|
|
(151 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''Risikomanagement''' - [[Management]] von Risiken | | '''Risikomanagement''' - [[Management]] von [[Risiko|Risiken]] |
|
| |
|
| == Beschreibung == | | == Beschreibung == |
| '''Risikomanagement''' übernimmt in [[Unternehmen]] das [[Management]] von [[Risikobericht#Branchenübergreifende Risikoarten|Unternehmensrisiken]]
| | ; Planvoller Umgang mit Risiken |
| * [[Risikoidentifikation]]
| | [[Chance]]n und [[Gefahr]]en |
| * [[Risikoanalyse]]
| |
| * [[Risikoquantifizierung]]
| |
| * [[Risikoaggregation]]
| |
| * [[Risikobeurteilung]]
| |
| * [[Risikobewertung]]
| |
| * [[Risikokommunikation]]
| |
| * [[Risikobewältigung]]
| |
|
| |
|
| Das Risikomanagement umfasst Risikobeurteilung, Risikobewältigung und Risikokommunikation, wobei die Risikobeurteilung in die Teilbereiche Risikoidentifikation, Risikoanalyse und Risikobewertung untergliedert ist.
| | == Risikomanagement == |
| | * [[Aufgabe (Pflicht)|Aufgabe]] von [[Unternehmen]] und [[Behörde]]n |
| | * [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]] |
|
| |
|
| Ein Risikomanagement kann erst mit der [[Risikowahrnehmung]] beginnen, sie ist die Voraussetzung dafür, dass Risiken überhaupt erkannt und entdeckt werden können.
| | ; Risikomanagement ist nach der Norm [[ISO 31000]] |
| * Hierbei ergibt sich bereits das Problem, dass verschiedene [[Risikoträger]] dasselbe Risiko unterschiedlich oder gar nicht wahrnehmen.
| | Führungsaufgabe |
| | * im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden |
|
| |
|
| Erfolgt die Risikowahrnehmung fehlerhaft als [[selektive Wahrnehmung]], so werden nur bestimmte Risiken wahrgenommen, andere vorhandene jedoch ausgeblendet.
| | ; Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen |
| * Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus. | | * Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden |
| | * Methoden der Risikoermittlung |
| | * Verantwortlichkeiten bei Risikoentscheidungen, |
| | * Bereitstellung von Ressourcen zur Risikoabwehr, |
| | * Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) |
| | * Qualifikation des Personals für das Risikomanagement |
|
| |
|
| == Aufgaben des Risikomanagements ==
| | ; Risikomanagement ist ein fortlaufender [[Prozess]] ([[Demingkreis]]<nowiki>:„Plan-Do-Check-Act“)</nowiki> |
| Das Risikomanagement ist eine [[Aufgabe (Pflicht)|Aufgabe]], die einer [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]] in [[Unternehmen]] oder [[Behörde]]n zugeordnet ist.
| | * Planung |
| * Risikomanagement ist nach der Norm [[ISO 31000]]: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden. | | * Umsetzung |
| * Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen. | | * Überwachung |
| * Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen. | | * Verbesserung |
|
| |
|
| Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1: Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen. | | Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen |
| | * Eine Kultur der Risikolenkung in der Organisation entstehen lassen |
|
| |
|
| Risikomanagement wird als ein fortlaufender [[Prozess]] verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden ([[Demingkreis]]: | | ; Norm ISO 31000 |
| „Plan-Do-Check-Act“).
| | Beschreibt Grundsätze und Verfahren zum Risikomanagement |
| * Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen. | | * Allgemein gültig |
| | * Kann in allen Bereichen, in denen Risiken existieren, angewendet werden |
| | * Ist nicht auf eine spezifische Branche beschränkt |
|
| |
|
| Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein.
| | ; Risikofrüherkennungssystem |
| * Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten. | | Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018) |
| | * Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen |
| | * Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]]) |
| | * Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz |
| | * Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]] |
|
| |
|
| Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018).
| | Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen |
| * Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen.
| |
| * Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]]).
| |
| * Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz.
| |
| * Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]].
| |
|
| |
|
| Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen.
