Reifegrad: Unterschied zwischen den Versionen
K Textersetzung - „Risiko/Management“ durch „Risikomanagement“ Markierung: Manuelle Zurücksetzung |
Keine Bearbeitungszusammenfassung |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
''' | '''Reifegrad''' - Qualität eines [[Managementsystem]]s | ||
=== Reifegradmodelle === | === Reifegradmodelle === | ||
Qualität des Informationssicherheitsprozesses | |||
; Bewertung mit Reifegraden | ; Bewertung mit Reifegraden | ||
| Zeile 8: | Zeile 8: | ||
; Maßstab | ; Maßstab | ||
Der Maßstab für die „Reife“ des gesamten oder aber auch von Teilen hiervon ist der '''Grad der Strukturierung und der systematischen Steuerung''' des Prozesses | Der Maßstab für die „Reife“ des gesamten oder aber auch von Teilen hiervon ist der '''Grad der Strukturierung und der systematischen Steuerung''' des Prozesses | ||
; Ziel der Anwendung eines Reifegradmodells | ; Ziel der Anwendung eines Reifegradmodells | ||
* Qualität aller Teilbereiche des ISMS zu erhöhen | * Qualität aller Teilbereiche des ISMS zu erhöhen | ||
* Durch regelmäßige Analysen können Sie überprüfen, welche Prozesse noch unzureichend gesteuert sind | * Durch regelmäßige Analysen können Sie überprüfen, welche Prozesse noch unzureichend gesteuert sind | ||
Die folgende Grafik stellt beispielhaft die erreichten Reifegrade verschiedener Themenfelder in einer Institution dar | Die folgende Grafik stellt beispielhaft die erreichten Reifegrade verschiedener Themenfelder in einer Institution dar | ||
* Wo der Reifegrad niedrig ist, besteht ein besonderer Handlungsbedarf | * Wo der Reifegrad niedrig ist, besteht ein besonderer Handlungsbedarf | ||
Reifegradmodelle können dabei unterstützen, Schwerpunkte für die Weiterentwicklung eines ISMS zu setzen | Reifegradmodelle können dabei unterstützen, Schwerpunkte für die Weiterentwicklung eines ISMS zu setzen | ||
==== Beispiel ==== | ==== Beispiel ==== | ||
| Zeile 23: | Zeile 23: | ||
; Reifegrade und ihre Merkmale | ; Reifegrade und ihre Merkmale | ||
{| class="wikitable options" | {| class="wikitable options col1center" | ||
|- | |- | ||
! | Reifegrad | ! | Reifegrad | ||
| Zeile 29: | Zeile 29: | ||
|- | |- | ||
|| 0 | || 0 | ||
|| Es existiert kein Prozess, es gibt auch keine Planungen hierzu | || Es existiert kein Prozess, es gibt auch keine Planungen hierzu | ||
|- | |- | ||
|| 1 | || 1 | ||
|| Es gibt Planungen zur Etablierung eines Prozesses, jedoch keine Umsetzungen | || Es gibt Planungen zur Etablierung eines Prozesses, jedoch keine Umsetzungen | ||
|- | |- | ||
|| 2 | || 2 | ||
|| Teile des Prozesses sind umgesetzt, es fehlt jedoch an systematischer Dokumentation | || Teile des Prozesses sind umgesetzt, es fehlt jedoch an systematischer Dokumentation | ||
|- | |- | ||
|| 3 | || 3 | ||
|| Der Prozess ist vollständig umgesetzt und dokumentiert | || Der Prozess ist vollständig umgesetzt und dokumentiert | ||
|- | |- | ||
|| 4 | || 4 | ||
|| Der Prozess wird darüber hinaus auch regelmäßig auf Effektivität überprüft | || Der Prozess wird darüber hinaus auch regelmäßig auf Effektivität überprüft | ||
|- | |- | ||
|| 5 | || 5 | ||
|| Zusätzlich sind Maßnahmen zur kontinuierlichen Verbesserung vorhanden | || Zusätzlich sind Maßnahmen zur kontinuierlichen Verbesserung vorhanden | ||
|- | |- | ||
|} | |} | ||
== Beschreibung == | == Beschreibung == | ||
; „Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells.“ | ; „Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells.“ | ||
* Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden sowie alle vorhergehenden Stufen erreicht sein | * Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden sowie alle vorhergehenden Stufen erreicht sein | ||
