Sie sind hier
E-Book

Risikomanagement und Unternehmenskultur

Berücksichtigung der kulturellen Aspekte im Rahmen des Risikomanagements

AutorBeat Graf, Marcel Schühle, Peter R. Bitterli
VerlagBooks on Demand
Erscheinungsjahr2017
Seitenanzahl168 Seiten
ISBN9783743197923
FormatePUB
KopierschutzWasserzeichen
GerätePC/MAC/eReader/Tablet
Preis18,99 EUR
Die Auseinandersetzung mit Unternehmenskultur und unternehmensweitem Risikomanagement liegt zweifelsohne im Trend; sie gewann unter anderem durch größere Firmenzusammenbrüche und Wirtschaftsskandale zunehmend an Bedeutung. Während die Unternehmenskultur vorwiegend auf die Rahmenbedingungen eines Risikomanagements beeinflussend wirkt, werden Risiken durch Personen identifiziert, beurteilt und behandelt und unterliegen naturgemäß der individuellen und damit subjektiv geprägten Wahrnehmung. Das Fachbuch behandelt dieses Zusammenspiel zwischen der Unternehmenskultur, der subjektiven und individuellen Wahrnehmung und dem unternehmensweiten Risikomanagement. Im Fokus stehen dabei kulturell bedingte Gefahren, für ein Risikomanagement erfolgskritische Kulturelemente sowie auch mögliche Instrumente und Methoden mit dem Ziel einer kultur- und wahrnehmungsneutralen Risiko-Betrachtung. Alle gängigen Normen betonen die Wichtigkeit der Unternehmenskultur sowie der subjektiven Risikowahrnehmung. Somit kann die Unternehmenskultur als ein kritischer Erfolgsfaktor für das unternehmensweite Risikomanagement angesehen werden. Jedoch mangelt es aber in allen untersuchten Normen an konkreten Umsetzungshilfen, diese Einflüsse zu berücksichtigen und zielgerichtet zu steuern. Betrachtet man die Unternehmenskultur als eine für den wirtschaftlichen Erfolg maßgebliche Variable, so bedingt dies die Erfassung, Visualisierung und Beurteilung derselben, damit allfällige Veränderung bzw. Auffälligkeiten rechtzeitig erkannt werden können. Die bewusste Pflege und Gestaltung dieses an sich heute unbestrittenen Erfolgsfaktors Unternehmenskultur setzt eben gerade auch deren Vergleichbarkeit voraus. Vor diesem Hintergrund wurde im vorliegenden Fachbuch versucht, die Unternehmenskultur auf eine übersichtliche und vergleichbare Weise sowie beschränkt auf die wichtigsten Kulturelemente (Dimensionen) darzustellen. Sind die Rahmenbedingungen für das Risikomanagement definiert, formuliert sowie kommuniziert, gilt es, die wahrnehmungsbezogenen Faktoren im Laufe des Risikomanagement-Prozesses so zu steuern, dass eine möglichst transparente und wahrnehmungsneutrale Sicht über die Risiken einer Unternehmung resultiert. Wo zur Erreichung dieser objektiven Sicht keine quantitativen oder semi-quantitativen Risikoanalyse-Verfahren bestehen, wird gezeigt, wie mit verschiedenen Ansätzen, teilweise aus dem System Engineering, qualitative Methoden möglichst objektiviert werden können.

Seit 1984 ist Peter R. Bitterli, dipl. Math. ETH, CISA, CISM, CGEIT, im breiten Gebiet der Revision, Kontrolle und Sicherheit der Informationstechnologie (IT) tätig - intern wie extern und sowohl in der (Informatik-) Revision als auch in der (Informatik-) Sicherheit. Als Gründungsmitglied des ISACA ­Switzerland Chapter und während 25 Jahren als Vorstandsmitglied hat er die Landschaft der IT-Revision in der Schweiz maßgeblich mitgeprägt, sei als Dozent und Modulleiter der Akademie für Wirtschaftsprüfung, als Lehrbeauftragter der Universität Zürich oder als Dozent in Kursen an verschiedenen Fachhochschulen. Als Mitglied des Fachstabs Informatik der EXPERTsuisse gestaltet er Prüfungsstandards, Prüfungsanleitungen oder Prüfungsempfehlungen im IT-Bereich mit; er hat in den letzten Jahren verschiedene Publikationen veröffentlicht und ist häufig eingeladener Referent an nationalen wie internationalen Fachtagungen.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