| | ; Risikomanagement-Prozesse |
| | {| class="wikitable options" |
| | |- |
| | ! Prozess !! Beschreibung |
| | |- |
| | | Identifikation || der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen |
| | |- |
| | | Analyse || der identifizierten Risiken hinsichtlich ihrer [[Eintrittswahrscheinlichkeit]]en und möglichen Auswirkungen |
| | |- |
| | | Risikobewertung || durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z. B. aus Standards und Normen) |
| | |- |
| | | Risikobewältigung/Risikobeherrschung || durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen |
| | |- |
| | | Risikoüberwachung || mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren) |
| | |- |
| | | Risikoaufzeichnungen || zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden |
| | |} |
|
| |
|
| Der Risikomanagement-Prozess umfasst im Einzelnen:
| | Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software |
| | * Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren |
|
| |
|
| | ; Methoden |
| | * BSI-Standard 200-3 |
| | : Risikoanalyse auf der Basis von IT-Grundschutz |
| | * Klassische Risikoanalyse |
| | : ISO 27001, 27005, 31000 |
| | * Penetrationstest |
| | * Differenz-Sicherheitsanalyse |
|
| |
|
| | ; Integriertes Managementsysteme |
| | Querschnittsfunktion des Risikomanagements |
| | # https://de.wikipedia.org/wiki/Integriertes_Managementsystem |
|
| |
|
| * Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
| | == Motivation == |
| * Analyse der identifizierten Risiken hinsichtlich ihrer [[Eintrittswahrscheinlichkeit]]en und möglichen Auswirkungen
| | [[Risikomanagement/Motivation]] |
| * Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z.
| |
| * B.
| |
| * aus Standards und Normen)
| |
| * Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
| |
| * Risikoüberwachung mit Hilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
| |
| * Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
| |
|
| |
|
| Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software.
| | == Phasen == |
| * Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren.
| | ; Managementkreislauf |
| | : Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar |
|
| |
|
| | ; Risikomanagement umfasst die Phasen |
| | * Plan |
| | * Do |
| | * Check |
| | * Act |
|
| |
|
| == Begriffe des Risikomanagements == | | == Aufgaben == |
| * ''[[Risikoanalyse]]'': wird zur Identifikation und Bewertung von Risiken eingesetzt.
| | {| class="wikitable sortable options" |
| * Im technischen Bereich kommt die [[probabilistische Sicherheitsanalyse]] zur Anwendung.
| | |- |
| * ''[[Risikoidentifikation]]'': erstellt eine Liste der verschiedenen Risiken, im Fall von technischen Systemen anhand der Funktionsanforderungen (unabhängig von einer technischen Ausführung).
| | ! Aufgabe !! Beschreibung |
| * Hilfsmittel sind: Szenario-Technik, Post-Mortem-Analyse, Expertenbefragungen, [[Delphi-Methode]], Kreativitätstechniken, [[Fehlermöglichkeits- und Einflussanalyse]], Risikoworkshops, Checklisten (Gefährdung: Liste der Gefährdungen im Arbeitsschutz), Analyse möglicher Gefährdungen ([[PAAG-Verfahren|Hazard and Operability Study]]),
| | |- |
| A.
| | | [[Risikowahrnehmung]]|| |
| * Schlagbauer: {{Webarchiv |url=http://www2.cs.uni-paderborn.de/cs/ag-schaefer/Lehre/Lehrveranstaltungen/Seminare/AEIzS/Abgaben/Ausarbeitung/ASchlagbauer.pdf |text=''Gefahrenanalyse mittels HAZOP anhand eines Beispiels.'' |wayback=20160413203429}} Universität Paderborn, Informatik AG Schäfer.
| | |- |
| </ref> Auswertung der Erfahrungen (industrielle Unfälle, Insolvenzen) aus vergleichbaren Unternehmensbereichen.
| | | [[Risikoidentifikation]]|| |
| [[Datei:Risikograph.png|mini|Beispiel für eine Risikomatrix]]
| | |- |
| * ''[[Risikomatrix]]'': wird zur detaillierten Erfassung und Bewertung des Gesamtrisikos eines Unternehmens, einer technischen Anlage oder eines Unternehmens- oder technischen Prozesses verwendet, indem die ermittelten Risikofaktoren in eine Matrix (Risikoportfolio, Risikomatrix) mit den Dimensionen [[Eintrittswahrscheinlichkeit]] und Schadensausmaß eingetragen werden.
| | | [[Risikoanalyse]]|| |
| | | |- |
| * ''[[Risikovermeidung]]'': durch Unterlassung einer risikobehafteten Aktivität.
| | | [[Risikobewertung]]/[[Risikoquantifizierung]] || Risikobeurteilung |
| * ''[[Risikominderung]]'': reduziert das Risikopotenzial auf ein akzeptables Maß bzw.