* Reife wird nach Rosemann und De Bruin definiert als „a measure to evaluate the capabilities of an organisation“ – ein Maß, um die Fähigkeiten einer Organisation zu bewerten | * Reife wird nach Rosemann und De Bruin definiert als „a measure to evaluate the capabilities of an organisation“ – ein Maß, um die Fähigkeiten einer Organisation zu bewerten | ||
; Reifegradmodelle des Risikomanagements | ; Reifegradmodelle des Risikomanagements | ||
Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen ([[Benchmarking]]) | Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen ([[Benchmarking]]) | ||
* Sie bestehen aus Reifegradstufen, Dimensionen und Bewertungsinstrumenten | * Sie bestehen aus Reifegradstufen, Dimensionen und Bewertungsinstrumenten | ||
* Eine Entwicklung kann [[Top-down und Bottom-up|top-down oder bottom-up]] erfolgen | * Eine Entwicklung kann [[Top-down und Bottom-up|top-down oder bottom-up]] erfolgen | ||
* Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden | * Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden | ||
* Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert | * Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert | ||
* Dafür werden zum Beispiel [[Kreativitätstechniken]], [[Delphi-Methode]] oder [[Fokusgruppe]]n<nowiki />befragung verwendet | * Dafür werden zum Beispiel [[Kreativitätstechniken]], [[Delphi-Methode]] oder [[Fokusgruppe]]n<nowiki />befragung verwendet | ||
; Risikomanagement ist ein [[Erfolgsfaktor]] für jedes Unternehmen | ; Risikomanagement ist ein [[Erfolgsfaktor]] für jedes Unternehmen | ||
Es sollten möglichst viele Mitarbeiter integriert werden um der Unternehmensführung die Möglichkeit zu geben Risiken richtig zu erfassen, die Erträge und Risiken richtig bewerten und in die Praxis umzusetzen | Es sollten möglichst viele Mitarbeiter integriert werden um der Unternehmensführung die Möglichkeit zu geben Risiken richtig zu erfassen, die Erträge und Risiken richtig bewerten und in die Praxis umzusetzen | ||
* Das wird allerdings erst in der 4. Stufe erreicht | * Das wird allerdings erst in der 4. Stufe erreicht | ||
* Die Geschäftsführung muss „Oberster Risikomanager“ sein, weil sie maßgebliche Entscheidungen über den Risikoumfang trifft | * Die Geschäftsführung muss „Oberster Risikomanager“ sein, weil sie maßgebliche Entscheidungen über den Risikoumfang trifft | ||
* Hierbei sollten Strategien und feste organisatorische Muster und Methoden angewandt werden, um sicherzustellen, dass mögliche „bestandsbedrohende Entwicklungen“ bereits früh erkannt werden | * Hierbei sollten Strategien und feste organisatorische Muster und Methoden angewandt werden, um sicherzustellen, dass mögliche „bestandsbedrohende Entwicklungen“ bereits früh erkannt werden | ||
== Reifegradmodell nach ''Gleißner und Mott'' == | == Reifegradmodell nach ''Gleißner und Mott'' == | ||
| Zeile 78: | Zeile 78: | ||
| [[#Stufe 3 | 3]] || [[#Stufe 2 | Regulatorisches Risikomanagement]] || „KonTraG-Risikomanagement“ | | [[#Stufe 3 | 3]] || [[#Stufe 2 | Regulatorisches Risikomanagement]] || „KonTraG-Risikomanagement“ | ||
|- | |- | ||
| [[#Stufe 4 | 4]] || [[#Stufe 4 | Ökonomisches, entscheidungsorientiertes Risikomanagement]] || Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet | | [[#Stufe 4 | 4]] || [[#Stufe 4 | Ökonomisches, entscheidungsorientiertes Risikomanagement]] || Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet | ||
|- | |- | ||
