den kurz- und langfristigen Wert der Organisation zu steigern an seine Stakeholder.“ Das CAS konzipierte ERM als ein Vorgehen über die beiden Dimensionen Risikoart und Risikomanagementprozesse. Die Risikoarten und Beispiele umfassen:

Gefahrenrisiko

Haftung aus unerlaubter Handlung, Sachschaden, Naturkatastrophe

Finanzielles Risiko

Preisrisiko, Vermögensrisiko, Währungsrisiko, Liquiditätsrisiko

Betriebsrisiko

Kundenzufriedenheit, Produktfehler, Integrität, Reputationsrisiko; Interne Wilderei; Wissensdrainage

Strategische Risiken

Wettbewerb, Gesellschaftlicher Trend, Kapitalverfügbarkeit

Der Risikomanagementprozess umfasst:

1. Kontext herstellen: Dies beinhaltet ein Verständnis der aktuellen Bedingungen, unter denen die Organisation in einem internen, externen und Risikomanagement-Kontext operiert.
2. Identifizieren von Risiken: Dies umfasst die Dokumentation der wesentlichen Bedrohungen für die Erreichung der Ziele der Organisation und die Darstellung von Bereichen, die die Organisation für einen Wettbewerbsvorteil nutzen kann.
3. Risiken analysieren/quantifizieren: Dies beinhaltet die Kalibrierung und, wenn möglich, die Erstellung von Wahrscheinlichkeitsverteilungen der Ergebnisse für jedes wesentliche Risiko.
4. Integrieren von Risiken: Dies beinhaltet die Aggregation aller Risikoverteilungen, die Korrelationen und Portfolioeffekte widerspiegeln, und die Formulierung der Ergebnisse in Bezug auf die Auswirkungen auf die wichtigsten Leistungskennzahlen der Organisation.
5. Bewertung/Priorisierung von Risiken: Dies beinhaltet die Bestimmung des Beitrags jedes Risikos zum Gesamtrisikoprofil und eine angemessene Priorisierung.
6. Risiken behandeln/ ausnutzen : Dazu gehört die Entwicklung von Strategien zur Steuerung und Nutzung der verschiedenen Risiken.
7. Überwachung und Überprüfung: Dies umfasst die kontinuierliche Messung und Überwachung des Risikoumfelds und der Leistung der Risikomanagementstrategien.

COSO ERM-Framework

Das 2004 veröffentlichte COSO „Enterprise Risk Management-Integrated Framework“ (Neuauflage COSO ERM 2017 wird nicht erwähnt und die Version von 2004 ist veraltet) definiert ERM als „…Prozess, der vom Vorstand, der Geschäftsführung und anderen Mitarbeitern eines Unternehmens durchgeführt wird , die bei der Strategiefestlegung und im gesamten Unternehmen angewendet wird, um potenzielle Ereignisse zu identifizieren, die sich auf das Unternehmen auswirken können, und um das Risiko so zu steuern, dass es seiner Risikobereitschaft entspricht , um eine angemessene Sicherheit hinsichtlich der Erreichung der Unternehmensziele zu bieten."

Das COSO ERM Framework hat acht Komponenten- und vier Zielkategorien. Es ist eine Erweiterung des COSO Internal Control - Integrated Framework, das 1992 veröffentlicht und 1994 geändert wurde. Die acht Komponenten sind:

• Interne Umgebung
• Zielsetzung
• Ereignisidentifikation
• Risikoabschätzung
• Risiko-Reaktion
• Überwachungsaktivitäten
• Information und Kommunikation
• Überwachung

Die vier Zielkategorien – zusätzliche Komponenten hervorgehoben – sind:

• Strategie – Ziele auf hoher Ebene, die auf die Mission der Organisation abgestimmt sind und diese unterstützen
• Operations - effektiver und effizienter Einsatz von Ressourcen
• Finanzberichterstattung - Zuverlässigkeit der operativen und finanziellen Berichterstattung
• Compliance – Einhaltung geltender Gesetze und Vorschriften

ISO 31000: der neue internationale Risikomanagement-Standard

ISO 31000 ist ein Internationaler Standard für Risikomanagement, der am 13. November 2009 veröffentlicht wurde. Eine begleitende Norm, ISO 31010 - Risk Assessment Techniques, folgte kurz darauf (1. Dezember 2009) zusammen mit dem aktualisierten Risikomanagement-Vokabular ISO Guide 73.