| | |- |
| * versucht, die Eintrittswahrscheinlichkeiten von Risiken zu reduzieren.
| | | [[Risikoaggregation]]|| |
| * ''[[Risikokommunikation]]'': die Risikoergebnisse werden – in transparenter und nachvollziehbarer Weise – für die Entscheidungsfindung über die Vertretbarkeit des Risikos durch den Risikoträger unter Einbeziehung von Sachverständigen sowie für die durch das Risiko betroffenen Personen in der Anlage und in der Anlagenumgebung veröffentlicht.
| | |- |
| * ''Risikoakzeptanz'': sie wird erreicht, wenn das Risiko unter den gegebenen gesellschaftlichen Rahmenbedingungen und unter Beachtung eventueller Restrisiken als vertretbar bewertet wird.
| | | [[Risikobeurteilung]]|| |
| * ''[[Restrisiko]]'': ist das Risiko, welches nach der Anwendung von Schutzmaßnahmen verbleibt.)
| | |- |
| * ''[[Grenzrisiko]]'': ist das größte noch vertretbare Risiko bei Einhaltung vorgegebener Standards ([[Stand der Technik]] / Sicherheitstechnik) (Siehe auch [[Minimale endogene Mortalität]] und ist ein Maß für das akzeptierte – unvermeidliche – Risiko.)
| | | [[Risikokommunikation]]|| |
| * ''[[Risikowahrnehmung]]'': wird entsprechend der Einflussgrößen von Freiwilligkeit, Kontrolle, Vertrauen und Katastrophenpotential (nach den Grundannahmen der Psychologie) als inhärent subjektiv empfunden.
| | |- |
| * ''[[Risikodiversifikation]]'': durch die Aufteilung des [[Vermögen (Wirtschaft)|Vermögens]] auf verschiedene Vermögensmassen oder technische [[Redundanz (Technik)#Industrielle Anwendungen|Redundanzen]].
| | | [[Risikobewältigung]]|| |
| * ''[[Risikotransfer]]'': durch Übertragung des Risikos auf Dritte, indem der [[Risikoträger]] wechselt (z.
| | |- |
| * B.
| | | [[Risikoinformationen]]|| |
| * auf ein [[Versicherungsunternehmen]]).
| | |- |
| * ''[[Risikocontrolling|Risikokontrolle]]'': durch Überwachung der identifizierten, aktuellen Risiken (Risiko-Indikatoren) und Einhaltung vorgegebener Grenzwerte.
| | | [[Risikosteuerung]] || |
| * ''Risikoindikatoren'': Messung von Systemgrößen, die Aufschluss über die Risiken (Risikokennzahlen) geben (Empfindlichkeit / Sensitivität eines Systems gegenüber äußeren Einflüssen).
| | |- |
| * In der Sicherheitstechnik wird der Begriff [[Sicherheitsindikator]] verwendet.
| | | [[Risikocontrolling]] || |
| * In der [[Finanzwirtschaft]] werden die Indikatoren unterschieden:
| | |} |
| ** ''Lagging indicators'': die sich verändern, nachdem sich die Finanzwirtschaft als Ganzes verändert hat.
| |
| ** ''Leading indicators'': die sich verändern, bevor sich die Finanzwirtschaft als Ganzes verändert.
| |
| * ''[[Risikoaggregation]]'': ist eine Zusammenfassung aller Einzelrisiken, wobei die Einzelrisiken entsprechend ihrer relativen Bedeutung auf die Unternehmensentwicklung gewichtet werden, und nicht durch deren einfache Addition der Einzelrisiken.
| |
| * Dieses kann durch Simulation der Faktoren zur Ermittlung des Gesamtrisikos des Systems erfolgen (Verwendung z.
| |
| * B.
| |
| * zur Bestimmung des [[Marktrisiko|„Marktpreisrisikos“]]).
| |
| * ''Risikoreporting'': Erzeugung und Übermittlung von Informationen über Chancen und Risiken als [[Risikobericht]].
| |
| * Wesentliche Ziele des Risikoreportings sind: Schaffung von Transparenz über Risikosituation, die [[Entscheidungsvorbereitung]] über Risikosteuerungsmaßnahmen und die Unterstützung der Risikoüberwachung.