| [[#Stufe 5 | 5]] || [[#Stufe 5 | Integriertes wertorientiertes Risikomanagement]] || Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft | | [[#Stufe 5 | 5]] || [[#Stufe 5 | Integriertes wertorientiertes Risikomanagement]] || Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft | ||
| Zeile 89: | Zeile 89: | ||
* Leitungsebene hat ein unzureichendes Risikobewusstsein | * Leitungsebene hat ein unzureichendes Risikobewusstsein | ||
* Kein systematisches Vorgehen im Umgang mit Risiken | * Kein systematisches Vorgehen im Umgang mit Risiken | ||
* Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur sporadisch statt | * Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur sporadisch statt | ||
=== Stufe 2 === | === Stufe 2 === | ||
; Schadensmanagement | ; Schadensmanagement | ||
* Existenz bestimmter [[Risiko|Risiken]] ist bekannt | * Existenz bestimmter [[Risiko|Risiken]] ist bekannt | ||
* Es werden bewusst Maßnahmen eingeleitet, die Gefahren verhindern sollen | * Es werden bewusst Maßnahmen eingeleitet, die Gefahren verhindern sollen | ||
* Regelungen, wie Umweltschutz und Arbeitsschutz, finden dabei auch Berücksichtigung | * Regelungen, wie Umweltschutz und Arbeitsschutz, finden dabei auch Berücksichtigung | ||
* Bei selteneren und größeren Risiken werden Versicherungen abgeschlossen, um Schäden zu minimieren | * Bei selteneren und größeren Risiken werden Versicherungen abgeschlossen, um Schäden zu minimieren | ||
* Zur Gefahrenbeurteilung wird kein spezifisches Instrument eingesetzt und Risikomaßnahmenpläne werden in „Silos“ (abgeschotteten [[Team]]s) bearbeitet | * Zur Gefahrenbeurteilung wird kein spezifisches Instrument eingesetzt und Risikomaßnahmenpläne werden in „Silos“ (abgeschotteten [[Team]]s) bearbeitet | ||
=== Stufe 3 === | === Stufe 3 === | ||
| Zeile 113: | Zeile 113: | ||
=== Stufe 4 === | === Stufe 4 === | ||
; Ökonomisches, entscheidungsorientiertes Risikomanagement | ; Ökonomisches, entscheidungsorientiertes Risikomanagement | ||
; Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet | ; Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet | ||
* Es existiert ein umfassendes, Software gestütztes Risikomanagementsystem im Unternehmen, basierend auf einem starken Risikobewusstsein der Unternehmensführung | * Es existiert ein umfassendes, Software gestütztes Risikomanagementsystem im Unternehmen, basierend auf einem starken Risikobewusstsein der Unternehmensführung | ||
* Durch Aggregation der Einzelrisiken wird ein Gesamtrisikoumfang berechnet | * Durch Aggregation der Einzelrisiken wird ein Gesamtrisikoumfang berechnet | ||
* Mittels der [[Monte-Carlo-Simulation]] können „bestandsbedrohende Entwicklungen“ nach Kombination von Einzelrisiken deutlich gemacht werden | * Mittels der [[Monte-Carlo-Simulation]] können „bestandsbedrohende Entwicklungen“ nach Kombination von Einzelrisiken deutlich gemacht werden | ||
* Ziel ist es ein flexibles und bewegliches Risikomanagement zu schaffen, welches mit der Strategieentwicklung eng verknüpft ist | * Ziel ist es ein flexibles und bewegliches Risikomanagement zu schaffen, welches mit der Strategieentwicklung eng verknüpft ist | ||
* Im Idealfall soll es sich an unvorhergesehene Entwicklungen anpassen | * Im Idealfall soll es sich an unvorhergesehene Entwicklungen anpassen | ||
* Risiken sollten so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen liquide bleibt und sein Rating beibehalten kann | * Risiken sollten so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen liquide bleibt und sein Rating beibehalten kann | ||
* Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z. B. CAPM) erfolgen | * Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z. B. CAPM) erfolgen | ||
