| Vorwort | 5 |
| Arbeitskreis „Risikomanagement“ | 6 |
| Inhaltsverzeichnis | 8 |
| Abbildungsverzeichnis | 12 |
| Abkürzungsverzeichnis | 13 |
| Gesetze und Verordnungen | 15 |
| 1. Grundlagen | 17 |
| 1.1. Definitionen | 17 |
| 1.2. Normative Vorgaben | 18 |
| 1.2.1. Regelungen in Österreich | 18 |
| 1.2.1.1. Gesetzliche Regelungen | 18 |
| 1.2.1.2. Österreichischer Corporate Governance Kodex | 19 |
| 1.2.2. Regelungen in Deutschland | 21 |
| 1.2.2.1. Gesetzliche Regelungen | 21 |
| 1.2.2.2. Deutscher Corporate Governance Kodex | 22 |
| 1.2.3. Regelungen in der Schweiz | 22 |
| 1.2.3.1. Gesetzliche Regelungen | 22 |
| 1.2.3.2. Swiss Code of Best Practice for Corporate Governance | 23 |
| 1.2.4. Internationale und nationale Normen und Standards | 24 |
| 1.2.4.1. IFRS 7 | 24 |
| 1.2.4.2. COSO ERM Framework | 26 |
| 1.2.4.3. Standard ISO 31000 und ISO 31010 | 28 |
| 1.2.4.4. Standard ONR 49000 | 28 |
| 1.3. Beteiligte am Risikomanagementprozess | 29 |
| 1.3.1. Top Management | 29 |
| 1.3.2. Operatives Management | 29 |
| 1.3.3. Risikomanager | 29 |
| 1.3.4. Interne Revision | 30 |
| 1.3.5. Aufsichtsrat – Prüfungsausschuss | 30 |
| 1.3.6. Abschlussprüfer | 30 |
| 1.3.7. Rechnungshöfe | 30 |
| 1.3.8. Eigentümer und andere Interessengruppen | 30 |
| 1.4. Abgrenzungen und Synergien | 31 |
| 1.4.1. Interne Revision ó Risikomanagement | 31 |
| 1.4.2. Internes Kontrollsystem ó Risikomanagement | 32 |
| 1.4.3. Controlling ó Risikomanagement | 33 |
| 1.4.4. Qualitätsmanagement ó Risikomanagement | 33 |
| 1.4.5. Compliance Management System ó Risikomanagement | 33 |
| 1.4.6. Corporate Social Responsibility ó Risikomanagement | 34 |
| 1.4.7. Krisenmanagement ó Risikomanagement | 34 |
| 1.4.8. Zusammenwirken der Steuerungs- und Überwachungssysteme | 36 |
| 2. Risikomanagementsystem | 38 |
| 2.1. Risikokultur, risikopolitische Grundsätze, Risikostrategie undLimitsysteme | 38 |
| 2.2. Risikomanagement-Organisation | 39 |
| 3. Der Risikomanagementprozess | 41 |
| 3.1. Risiken identifizieren | 41 |
| 3.1.1. Risikokatalog | 42 |
| 3.1.2. Nicht identifizierte Risiken | 43 |
| 3.1.3. Ausgewählte Methoden der Risikoidentifizierung | 43 |
| 3.2. Risiken kategorisieren | 44 |
| 3.3. Risiken bewerten | 45 |
| 3.3.1. Messmethoden – Quantität und Qualität | 46 |
| 3.3.2. Brutto-/Nettobewertung | 47 |
| 3.3.3. Bewertungsparameter | 47 |
| 3.3.4. Überprüfungszyklen der Bewertung | 48 |
| 3.3.5. Wesentlichkeitsgrenzen und Limit-Systeme | 48 |
| 3.3.6. Orientierungshilfe zur Bewertung | 50 |
| 3.3.7. Nachvollziehbarkeit der Bewertung | 51 |
| 3.3.8. Darstellung der bewerteten Risiken | 51 |
| 3.4. Risiken aggregieren | 51 |
| 3.4.1. Monte-Carlo-Simulation | 52 |
| 3.5. Risiken bewältigen | 54 |
| 3.5.1. Risikovermeidung | 54 |
| 3.5.2. Risikominderung | 55 |
| 3.5.3. Risikotransfer, -abwälzung | 55 |
| 3.5.4. Risiko selbst tragen | 55 |
| 3.6. Risiken steuern | 55 |
| 3.6.1. Risikosteuerung und Monitoring | 56 |
| 3.6.2. Risiko-Controlling | 56 |
| 3.7. Risiken berichten | 56 |
| 3.7.1. Risikomatrix | 59 |
| 3.8. Risikomanagement für Projekte | 61 |