| |
| * ''Risikointerdependenz'': Abhängigkeiten von Risiken: Unabhängige Risiken beeinflussen einander nicht, positiv [[Korrelation|korrelierte]] Risiken verstärken einander, negativ korrelierte Risiken schwächen einander ab. Üblicherweise wird die statistische Abhängigkeit von Risiken zunächst auf [[Plausibilität]] geprüft und mittels eines [[Korrelationskoeffizient]]en quantifiziert.
| |
| * ''[[Risikotragfähigkeit]]'': Fähigkeit, die Folgen schlagend gewordener Risiken auffangen zu können.
| |
| * ''[[Risikovorsorge]]'': Zur Tragfähigkeit des Restrisikos muss durch Risikovorsorge Vorkehrung getroffen werden, wobei z. B.
| |
| * finanzielle Reserven ([[Rücklage]]n), [[Rückstellung]]en aber auch [[Überbestand|Überbestände]] an Material, Personal, u. ä.
| |
| * gebildet werden können.
| |
| * ''ALARP-Prinzip'' ([[ALARP]]: '''''A'''s '''L'''ow '''A'''s '''R'''easonably '''P'''racticable'') bedeutet, die Risiken sollen auf ein vernünftiges und durchführbares Maß minimiert werden.
| |
| * In einer Risiko-Nutzen-Analyse kann abgeschätzt werden, ob der Nutzen des Produkts das Restrisiko überwiegt.
| |
| * ''[[RAMS]]''-Management: stellt sicher, dass Systeme definiert, Risikoanalysen durchgeführt, Gefährdungsraten ermittelt, detaillierte Prüfungen gemacht und Sicherheitsnachweise erstellt werden (im englischen RAMS: '''R'''eliability, '''A'''vailability, '''M'''aintainability, '''Sa'''fety / [[Reliabilität|Zuverlässigkeit]], [[Verfügbarkeit]], [[Instandhaltbarkeit]], [[Sicherheit]]).
| |
| | |
| == Anwendungsbereiche ==
| |
| === Unternehmensrisiken ===
| |
| Das [[Risikobericht#Branchenübergreifende Risikoarten|Unternehmensrisiko]] findet zunächst in der [[Volatilität]] des Ergebnisses (Gewinn oder Verlust) seinen Niederschlag, die durch statistische Analysen oder zukunftsorientiert mittels [[Risikoaggregation]] bestimmbar ist.
| |
| * Gemeint ist die durch Unvorhersehbarkeit der Zukunft bestehende Möglichkeit von betrieblichen Zielen abzuweichen.
| |
| * Die extreme Ausprägung des Unternehmensrisikos wird [[Insolvenzrisiko]] genannt und drückt die [[Wahrscheinlichkeit]] aus, dass das Unternehmen wegen [[Zahlungsunfähigkeit]] und/oder [[Überschuldung]] seinen Verpflichtungen nicht oder nicht in voller Höhe nachkommen kann.
| |
| * Die vom aggregierten Risikoumfang, aber auch der Risikotragfähigkeit ([[Eigenkapital]]) und der [[Ertragskraft]], abhängige Insolvenzwahrscheinlichkeit wird durch das [[Rating]] ausgedrückt (siehe auch [[Ratingprognose]] und [[Insolvenzprognoseverfahren]]).
| |
| | |
| Eine [[Insolvenz]] kann auf verschiedene Faktoren zurückgeführt werden, wobei allgemein zwischen internen und externen Insolvenzursachen differenziert wird.
| |
| * Interne Ursachen betreffen die Aktivitäten, die unmittelbar vom Unternehmen selbst ausgehen und schließlich zur Insolvenz führen.
| |
| * Hierbei kann es sich beispielsweise um Fehlplanungen oder Fehleinschätzungen des Managements handeln.
| |
| * Externe Insolvenzursachen betreffen Faktoren, die von außen auf das Unternehmen einwirken, beispielsweise strukturelle und konjunkturelle Veränderungen des Unternehmensumfelds sowie Markteintritte von neuen Wettbewerbern.
| |
| | |
| Aktiengesellschaften müssen nach dem [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich]] ({{§|91|aktg|juris}} Abs. 2 [[Aktiengesetz (Deutschland)|AktG]]) zur frühzeitigen Erkennung von Risiken ein Überwachungssystem einrichten, um den Fortbestand der Gesellschaft gegen gefährliche Entwicklungen zu sichern.
| |
| * Der Vorstand der AG steht dabei in der obersten Verantwortung.