RIMS-Risikolaufzeitmodell

Das 2006 veröffentlichte RIMS Risk Maturity Model (RMM) für Enterprise Risk Management ist ein inhaltlicher und methodischer Dachrahmen, der die Anforderungen an ein nachhaltiges und effektives Enterprise Risk Management detailliert beschreibt. Das RMM-Modell besteht aus fünfundzwanzig Kompetenztreibern für sieben Attribute, die den Wert und Nutzen von ERM in einer Organisation schaffen. Die 7 Attribute sind:

• ERM-basierter Ansatz
• ERM-Prozessmanagement
• Management der Risikobereitschaft
• Ursachendisziplin
• Risiken aufdecken
• Leistungsmanagement
• Geschäftsresilienz und Nachhaltigkeit

Das Modell wurde von Steven Minsky, CEO von LogicManager, entwickelt und von der Risk and Insurance Management Society in Zusammenarbeit mit dem RIMS ERM Committee veröffentlicht. Das Risk Maturity Model basiert auf dem Capability Maturity Model, einer Methodik, die in den 1980er Jahren vom Carnegie Mellon University Software Engineering Institute (SEI) gegründet wurde.

Implementieren eines ERM-Programms

Ziele eines ERM-Programms

Organisationen verwalten von Natur aus Risiken und verfügen über eine Vielzahl von bestehenden Abteilungen oder Funktionen („Risikofunktionen“), die bestimmte Risiken identifizieren und verwalten. Jede Risikofunktion variiert jedoch hinsichtlich ihrer Fähigkeiten und ihrer Koordination mit anderen Risikofunktionen. Ein zentrales Ziel und eine zentrale Herausforderung von ERM besteht darin, diese Fähigkeit und Koordination zu verbessern und gleichzeitig die Ergebnisse zu integrieren, um den Stakeholdern ein einheitliches Bild der Risiken zu vermitteln und die Fähigkeit der Organisation zu verbessern, die Risiken effektiv zu managen.

Typische Risikofunktionen

Zu den primären Risikofunktionen in großen Unternehmen, die an einem ERM-Programm teilnehmen können, gehören in der Regel:

• Strategische Planung – identifiziert externe Bedrohungen und Wettbewerbschancen sowie strategische Initiativen zu deren Bewältigung
• Marketing - versteht den Zielkunden, um die Produkt-/Dienstleistungsausrichtung an den Kundenanforderungen sicherzustellen
• Compliance & Ethik – überwacht die Einhaltung des Verhaltenskodex und leitet Betrugsuntersuchungen
• Rechnungslegung / Finanzielle Compliance - leitet die Bewertung der Sarbanes-Oxley Section 302 und 404, die Risiken der Finanzberichterstattung identifiziert
• Rechtsabteilung - verwaltet Rechtsstreitigkeiten und analysiert aufkommende Rechtstrends, die sich auf das Unternehmen auswirken können
• Versicherung - stellt den richtigen Versicherungsschutz für die Organisation sicher
• Treasury - stellt sicher, dass die Liquidität ausreicht, um den Geschäftsbedarf zu decken, während gleichzeitig Risiken in Bezug auf Rohstoffpreise oder Devisen verwaltet werden
• Betriebliche Qualitätssicherung - überprüft, ob die Betriebsleistung innerhalb der Toleranzen liegt
• Betriebsmanagement – ​​stellt sicher, dass das Geschäft tagtäglich läuft und dass damit verbundene Hindernisse zur Lösung aufgedeckt werden
• Kredit – stellt sicher, dass jeder Kredit, der den Kunden gewährt wird, ihrer Zahlungsfähigkeit entspricht
• Kundenservice – stellt sicher, dass Kundenbeschwerden umgehend bearbeitet und Ursachen zur Lösung an den Betrieb gemeldet werden
• Interne Revision – bewertet die Wirksamkeit jeder der oben genannten Risikofunktionen und empfiehlt Verbesserungen
• Unternehmenssicherheit – identifiziert, bewertet und mindert Risiken durch physische Bedrohungen und Bedrohungen der Informationssicherheit

Häufige Herausforderungen bei der ERM-Implementierung

Verschiedene Beratungsunternehmen bieten Vorschläge zur Umsetzung eines ERM-Programms. Häufige Themen und Herausforderungen sind:

