Rahmenwerke für Risikomanagement
Zu Beginn des 20. Jahrhunderts bis in die späten fünfziger Jahre war Risikomanagement naturgemäss vor allem in der Versicherungsbranche eine bekannte Grösse. Das durch die Versicherungsgesellschaften betriebene Risikomanagement fokussierte sich hauptsächlich auf die Höhe der Prämien der durch die Versicherung zu übernehmenden Risiken. Mit der zunehmenden Industrialisierung und Automatisierung in Unternehmungen wurde die Qualitätssicherung immer wichtiger, und es entstanden ab den sechziger Jahren Analysemethoden für Qualitätsmanagement, wie z.B. die FMEA (Failure Mode and Effects Analysis, IEC 60812), die Ereignisablaufanalyse (DIN 25419) oder die Fehlerbaumanalyse (DIN 25424 – 1/2), deren Hauptfokus sich auf Identifikation, Bewertung und Minderung von Risiken richteten. Ziel dieser Methoden war, Fehler bereits vor dem Eintreten eines Schadens zu verhindern oder deren Ursachen zu erforschen.
unterschiedliche Methoden für verschiedene Ziele
Durch die Zunahme der Globalisierung, des Wettbewerbs- und Kostendrucks, der Komplexität von Produktionsanlagen und Informationssystemen sowie aufgrund der gestiegenen Anforderungen der internen und externen Umgebung einer Unternehmung hat sich in den letzten Jahrzehnten die Risikolage und der Druck nach einem umfassenden Risikomanagement deutlich verschärft. Somit war es auch nicht mehr ausreichend, einzelne Problemstellungen isoliert und nur aus einem Blickwinkel heraus zu betrachten, wie dies bei den damaligen Risikoanalysemethoden im Fokus stand. Vielmehr wurde eine umfassende Sicht über die eine Unternehmung bedrohenden Risiken notwendig und von Gesetzgebern einzelner Länder aufgrund der Wirtschaftsskandale der letzten Dekade sogar gefordert.
umfassende Sicht auf Risiken notwendig
Von verschiedenen Interessengruppen wurden unternehmensweite Risikomanagement-Systeme mit dem Ziel erarbeitet, den Risikomanagement-Ansatz in die Unternehmenssteuerung zu integrieren – also ein Rahmenwerk für eine risikoorientierte Unternehmensführung zu schaffen. Einzelne Rahmenwerke haben sich mittlerweile zu nationalen und zum Teil sogar internationalen Standards etabliert.
Aktuelle Rahmenwerke für Risikomanagement
Zwecks Überblick über die vorhandenen Rahmenwerke im Bereich des unternehmensweiten Risikomanagements werden nachfolgend die bekanntesten nationalen und internationalen Normen resp. Standards beschrieben. Zu diesen gehören der australisch-neuseeländische Standard “AS/NZS 4360 Risk Management“, der als erstes Werk 1995 veröffentlicht, 1999 resp. 2004 überarbeitet und schliesslich 2009 unter dem Namen AS/NZS 31000 mit dem ISO 31000 (s.u.) zusammengeführt wurde, sowie der im 2004 veröffentlichte amerikanische Standard “COSO Enterprise Risk Management – Integrated Framework“. Nebst diesen beiden wohl bekanntesten Rahmenwerken haben sich die aus schweizerisch-österreichischer Zusammenarbeit entstandenen ON-Regeln “Risikomanagement für Organisationen und Systeme“ ebenfalls als nationale Normen oder internationale Standards etabliert.
Im Bereich der International Standards Organisation (ISO) wurde 2009 die Norm ISO 31000 “Risk Management – Guidelines on principles and implementation of risk management“ herausgegeben. ISO 27005 ist als Teil der ISO 27000er-Serie auf Risikomanagement für Informationssicherheit ausgerichtet.