| |
| * Eine Verpflichtung des Vorstandes zur Einrichtung eines Überwachungssystems bestand nach dem {{§|76|aktg|juris}} AktG bereits vor Inkrafttreten des KonTraG.
| |
| | |
| === Risikomanagement in der Finanzdienstleistung ===
| |
| ;Kreditinstitute
| |
| Für [[Kreditinstitut]]e unterteilt man das betriebswirtschaftliche Gesamtrisiko in ein [[operationelles Risiko]] (z. B.
| |
| * durch Ausfälle in der IT), das [[Kreditrisiko#Kreditrisikomanagement|Kreditrisiko]] (d. h.
| |
| * den Ausfall von Kreditnehmern), das [[Kontrahentenrisiko]] (d. h.
| |
| * den Ausfall von [[Kontrahent]]en bei Handelsgeschäften) als besonderen Teil des Kreditrisikos, das [[Liquiditätsrisiko]] (fällige Gelder können nicht aus den flüssigen Mitteln bedient werden), [[Marktliquiditätsrisiko]] (Geschäfte können auf Grund mangelnder [[Marktliquidität]] nicht zu den erwarteten Bedingungen abgeschlossen werden) und das [[Marktrisiko]] (z. B. [[Wechselkursrisiko]], [[Zinsänderungsrisiko]]).
| |
| * In der Praxis wird oftmals das [[Reputationsrisiko]] (Risiko des Ansehensverlustes durch geschäftspolitische Entscheidungen o. Ä.) separat vom operationellen Risiko betrachtet.
| |
| * Die Häufung von risikobehafteten [[Exposure (Finanzwirtschaft)|Engagements]], die (z. B.
| |
| * aufgrund von Branchenrisiken oder Länderrisiken) in engem Zusammenhang stehen, bezeichnet man in der Kreditwirtschaft auch als [[Klumpenrisiko]].
| |
| | |
| Dabei tragen die Kreditinstitute [[Liquiditätsrisiko|Liquiditätsrisiken]], als [[Finanzintermediär]]e übernehmen sie außerdem die [[Fristentransformation|Fristen-]], [[Losgrößentransformation|Losgrößen-]] und [[Risikotransformation|Transformationsrisiken]].
| |
| | |
| Die [[Mindestanforderungen an das Risikomanagement (BA)]] für die [[Kreditinstitut]]e und Finanzdienstleistungsinstitute in Deutschland geben einen Rahmen für ein angemessenes und wirksames Risikomanagement vor.
| |
| | |
| | |
|
| |
| Er soll dazu dienen, Missständen im Kredit- und Finanzdienstleistungswesen entgegenzuwirken.
| |
| * Die Prozesse des Risikomanagements betreffen:
| |
| * Identifizierung,
| |
| * Beurteilung,
| |
| * Steuerung sowie
| |
| * Überwachung und Kommunikation der wesentlichen Risiken.
| |
| Das Institut hat geeignete Indikatoren für die frühzeitige Identifizierung von Risiken abzuleiten, die die Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen und eines Risikofrüherkennungs- und Risikoklassifizierungsverfahrens ermöglichen.
| |
| | |
| Zur Anwendung der Risikoquantifizierung wird festgestellt:
| |
| ''Da jegliche Methoden und Verfahren zur Risikoquantifizierung die Realität nicht vollständig abzubilden vermögen, ist dem Umstand, dass die Risikowerte Ungenauigkeiten aufweisen oder das Risiko unterschätzen könnten, bei der Beurteilung der Risikotragfähigkeit hinreichend Rechnung zu tragen.''
| |
| | |
| In diesem Zusammenhang steht auch die Forderung: ''Bedeutende Schadensfälle sind unverzüglich hinsichtlich ihrer Ursachen zu analysieren.'' Es dient dazu, Systemschwachstellen und Unzulänglichkeiten in den Risikomodellen zu erkennen sowie der statistischen Ermittlung von Schadenshäufigkeiten (Erfahrungsrückfluss).
| |
| | |
| Die Mindestanforderungen an das Risikomanagement für die Kreditinstitute geben einen Rahmen für die Einhaltung der Treuepflicht bei der Verfügung fremden Vermögens vor.
| |
| * Im Fall der Verletzung der Treuepflicht (Missbrauch) kommt die Strafbarkeit der [[Untreue (Deutschland)|Untreue]] gemäß {{§|266|stgb|juris}} [[Strafgesetzbuch (Deutschland)|StGB]] zur Anwendung.