| 3.9. Software-Tools und Kosten der Implementierung einesERM-Systems | 61 |
| 3.9.1. Werkzeuge für das Risikomanagement | 61 |
| 3.9.2. Kosten der Implementierung eines ERM-Systems | 63 |
| 3.10. Reifegrad von Risikomanagementsystemen | 65 |
| 4. Risikomanagement und Interne Revision | 68 |
| 4.1. Risikoorientierte Prüfung | 68 |
| 4.1.1. Risikoorientierte Prüfungsplanung | 68 |
| 4.1.1.1. Grundlagen | 68 |
| 4.1.1.2. Beispiel einer risikoorientierten Prüfungsplanung | 69 |
| 4.1.2. Beitrag der Internen Revision zur Risikoerfassung und -bewertung | 79 |
| 4.2. Prüfung des Risikomanagementsystems | 79 |
| 4.2.1. Spezielle Standards für die Durchführung der Prüfung des ERM durch dieInterne Revision | 79 |
| 4.2.1.1. Internationale Standards für die berufliche Praxis der Internen Revision | 79 |
| 4.2.1.2. Praktische Ratschläge | 80 |
| 4.2.1.3. Praxisleitfäden | 80 |
| 4.2.1.4. DIIR-Revisionsstandard Nr. 2 „Prüfung des Risikomanagement durchdie Interne Revision“ | 81 |
| 4.2.1.5. IDW-Prüfungsstandard | 81 |
| 4.2.1.6. Normen (ISO 31000, ONR 49000) | 81 |
| 4.2.2. Prüfungsprozess | 81 |
| 4.2.2.1. Grundlagen, Vorgaben | 82 |
| 4.2.2.2. Ist-Erhebung | 82 |
| 4.2.2.3. Analyse (Soll-Ist-Vergleich) | 83 |
| 4.2.3. Prüfansätze für das unternehmensweite Risikomanagementsystem | 83 |
| 4.2.3.1. Organisation | 83 |
| 4.2.3.2. Risikoidentifikation und -bewertung | 84 |
| 4.2.3.3. Risikosteuerung und Monitoring | 85 |
| 4.2.3.4. Kommunikation und Berichterstattung | 85 |
| 4.2.3.5. Dokumentation | 85 |
| 4.2.3.6. Datenmanagement | 86 |
| 4.3. Interne Revision als Risk Owner | 86 |
| 4.3.1. Risikomanagement der Internen Revision | 86 |
| 4.3.2. Risiken der Internen Revision | 87 |
| 5. Risikomanagement bei Informations- und Kommunikationstechnologien | 101 |
| 5.1. Definition und Anwendung von IKT in Unternehmen | 101 |
| 5.2. Risikomanagement, Sicherheit und IT | 102 |
| 5.2.1. Normen und Frameworks | 102 |
| 5.2.2. IKT und Risikomanagement | 104 |
| 5.2.2.1. IKT als Erfolgsfaktor | 105 |
| 5.2.2.2. Risikomanagement in der IKT-Funktion | 105 |
| 6. Branchenspezifische Aspekte | 107 |
| 6.1. Öffentlicher Sektor | 107 |
| 6.1.1. Rechtliche Vorgaben im Bund | 107 |
| 6.1.2. Internationale Richtlinien | 108 |
| 6.2. Kreditinstitute | 116 |
| 6.2.1. Risikomanagement und Interne Revision | 117 |
| 6.2.2. Gesetzliche und aufsichtsrechtliche Anforderungen in Österreich | 117 |
| 6.2.3. Gesetzliche und aufsichtsrechtliche Anforderungen in Deutschland | 118 |
| 6.2.4. Gesetzliche und aufsichtsrechtliche Anforderungen in der Schweiz | 120 |
| 6.2.5. Übersicht Regelkreis und Spannungsfeld Interne Revision | 121 |
| 6.3. Versicherungsunternehmen | 122 |
| 6.3.1. Risikomanagement und Interne Revision | 122 |
| 6.3.2. Gesetzliche und aufsichtsrechtliche Anforderungen in Österreich | 123 |
| 6.3.3. Gesetzliche und aufsichtsrechtliche Anforderungen in Deutschland | 124 |
| 6.3.4. Gesetzliche und aufsichtsrechtliche Anforderungen in der Schweiz | 125 |
| AnhangUmfrage 2013 zum Risikomanagement in Österreich, Deutschlandund der Schweiz | 126 |
| Literaturverzeichnis | 133 |