• Identifizieren von Executive Sponsors für ERM.
• Etablierung einer gemeinsamen Risikosprache oder eines Glossars.
• Beschreibung der Risikobereitschaft des Unternehmens (d. h. Risiken, die es eingehen und nicht eingehen wird)
• Identifizieren und Beschreiben der Risiken in einer „Risikoinventur“.
• Implementierung einer Risikobewertungsmethodik zur Priorisierung von Risiken innerhalb und zwischen den Funktionen.
• Einrichtung eines Risikokomitees und/oder Chief Risk Officer (CRO) zur Koordination bestimmter Aktivitäten der Risikofunktionen.
• Eigenverantwortung für bestimmte Risiken und Reaktionen festlegen.
• Aufzeigen des Kosten-Nutzen-Verhältnisses des Risikomanagements.
• Entwicklung von Aktionsplänen, um sicherzustellen, dass die Risiken angemessen gemanagt werden.
• Entwicklung eines konsolidierten Reportings für verschiedene Stakeholder.
• Überwachung der Ergebnisse von Maßnahmen zur Risikominderung.
• Sicherstellung einer effizienten Risikoabdeckung durch interne Auditoren, Beratungsteams und andere bewertende Stellen.
• Entwicklung eines technischen ERM-Frameworks, das eine sichere Teilnahme von Dritten und Remote-Mitarbeitern ermöglicht.

Rolle der Internen Revision

Teil einer Serie über
Buchhaltung
Historische Kosten Konstante Kaufkraft Verwaltung Steuer
Haupttypen Prüfung Budget Kosten Forensik Finanziell Fonds Regierungsbehörden Verwaltung Sozial Steuer
Schlüssel Konzepte Abrechnungszeitraum Rückstellung Konstante Kaufkraft Wirtschaftseinheit Fairer Wert Sorgen machen Historische Kosten Passendes Prinzip Wesentlichkeit Umsatzerkennung Rechnungseinheit
Ausgewählte Konten Vermögenswerte Kasse Kosten der verkauften Waren Abschreibung  / Amortisation Eigenkapital Kosten Kulanz Verbindlichkeiten Profitieren Einnahmen
Rechnungslegungsstandards Allgemein anerkannte Grundsätze Allgemein anerkannte Prüfungsstandards Konvergenz International Financial Reporting Standards Internationale Prüfungsstandards Grundsätze der Managementrechnungslegung
Jahresabschluss Jahresbericht Bilanz Bargeldumlauf Eigenkapital Einkommen Managementgespräch Erläuterungen zum Jahresabschluss
Buchhaltung Bankabgleich Belastungen und Gutschriften Doppeltes Eingabesystem FIFO und LIFO Tagebuch Hauptbuch  / Hauptbuch T-Konten Testguthaben
Auditierung Finanziell Intern Firmen Prüfbericht
Menschen und Organisationen Buchhalter Buchhaltungsorganisationen Luca Pacioli
Entwicklung Geschichte Forschung Positive Buchhaltung Sarbanes – Oxley Act
Fehlverhalten Kreativ Bilanzpolitik Fehlerkonto Hollywood Außerbilanziell Zwei Sätze Bücher
v T e

Neben der IT-Prüfung spielen interne Prüfer eine wichtige Rolle bei der Bewertung der Risikomanagementprozesse einer Organisation und bei der Förderung ihrer kontinuierlichen Verbesserung. Um ihre organisatorische Unabhängigkeit und ihr objektives Urteilsvermögen zu wahren, weisen die Berufsstandards der Internen Revision jedoch darauf hin, dass die Funktion keine direkte Verantwortung für das Treffen von Risikomanagemententscheidungen für das Unternehmen oder die Leitung der Risikomanagementfunktion übernehmen sollte.

Interne Revisoren führen in der Regel eine jährliche Risikobewertung des Unternehmens durch, um einen Plan für die Prüfungsaufträge für das kommende Jahr zu entwickeln. Dieser Plan wird in der Praxis in verschiedenen Häufigkeiten aktualisiert. Dies beinhaltet in der Regel die Überprüfung der verschiedenen vom Unternehmen durchgeführten Risikobewertungen (z. B. strategische Pläne, Wettbewerbs-Benchmarking und SOX 404-Top-Down-Risikobewertung ), die Berücksichtigung früherer Audits und Interviews mit verschiedenen Führungskräften. Es wurde entwickelt, um Audit-Projekte zu identifizieren, nicht um Risiken direkt für das Unternehmen zu identifizieren, zu priorisieren und zu managen.