COSO Enterprise Risk Management – Integrated Framework
Das “Committee of Sponsoring Organizations of the Treadway Commission“ (COSO) wurde 1985 durch eine Initiative amerikanischer privatwirtschaftlicher Unternehmen mit dem Ziel gegründet, betrügerische Handlungen bei der finanziellen Berichterstattung zu verfolgen. 1992 veröffentlichte dieses Komitee unter der Leitung von PricewaterhouseCoopers den vierteiligen COSO-Report “Internal Control – Integrated Framework“ (COSO IC). Der erste Teil umfasst die Resultate der vorangegangenen Untersuchungen, deren wesentlichste Erkenntnis das Fehlen wirksamer interner Kontrollsysteme als Hauptursache betrügerischer Handlungen bei der finanziellen Berichterstattung ist. Im zweiten Teil, dem eigentlichen Framework, steht die Corporate Governance im Vordergrund, und es wird das interne Kontrollsystem mit all seinen Komponenten beschrieben. Der dritte Teil umfasst die externe Berichterstattung. Der abschliessende vierte Teil widmet sich den Werkzeugen rund um die Beurteilung des internen Kontrollsystems. Das Framework selbst wird als Prozess definiert und ist dreidimensional gestaltet. Es umfasst die Dimensionen Unternehmensziele, Risikomanagement- und interne Kontroll-Komponenten und Geschäftseinheiten. Aufgrund diverser US-amerikanischer Bilanzskandale (z.B. Enron 2001, MCI Worldcom 2002, etc.) gewann COSO IC erneut an Bedeutung und Aufmerksamkeit. Zudem wurde am 30.07.2002 in den USA der sogenannte “Sarbanes Oxley Act“ (SOA) als Gesetz mit dem Ziel verabschiedet, die wahrheitsgetreue Rechnungslegung im Bezug auf deren Richtigkeit und Vollständigkeit sowie die Sicherstellung der Unternehmenstransparenz gesetzlich zu regeln. Speziell hervorzuheben ist der Abschnitt 404 des SOA, wonach die Unternehmensführung jährlich die Wirksamkeit und Angemessenheit ihrer internen Kontrollen bezogen auf die finanzielle Berichterstattung schriftlich nachzuweisen hat. Der SOA gilt für sämtliche bei der US amerikanischen Wertpapier Aufsichtsbehörde “Securities and Exchange Commission“ (SEC) registrierten Unternehmen und betrifft auch deren Tochtergesellschaften im Ausland. Die grosse Verbreitung von COSO IC wird damit begründet, dass die SEC den COSO IC als Standard und “Best Practice“ für die Umsetzung der SOA-Anforderungen empfiehlt, die meisten vom SOA betroffenen Unternehmen bei der SEC registriert sind und somit eine direkte Verbindung zwischen SOA und COSO IC entstanden ist.
COSO – dreidimensionales Modell eines idealen IKS
COSO initiierte aber bereits 2001 aufgrund der steigenden Anzahl von Insolvenzen und dem dadurch stetig zunehmenden Bedürfnis nach einem umfassenden Risikomanagement ein weiteres Projekt. Für die Durchführung dieses Projektes erhielt, wie bereits im Rahmen von COSO IC, Pricewaterhouse-Coopers das Mandat mit der Zielsetzung, ein Enterprise Risk Management (ERM) Framework zu erstellen.
COSO ist de-facto Standard für alle Unternehmen im Scope des Sarbanes Oxley Act
Das Resultat dieses Projektes wurde im September 2004 unter dem Namen “Enterprise Risk Management – Integrated Framework“ (COSO ERM) veröffentlicht und schliesst mit seinem Ansatz an COSO IC an.
COSO IC im Vergleich zu COSO ERM
COSO ERM umfasst zwei Bände, wobei der erste Band das Rahmenwerk “COSO Enterprise Risk Management – Integrated Framework“ beschreibt und grundsätzliche Definitionen, Konzepte, Zielkategorien und Prinzipien beinhaltet. Der zweite Band “Application Techniques“ ist mit dem ersten Teil insofern verbunden, als dass er Anleitungen und Illustrationen über die verschiedenen Risikomanagement-Techniken und -Methoden enthält.
COSO ERM definiert Enterprise Risk Management (ERM) als iterativen Prozess. Der ERM-Prozess dient der Behandlung von Risiken und Chancen, welche die Wertschöpfung und die Werterhaltung einer Unternehmung beeinflussen. Der ERM-Prozess wird durch die verschiedenen Führungsebenen sowie praktisch durch jeden Mitarbeiter eines Unternehmens geprägt. Er wird sowohl für die Strategiefestlegung angewandt, wie auch im gesamten Unternehmenskontext. Dabei gilt es, potenziell negative wie auch positive Ereignisse, die sich auf die Erreichung der Unternehmensziele auswirken können, zu erkennen und im Rahmen des Risikoappetits zu steuern. Ziel dabei ist die Erhöhung der Gewissheit und Steuerbarkeit der Unternehmung im Bezug auf die Erreichung der gesetzten Unternehmensziele nicht zuletzt, um damit Shareholder-Value zu generieren.
COSO ERM ist mehr als COSO IC
COSO ERM umfasst wie COSO IC die Dimensionen Zielsetzungen, Risikomanagement-Komponenten und organisatorische Gegebenheiten. COSO ERM stellt aber das Risikomanagement und nicht das interne Kontrollsystem in den Vordergrund.
bei COSO ERM steht Risikomanagement im Vordergrund
Visualisiert werden diese Dimensionen wie bereits im COSO IC über einen Würfel (siehe obige Abbildungen), wobei die Oberseite die verschiedenen Zielsetzungen, die rechte Seite die verschiedenen organisatorischen Gegebenheiten und die Vorderseite die einzelnen Komponenten eines ERM darstellen. Der COSO ERM Würfel wurde im Vergleich zu COSO IC um die Zielsetzungs-Dimension Strategic und um die Komponenten Objective Setting, Event Identification und Risk Response erweitert. Ausserdem wurde das Reporting, das im COSO IC auf das finanzielle Berichtswesen beschränkt war, signifikant ausgebaut und beinhaltet nun das gesamte interne und externe Berichtswesen.
Im COSO ERM wurden die Begriffe Risikoappetit und Risikotoleranz neu eingeführt. “Information und Kommunikation“ wurde dahingehend ergänzt, Daten und Informationen aus der Vergangenheit, Gegenwart, aber auch der Zukunft zu berücksichtigen.
neue Begriffe “Risiko-Appetit“ und...