* Nicht nur in Hinsicht auf die Kostenreduzierung sollte das Unternehmen überlegen, ob es Unternehmensaktivitäten auslagert, sondern auch in Bezug auf die damit verbundene Risikosenkung | * Nicht nur in Hinsicht auf die Kostenreduzierung sollte das Unternehmen überlegen, ob es Unternehmensaktivitäten auslagert, sondern auch in Bezug auf die damit verbundene Risikosenkung | ||
* Diese Risikosenkung erfolgt auch bei einer breiten [[Diversifikation (Wirtschaft)|Diversifikation]] des Portfolios und einer Verlust- und Haftungsbeschränkung | * Diese Risikosenkung erfolgt auch bei einer breiten [[Diversifikation (Wirtschaft)|Diversifikation]] des Portfolios und einer Verlust- und Haftungsbeschränkung | ||
=== Stufe 5 === | === Stufe 5 === | ||
; Integriertes wertorientiertes Risikomanagement | ; Integriertes wertorientiertes Risikomanagement | ||
; Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft | ; Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft | ||
* Alle Planungen können Risiken zugeordnet werden (stochastische Planung), sodass sich daraus eine Planungssicherheit ermitteln lässt | * Alle Planungen können Risiken zugeordnet werden (stochastische Planung), sodass sich daraus eine Planungssicherheit ermitteln lässt | ||
* Daraus kann das Unternehmen den Wertbeitrag berechnen, „was eine am Unternehmenswert orientierte Optimierung der Risikobewältigung“ ermöglicht und womit strategische Züge in Bezug auf Risiken bewertet werden können | * Daraus kann das Unternehmen den Wertbeitrag berechnen, „was eine am Unternehmenswert orientierte Optimierung der Risikobewältigung“ ermöglicht und womit strategische Züge in Bezug auf Risiken bewertet werden können | ||
* Die Hypothese eines vollkommenen Kapitalmarktes wird verworfen und durch die realitätsnahe Betrachtung eines unvollkommenen Kapitalmarktes ersetzt | * Die Hypothese eines vollkommenen Kapitalmarktes wird verworfen und durch die realitätsnahe Betrachtung eines unvollkommenen Kapitalmarktes ersetzt | ||
* Alle Risiken, die bewertungsrelevant sind, werden berücksichtigt („Risikodeckungssatz“) | * Alle Risiken, die bewertungsrelevant sind, werden berücksichtigt („Risikodeckungssatz“) | ||
* Zum Bewerten und zur Portfoliooptimierung werden [[Risikomaß]]e, wie Eigenkapitalbedarf, [[Ausfallwahrscheinlichkeit]] und [[Value at Risk|Value-at-Risk]] verwendet | * Zum Bewerten und zur Portfoliooptimierung werden [[Risikomaß]]e, wie Eigenkapitalbedarf, [[Ausfallwahrscheinlichkeit]] und [[Value at Risk|Value-at-Risk]] verwendet | ||
=== Stufe 6 === | === Stufe 6 === | ||
| Zeile 140: | Zeile 140: | ||
; Risikoanalyse | ; Risikoanalyse | ||
Die Risikoanalyse beinhaltet die [[ex ante]] Integration unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und exogenen Risikofaktoren | Die Risikoanalyse beinhaltet die [[ex ante]] Integration unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und exogenen Risikofaktoren | ||
* Metarisiken, d. h. Unsicherheiten und Reaktionen von Wettbewerbern, sowie andere „Verhaltensrisiken“ und „Managementrisiken“ werden ebenfalls in die Bewertung mit einbezogen | * Metarisiken, d. h. Unsicherheiten und Reaktionen von Wettbewerbern, sowie andere „Verhaltensrisiken“ und „Managementrisiken“ werden ebenfalls in die Bewertung mit einbezogen | ||
* Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird | * Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird | ||
<noinclude> | <noinclude> | ||
Aktuelle Version vom 17. November 2024, 00:04 Uhr
Reifegrad - Qualität eines Managementsystems
Reifegradmodelle
Qualität des Informationssicherheitsprozesses
- Bewertung mit Reifegraden
Hierzu muss das über Jahre hinweg analysiert und bewertet werden
- Maßstab