Aktuelle Themen im ERM

Die Risikomanagementprozesse von Unternehmen weltweit stehen unter zunehmender regulatorischer und privater Kontrolle. Risiko ist ein wesentlicher Bestandteil jedes Unternehmens. Richtig verwaltet fördert es Wachstum und Chancen. Führungskräfte haben mit geschäftlichen Belastungen zu kämpfen, die sich teilweise oder vollständig ihrer unmittelbaren Kontrolle entziehen, wie z. B. angeschlagenen Finanzmärkten; Fusionen, Übernahmen und Umstrukturierungen; disruptiver Technologiewandel ; geopolitische Instabilitäten; und die steigenden Energiepreise.

Anforderungen des Sarbanes-Oxley Act

Abschnitt 404 des Sarbanes-Oxley Act von 2002 verlangte von US-amerikanischen börsennotierten Unternehmen, bei ihren internen Kontrollbewertungen einen Kontrollrahmen anzuwenden. Viele entschieden sich für das COSO Internal Control Framework, das ein Risikobewertungselement enthält. Darüber hinaus haben die 2007 von der Securities and Exchange Commission (SEC) und PCAOB herausgegebenen neuen Leitlinien die Top-Down-Risikobewertung zunehmend genauer untersucht und eine spezifische Anforderung zur Durchführung einer Betrugsrisikobewertung enthalten . Betrugsrisikobewertungen umfassen in der Regel die Identifizierung von Szenarien für potenziellen (oder erfahrenen) Betrug, die damit verbundene Gefährdung der Organisation, die entsprechenden Kontrollen und alle daraus resultierenden Maßnahmen.

NYSE-Corporate-Governance-Regeln

Die New Yorker Börse verlangt von den Prüfungsausschüssen ihrer börsennotierten Unternehmen, "Richtlinien in Bezug auf Risikobewertung und Risikomanagement zu erörtern ". Der dazugehörige Kommentar fährt fort: „Obwohl es die Aufgabe des CEO und der Geschäftsleitung ist, die Risikoexposition des Unternehmens zu bewerten und zu steuern, muss der Prüfungsausschuss Richtlinien und Richtlinien erörtern, um den Prozess zu regeln, nach dem dies gehandhabt wird. Der Prüfungsausschuss sollte diskutieren die wichtigsten finanziellen Risiken des Unternehmens und die Schritte, die das Management zur Überwachung und Kontrolle dieser Risiken ergriffen hat. Der Prüfungsausschuss muss nicht das alleinige Gremium sein, das für die Risikobewertung und das Management verantwortlich ist, sondern muss, wie oben erwähnt, Richtlinien und Richtlinien erörtern um den Prozess der Risikobewertung und des Managements zu regeln. Viele Unternehmen, insbesondere Finanzunternehmen, verwalten und bewerten ihre Risiken durch andere Mechanismen als den Prüfungsausschuss. Die Prozesse dieser Unternehmen sollten von der Abschlussprüfung allgemein überprüft werden sie müssen aber nicht durch den Prüfungsausschuss ersetzt werden."

ERM- und Unternehmensschuldenratings

Die Ratingagentur Standard & Poor's (S&P) plant, eine Reihe von Fragen zum Risikomanagement in ihren Bewertungsprozess für Unternehmen aufzunehmen. Dies wird 2007 bei Finanzunternehmen eingeführt. Das Ergebnis dieser Untersuchung ist einer von vielen Faktoren, die bei der Schuldenbewertung berücksichtigt werden, was sich entsprechend auf die Zinssätze auswirkt, die Kreditgeber von Unternehmen für Kredite oder Anleihen verlangen. Am 7. Mai 2008 kündigte S&P außerdem an, ab 2009 eine ERM-Bewertung in seine Ratings für Nicht-Finanzunternehmen aufzunehmen, mit ersten Kommentaren in seinen Berichten im vierten Quartal 2008.

IFC-Leistungsstandards

Die Leistungsstandards der International Finance Corporation konzentrieren sich auf das Management von Gesundheits-, Sicherheits-, Umwelt- und Sozialrisiken und -auswirkungen. Die dritte Auflage wurde am 1. Januar 2012 nach einem zweijährigen Verhandlungsprozess mit der Privatwirtschaft, Regierungen und zivilgesellschaftlichen Organisationen veröffentlicht. Sie wurden von den Equator Principles Banks übernommen, einem Konsortium von über 118 Geschäftsbanken in 37 Ländern.