Rahmenwerke für Risikomanagement


Zu Beginn des 20. Jahrhunderts bis in die späten fünfziger Jahre war Risikomanagement naturgemäss vor allem in der Versicherungsbranche eine bekannte Grösse. Das durch die Versicherungsgesellschaften betriebene Risikomanagement fokussierte sich hauptsächlich auf die Höhe der Prämien der durch die Versicherung zu übernehmenden Risiken. Mit der zunehmenden Industrialisierung und Automatisierung in Unternehmungen wurde die Qualitätssicherung immer wichtiger, und es entstanden ab den sechziger Jahren Analysemethoden für Qualitätsmanagement, wie z.B. die FMEA (Failure Mode and Effects Analysis, IEC 60812), die Ereignisablaufanalyse (DIN 25419) oder die Fehlerbaumanalyse (DIN 25424 – 1/2), deren Hauptfokus sich auf Identifikation, Bewertung und Minderung von Risiken richteten. Ziel dieser Methoden war, Fehler bereits vor dem Eintreten eines Schadens zu verhindern oder deren Ursachen zu erforschen.

unterschiedliche Methoden für verschiedene Ziele

Durch die Zunahme der Globalisierung, des Wettbewerbs- und Kostendrucks, der Komplexität von Produktionsanlagen und Informationssystemen sowie aufgrund der gestiegenen Anforderungen der internen und externen Umgebung einer Unternehmung hat sich in den letzten Jahrzehnten die Risikolage und der Druck nach einem umfassenden Risikomanagement deutlich verschärft. Somit war es auch nicht mehr ausreichend, einzelne Problemstellungen isoliert und nur aus einem Blickwinkel heraus zu betrachten, wie dies bei den damaligen Risikoanalysemethoden im Fokus stand. Vielmehr wurde eine umfassende Sicht über die eine Unternehmung bedrohenden Risiken notwendig und von Gesetzgebern einzelner Länder aufgrund der Wirtschaftsskandale der letzten Dekade sogar gefordert.

umfassende Sicht auf Risiken notwendig

Von verschiedenen Interessengruppen wurden unternehmensweite Risikomanagement-Systeme mit dem Ziel erarbeitet, den Risikomanagement-Ansatz in die Unternehmenssteuerung zu integrieren – also ein Rahmenwerk für eine risikoorientierte Unternehmensführung zu schaffen. Einzelne Rahmenwerke haben sich mittlerweile zu nationalen und zum Teil sogar internationalen Standards etabliert.

Aktuelle Rahmenwerke für Risikomanagement

Zwecks Überblick über die vorhandenen Rahmenwerke im Bereich des unternehmensweiten Risikomanagements werden nachfolgend die bekanntesten nationalen und internationalen Normen resp. Standards beschrieben. Zu diesen gehören der australisch-neuseeländische Standard “AS/NZS 4360 Risk Management“, der als erstes Werk 1995 veröffentlicht, 1999 resp. 2004 überarbeitet und schliesslich 2009 unter dem Namen AS/NZS 31000 mit dem ISO 31000 (s.u.) zusammengeführt wurde, sowie der im 2004 veröffentlichte amerikanische Standard “COSO Enterprise Risk Management – Integrated Framework“. Nebst diesen beiden wohl bekanntesten Rahmenwerken haben sich die aus schweizerisch-österreichischer Zusammenarbeit entstandenen ON-Regeln “Risikomanagement für Organisationen und Systeme“ ebenfalls als nationale Normen oder internationale Standards etabliert.

Im Bereich der International Standards Organisation (ISO) wurde 2009 die Norm ISO 31000 “Risk Management – Guidelines on principles and implementation of risk management“ herausgegeben. ISO 27005 ist als Teil der ISO 27000er-Serie auf Risikomanagement für Informationssicherheit ausgerichtet.