Der Maßstab für die „Reife“ des gesamten oder aber auch von Teilen hiervon ist der Grad der Strukturierung und der systematischen Steuerung des Prozesses
- Ziel der Anwendung eines Reifegradmodells
- Qualität aller Teilbereiche des ISMS zu erhöhen
- Durch regelmäßige Analysen können Sie überprüfen, welche Prozesse noch unzureichend gesteuert sind
Die folgende Grafik stellt beispielhaft die erreichten Reifegrade verschiedener Themenfelder in einer Institution dar
- Wo der Reifegrad niedrig ist, besteht ein besonderer Handlungsbedarf
Reifegradmodelle können dabei unterstützen, Schwerpunkte für die Weiterentwicklung eines ISMS zu setzen
Beispiel
Beispiel für die Definition von Reifegraden
- Reifegrade und ihre Merkmale
| Reifegrad | Kennzeichen |
|---|---|
| 0 | Es existiert kein Prozess, es gibt auch keine Planungen hierzu |
| 1 | Es gibt Planungen zur Etablierung eines Prozesses, jedoch keine Umsetzungen |
| 2 | Teile des Prozesses sind umgesetzt, es fehlt jedoch an systematischer Dokumentation |
| 3 | Der Prozess ist vollständig umgesetzt und dokumentiert |
| 4 | Der Prozess wird darüber hinaus auch regelmäßig auf Effektivität überprüft |
| 5 | Zusätzlich sind Maßnahmen zur kontinuierlichen Verbesserung vorhanden |
Beschreibung
- „Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells.“
- Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden sowie alle vorhergehenden Stufen erreicht sein
- Reife wird nach Rosemann und De Bruin definiert als „a measure to evaluate the capabilities of an organisation“ – ein Maß, um die Fähigkeiten einer Organisation zu bewerten
- Reifegradmodelle des Risikomanagements
Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen (Benchmarking)
- Sie bestehen aus Reifegradstufen, Dimensionen und Bewertungsinstrumenten
- Eine Entwicklung kann top-down oder bottom-up erfolgen
- Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden
- Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert
- Dafür werden zum Beispiel Kreativitätstechniken, Delphi-Methode oder Fokusgruppenbefragung verwendet
- Risikomanagement ist ein Erfolgsfaktor für jedes Unternehmen
Es sollten möglichst viele Mitarbeiter integriert werden um der Unternehmensführung die Möglichkeit zu geben Risiken richtig zu erfassen, die Erträge und Risiken richtig bewerten und in die Praxis umzusetzen
- Das wird allerdings erst in der 4. Stufe erreicht
- Die Geschäftsführung muss „Oberster Risikomanager“ sein, weil sie maßgebliche Entscheidungen über den Risikoumfang trifft
- Hierbei sollten Strategien und feste organisatorische Muster und Methoden angewandt werden, um sicherzustellen, dass mögliche „bestandsbedrohende Entwicklungen“ bereits früh erkannt werden
Reifegradmodell nach Gleißner und Mott
| Stufen | Titel | Beschreibung |
|---|---|---|
| 1 | Kein Risikomanagement | Unzureichendes Risikobewusstsein |
| 2 | Schadensmanagement | Existenz von Risiken ist bekannt |
| 3 | Regulatorisches Risikomanagement | „KonTraG-Risikomanagement“ |
| 4 | Ökonomisches, entscheidungsorientiertes Risikomanagement | Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet |
| 5 | Integriertes wertorientiertes Risikomanagement | Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft |
| 6 | Embedded Risikomanagement (holistisch) | Embedded Risikomanagement |
Stufe 1
- Kein Risikomanagement
- Leitungsebene hat ein unzureichendes Risikobewusstsein
- Kein systematisches Vorgehen im Umgang mit Risiken
- Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur sporadisch statt
Stufe 2
- Schadensmanagement
- Existenz bestimmter Risiken ist bekannt
- Es werden bewusst Maßnahmen eingeleitet, die Gefahren verhindern sollen