Datenprivatsphäre

Datenschutz Regeln, wie die Europäische Union 's Datenschutz -Grundverordnung , zunehmend foresee erhebliche Sanktionen für den Fall um einen angemessenen Schutz von Personen zu halten die persönlichen Daten wie Namen, E-Mail - Adressen und persönliche Finanzinformationen, oder die Warnung betroffenen Personen , wenn Daten die Privatsphäre verletzt wird. Die EU-Verordnung verlangt von jeder Organisation – einschließlich Organisationen mit Sitz außerhalb der EU –, einen Datenschutzbeauftragten zu ernennen, der der höchsten Managementebene unterstellt ist, wenn sie mit personenbezogenen Daten von Personen umgehen, die in der EU leben.

Versicherungsmathematische Antwort

Unfallversicherungsgesellschaft

Im Jahr 2003 veröffentlichte das Enterprise Risk Management Committee der Casualty Actuarial Society (CAS) seinen Überblick über ERM. Dieses Papier legte die Entwicklung, Begründung, Definitionen und Rahmenbedingungen für ERM aus der Perspektive der Unfallversicherungsmathematik dar und umfasste auch ein Vokabular, konzeptionelle und technische Grundlagen, tatsächliche Praxis und Anwendungen sowie Fallstudien.

Das CAS hat spezifische erklärte ERM-Ziele, darunter "ein international führender Anbieter von Schulungsmaterialien zum Enterprise Risk Management (ERM) im Bereich der Schaden-Unfallversicherung" zu sein, und hat diesbezüglich Forschung, Entwicklung und Ausbildung von Unfallversicherungsexperten gesponsert. Das CAS hat auf die Ausstellung eines eigenen Ausweises verzichtet; Stattdessen beschloss der CAS-Vorstand 2007, dass sich der CAS an der Initiative zur Entwicklung einer globalen ERM-Bezeichnung beteiligen und zu einem späteren Zeitpunkt eine endgültige Entscheidung treffen sollte.

Gesellschaft der Aktuare

Im Jahr 2007 hat die Society of Actuaries als Reaktion auf den wachsenden Bereich des Unternehmensrisikomanagements die Zertifizierung zum Chartered Enterprise Risk Analyst (CERA) entwickelt. Dies ist der erste neue Berufsausweis, der von der SOA seit 1949 eingeführt wurde. Eine CERA-Studie konzentriert sich darauf, wie sich verschiedene Risiken, einschließlich betrieblicher, investiver, strategischer und Reputationsrisiken, auf Unternehmen auswirken. CERAs arbeiten in Umgebungen, die über Versicherungs-, Rückversicherungs- und Beratungsmärkte hinausgehen, einschließlich breiter gefasster Finanzdienstleistungen, Energie, Transport, Medien, Technologie, Fertigung und Gesundheitswesen.

Es dauert ungefähr drei bis vier Jahre, um das CERA-Curriculum abzuschließen, das grundlegende aktuarielle Wissenschaft, ERM-Prinzipien und einen Professionalisierungskurs kombiniert. Um die CERA-Zertifizierung zu erhalten, müssen die Kandidaten fünf Prüfungen ablegen, eine Bildungserfahrung erfüllen, einen Online-Kurs absolvieren und einen persönlichen Kurs zum Thema Professionalität besuchen.

CERA Global

Anfänglich waren alle CERAs Mitglieder der Society of Actuaries, aber im Jahr 2009 wurde die CERA-Bezeichnung zu einem globalen spezialisierten Berufsausweis, der von mehreren versicherungsmathematischen Gremien vergeben und reguliert wird.

Siehe auch

Verweise

Externe Links

• Thomas Stanton (18. Februar 2017). "Unternehmensrisikomanagement" . YouTube . TEDxJHUDC.
• Airmic / Alarm / IRM (2010) "Ein strukturierter Ansatz für Enterprise Risk Management (ERM) und die Anforderungen der ISO 31000"
• Hopkin, Paul "Grundlagen des Risikomanagements 2nd Edition" Kogan-Page (2012) ISBN  978-0-7494-6539-1