COSO Enterprise Risk Management – Integrated Framework

Das “Committee of Sponsoring Organizations of the Treadway Commission“ (COSO) wurde 1985 durch eine Initiative amerikanischer privatwirtschaftlicher Unternehmen mit dem Ziel gegründet, betrügerische Handlungen bei der finanziellen Berichterstattung zu verfolgen. 1992 veröffentlichte dieses Komitee unter der Leitung von PricewaterhouseCoopers den vierteiligen COSO-Report “Internal Control – Integrated Framework“ (COSO IC). Der erste Teil umfasst die Resultate der vorangegangenen Untersuchungen, deren wesentlichste Erkenntnis das Fehlen wirksamer interner Kontrollsysteme als Hauptursache betrügerischer Handlungen bei der finanziellen Berichterstattung ist. Im zweiten Teil, dem eigentlichen Framework, steht die Corporate Governance im Vordergrund, und es wird das interne Kontrollsystem mit all seinen Komponenten beschrieben. Der dritte Teil umfasst die externe Berichterstattung. Der abschliessende vierte Teil widmet sich den Werkzeugen rund um die Beurteilung des internen Kontrollsystems. Das Framework selbst wird als Prozess definiert und ist dreidimensional gestaltet. Es umfasst die Dimensionen Unternehmensziele, Risikomanagement- und interne Kontroll-Komponenten und Geschäftseinheiten. Aufgrund diverser US-amerikanischer Bilanzskandale (z.B. Enron 2001, MCI Worldcom 2002, etc.) gewann COSO IC erneut an Bedeutung und Aufmerksamkeit. Zudem wurde am 30.07.2002 in den USA der sogenannte “Sarbanes Oxley Act“ (SOA) als Gesetz mit dem Ziel verabschiedet, die wahrheitsgetreue Rechnungslegung im Bezug auf deren Richtigkeit und Vollständigkeit sowie die Sicherstellung der Unternehmenstransparenz gesetzlich zu regeln. Speziell hervorzuheben ist der Abschnitt 404 des SOA, wonach die Unternehmensführung jährlich die Wirksamkeit und Angemessenheit ihrer internen Kontrollen bezogen auf die finanzielle Berichterstattung schriftlich nachzuweisen hat. Der SOA gilt für sämtliche bei der US amerikanischen Wertpapier Aufsichtsbehörde “Securities and Exchange Commission“ (SEC) registrierten Unternehmen und betrifft auch deren Tochtergesellschaften im Ausland. Die grosse Verbreitung von COSO IC wird damit begründet, dass die SEC den COSO IC als Standard und “Best Practice“ für die Umsetzung der SOA-Anforderungen empfiehlt, die meisten vom SOA betroffenen Unternehmen bei der SEC registriert sind und somit eine direkte Verbindung zwischen SOA und COSO IC entstanden ist.

COSO – dreidimensionales Modell eines idealen IKS

COSO initiierte aber bereits 2001 aufgrund der steigenden Anzahl von Insolvenzen und dem dadurch stetig zunehmenden Bedürfnis nach einem umfassenden Risikomanagement ein weiteres Projekt. Für die Durchführung dieses Projektes erhielt, wie bereits im Rahmen von COSO IC, Pricewaterhouse-Coopers das Mandat mit der Zielsetzung, ein Enterprise Risk Management (ERM) Framework zu erstellen.

COSO ist de-facto Standard für alle Unternehmen im Scope des Sarbanes Oxley Act

Das Resultat dieses Projektes wurde im September 2004 unter dem Namen “Enterprise Risk Management – Integrated Framework“ (COSO ERM) veröffentlicht und schliesst mit seinem Ansatz an COSO IC an.

COSO IC im Vergleich zu COSO ERM

COSO ERM umfasst zwei Bände, wobei der erste Band das Rahmenwerk “COSO Enterprise Risk Management – Integrated Framework“ beschreibt und grundsätzliche Definitionen, Konzepte, Zielkategorien und Prinzipien beinhaltet. Der zweite Band “Application Techniques“ ist mit dem ersten Teil insofern verbunden, als dass er Anleitungen und Illustrationen über die verschiedenen Risikomanagement-Techniken und -Methoden enthält.

COSO ERM definiert Enterprise Risk Management (ERM) als iterativen Prozess. Der ERM-Prozess dient der Behandlung von Risiken und Chancen, welche die Wertschöpfung und die Werterhaltung einer Unternehmung beeinflussen. Der ERM-Prozess wird durch die verschiedenen Führungsebenen sowie praktisch durch jeden Mitarbeiter eines Unternehmens geprägt. Er wird sowohl für die Strategiefestlegung angewandt, wie auch im gesamten Unternehmenskontext. Dabei gilt es, potenziell negative wie auch positive Ereignisse, die sich auf die Erreichung der Unternehmensziele auswirken können, zu erkennen und im Rahmen des Risikoappetits zu steuern. Ziel dabei ist die Erhöhung der Gewissheit und Steuerbarkeit der Unternehmung im Bezug auf die Erreichung der gesetzten Unternehmensziele nicht zuletzt, um damit Shareholder-Value zu generieren.