- Regelungen, wie Umweltschutz und Arbeitsschutz, finden dabei auch Berücksichtigung
- Bei selteneren und größeren Risiken werden Versicherungen abgeschlossen, um Schäden zu minimieren
- Zur Gefahrenbeurteilung wird kein spezifisches Instrument eingesetzt und Risikomaßnahmenpläne werden in „Silos“ (abgeschotteten Teams) bearbeitet
Stufe 3
- Regulatorisches Risikomanagement
„KonTraG-Risikomanagement“
- Unternehmen besitzt ein kontinuierliches Risikomanagementsystem
- Risiken werden ständig überwacht und bewertet
- Die Gesamtheit der Risiken bilden das sog. Risikoinventar
- Informationen wie Umfang, Verantwortlichkeit und Turnus werden gemäß dem KonTraG schriftlich fixiert
- Für die wichtigen Risiken werden Risikobewältigungsstrategien entwickelt, dafür werden die Risiken hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit quantifiziert und bewertet
- Am Ende erfolgt eine einfache Risikoaggregation
Stufe 4
- Ökonomisches, entscheidungsorientiertes Risikomanagement
- Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet
- Es existiert ein umfassendes, Software gestütztes Risikomanagementsystem im Unternehmen, basierend auf einem starken Risikobewusstsein der Unternehmensführung
- Durch Aggregation der Einzelrisiken wird ein Gesamtrisikoumfang berechnet
- Mittels der Monte-Carlo-Simulation können „bestandsbedrohende Entwicklungen“ nach Kombination von Einzelrisiken deutlich gemacht werden
- Ziel ist es ein flexibles und bewegliches Risikomanagement zu schaffen, welches mit der Strategieentwicklung eng verknüpft ist
- Im Idealfall soll es sich an unvorhergesehene Entwicklungen anpassen
- Risiken sollten so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen liquide bleibt und sein Rating beibehalten kann
- Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z. B. CAPM) erfolgen
- Nicht nur in Hinsicht auf die Kostenreduzierung sollte das Unternehmen überlegen, ob es Unternehmensaktivitäten auslagert, sondern auch in Bezug auf die damit verbundene Risikosenkung
- Diese Risikosenkung erfolgt auch bei einer breiten Diversifikation des Portfolios und einer Verlust- und Haftungsbeschränkung
Stufe 5
- Integriertes wertorientiertes Risikomanagement
- Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft
- Alle Planungen können Risiken zugeordnet werden (stochastische Planung), sodass sich daraus eine Planungssicherheit ermitteln lässt
- Daraus kann das Unternehmen den Wertbeitrag berechnen, „was eine am Unternehmenswert orientierte Optimierung der Risikobewältigung“ ermöglicht und womit strategische Züge in Bezug auf Risiken bewertet werden können
- Die Hypothese eines vollkommenen Kapitalmarktes wird verworfen und durch die realitätsnahe Betrachtung eines unvollkommenen Kapitalmarktes ersetzt
- Alle Risiken, die bewertungsrelevant sind, werden berücksichtigt („Risikodeckungssatz“)
- Zum Bewerten und zur Portfoliooptimierung werden Risikomaße, wie Eigenkapitalbedarf, Ausfallwahrscheinlichkeit und Value-at-Risk verwendet
Stufe 6
- Embedded Risikomanagement
- Ganzheitlich
- Die Bewertung des risikogerechten Ertragswertes oder des Risikonutzens spiegelt die Risikopräferenz des Eigentümers wider
- Bildet die Grundlage für strategische und operative Entscheidungen
- Risikoanalyse
Die Risikoanalyse beinhaltet die ex ante Integration unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und exogenen Risikofaktoren
- Metarisiken, d. h. Unsicherheiten und Reaktionen von Wettbewerbern, sowie andere „Verhaltensrisiken“ und „Managementrisiken“ werden ebenfalls in die Bewertung mit einbezogen
- Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird
Anhang
Siehe auch
Links