COSO ERM ist mehr als COSO IC

COSO ERM umfasst wie COSO IC die Dimensionen Zielsetzungen, Risikomanagement-Komponenten und organisatorische Gegebenheiten. COSO ERM stellt aber das Risikomanagement und nicht das interne Kontrollsystem in den Vordergrund.

bei COSO ERM steht Risikomanagement im Vordergrund

Visualisiert werden diese Dimensionen wie bereits im COSO IC über einen Würfel (siehe obige Abbildungen), wobei die Oberseite die verschiedenen Zielsetzungen, die rechte Seite die verschiedenen organisatorischen Gegebenheiten und die Vorderseite die einzelnen Komponenten eines ERM darstellen. Der COSO ERM Würfel wurde im Vergleich zu COSO IC um die Zielsetzungs-Dimension Strategic und um die Komponenten Objective Setting, Event Identification und Risk Response erweitert. Ausserdem wurde das Reporting, das im COSO IC auf das finanzielle Berichtswesen beschränkt war, signifikant ausgebaut und beinhaltet nun das gesamte interne und externe Berichtswesen.

Im COSO ERM wurden die Begriffe Risikoappetit und Risikotoleranz neu eingeführt. “Information und Kommunikation“ wurde dahingehend ergänzt, Daten und Informationen aus der Vergangenheit, Gegenwart, aber auch der Zukunft zu berücksichtigen.

neue Begriffe “Risiko-Appetit“ und...

Blick ins Buch

Weitere E-Books zum Thema: Management - Wirtschaft - Coaching

Zeitmanagement im Projekt

E-Book Zeitmanagement im Projekt
Format: PDF

Von Projektleitern und ihren Mitarbeitern wird grundsätzlich eine exakte Punktlandung erwartet: Sie sollen das Projekt zum vereinbarten Termin beenden, selbstverständlich die Budgetvorgaben einhalten…

Zeitmanagement im Projekt

E-Book Zeitmanagement im Projekt
Format: PDF

Von Projektleitern und ihren Mitarbeitern wird grundsätzlich eine exakte Punktlandung erwartet: Sie sollen das Projekt zum vereinbarten Termin beenden, selbstverständlich die Budgetvorgaben einhalten…

Basiswissen Beschaffung.

E-Book Basiswissen Beschaffung.
Format: PDF

Anhand vieler Beispiele für die relevanten Aufgaben und Methoden der Beschaffung bietet der Band Grundwissen für den Quereinsteiger sowie ein Repetitorium für den Praktiker. Das Buch gibt eine kurze…

Basiswissen Beschaffung.

E-Book Basiswissen Beschaffung.
Format: PDF

Anhand vieler Beispiele für die relevanten Aufgaben und Methoden der Beschaffung bietet der Band Grundwissen für den Quereinsteiger sowie ein Repetitorium für den Praktiker. Das Buch gibt eine kurze…

Weitere Zeitschriften

BONSAI ART

BONSAI ART

Auflagenstärkste deutschsprachige Bonsai-Zeitschrift, basierend auf den renommiertesten Bonsai-Zeitschriften Japans mit vielen Beiträgen europäischer Gestalter. Wertvolle Informationen für ...

Card Forum International

Card Forum International

Card Forum International, Magazine for Card Technologies and Applications, is a leading source for information in the field of card-based payment systems, related technologies, and required reading ...

caritas

caritas

mitteilungen für die Erzdiözese FreiburgUm Kindern aus armen Familien gute Perspektiven für eine eigenständige Lebensführung zu ermöglichen, muss die Kinderarmut in Deutschland nachhaltig ...

küche + raum

küche + raum

Internationale Fachzeitschrift für Küchenforschung und Küchenplanung. Mit Fachinformationen für Küchenfachhändler, -spezialisten und -planer in Küchenstudios, Möbelfachgeschäften und den ...

Das Grundeigentum

Das Grundeigentum

Das Grundeigentum - Zeitschrift für die gesamte Grundstücks-, Haus- und Wohnungswirtschaft. Für jeden, der sich gründlich und aktuell informieren will. Zu allen Fragen rund um die Immobilie. Mit ...

Gastronomie Report

Gastronomie Report

News & Infos für die Gastronomie: Tipps, Trends und Ideen, Produkte aus aller Welt, Innovative Konzepte, Küchentechnik der Zukunft, Service mit Zusatznutzen und vieles mehr. Frech, offensiv, ...

DER PRAKTIKER

DER PRAKTIKER

Technische Fachzeitschrift aus der Praxis für die Praxis in allen Bereichen des Handwerks und der Industrie. “der praktiker“ ist die Fachzeitschrift für alle Bereiche der fügetechnischen ...

Der Steuerzahler

Der Steuerzahler

Der Steuerzahler ist das monatliche Wirtschafts- und Mitgliedermagazin des Bundes der Steuerzahler und erreicht mit fast 230.000 Abonnenten einen weitesten Leserkreis von 1 ...