| |
| | |
| ;Versicherungswirtschaft
| |
| Für Versicherungsunternehmen zählt die Übernahme von Risiken zum eigentlichen [[Geschäftsmodell]].
| |
| * Versicherungen begrenzen die [[Wahrscheinlichkeit]] einer überdurchschnittlichen Belastung durch Schadensfälle durch die Größe des [[Versicherung (Kollektiv)|Versicherungskollektivs]], darüber hinaus in erster Linie durch [[Rückversicherung]], mit deren Hilfe sie Großschäden und [[Kumul (Versicherungswesen)|Kumulrisiken]] begrenzen.
| |
| | |
| Versicherungstechnische Risiken spielen im [[Versicherungsmarkt]] als Vorstufe zur [[Versicherer|Versicherung]] eine zentrale Rolle.
| |
| * Bevor ein Risiko richtig versichert werden kann, muss es erkannt, bewertet und der Umgang mit dem Risiko festgelegt werden.
| |
| | |
| Die europäische Richtlinie [[Solvabilität II]] stellt umfangreiche Anforderungen an das Risikomanagement in Versicherungsunternehmen.
| |
| | |
| == Risikoarten ==
| |
| [[Risikoarten]]
| |
| | |
| == Reifegradmodelle ==
| |
| [[Reifegradmodelle]]
| |
| | |
| == Mathematische Größen im Risikomanagement ==
| |
| | |
| * [[Gewinn]]
| |
| * [[Korrelationskoeffizient]]
| |
| * [[Mittelwert]], [[Erwartungswert]]
| |
| * [[Performance (Risikomanagement)]]
| |
| * [[Rendite]]
| |
| ** Annualisierte Rendite
| |
| ** Arithmetische Rendite
| |
| ** Geometrische Rendite
| |
| * [[Risikomaße]]
| |
| * [[Standardabweichung (Wahrscheinlichkeitstheorie)|Standardabweichung]]
| |
| * Stetige, [[logarithmierte Rendite]]
| |
| * [[Value at Risk]]
| |
| * [[Varianz (Stochastik)|Varianz]]
| |
| * [[Volatilität]]
| |
| | |
| == Psychologische Aspekte ==
| |
| | |
| === Risikowahrnehmung ===
| |
| Bei der subjektiven Einschätzung, wie relevant und wahrscheinlich ein [[Risiko]] ist, spielen die psychologischen Aspekte eine bedeutende Rolle.
| |
| * Die Risikowahrnehmung ist u. a.
| |
| * abhängig von persönlichen Erfahrungen, Erziehung, Moralvorstellung oder dem Bildungshintergrund.
| |
| * Die intuitive Risikowahrnehmung ist gleichzusetzen mit dem wahrgenommenen Risiko.
| |
| | |
| | |
| Die Risikowahrnehmung ist beeinflusst durch qualitative Risikomerkmale.
| |
| * Die Eigenschaften der Risikoquelle beachten das Ausmaß der Folgen sowie die Gewöhnung an diese Quelle.
| |
| * Die Eigenschaften der Risikosituation behandeln die persönliche Kontrollmöglichkeit und die Eindeutigkeit der Gefahreninformation.
| |
| | |
| | |
| | |
| Der Mensch strebt nach Sicherheit und vollkommener Kontrolle.
| |
| * Es fällt ihm schwer, eine Risikoeinschätzung rein rational und objektiv vorzunehmen.
| |
| * Zu unterscheiden ist in das intuitive sowie rationale Denken.
| |
| | |
| Das intuitive Denken erfolgt schnell und häufig unterbewusst, es wird nicht willentlich gesteuert.
| |
| * Die zu behandelnden Probleme sind bekannt und können deshalb spontan und mit dem vorhandenen Wissen gelöst werden.
| |
| * Entscheidungen kosten wenig Anstrengung.
| |
| * Aus mangelnder Erfahrung benötigt das rationale Denken mehr Zeit und erzeugt eine bewusste, kognitive Anstrengung.
| |
| * Um eine Fragestellung lösen zu können, ist gezielte Konzentration notwendig.
| |
| * Ursachen von Fehlhandlungen und subjektive Bewertungen von Risiken können mit Hilfe der [[Strukturlegetechnik]] abgebildet und kommunikativ evaluiert werden.
| |
| | |
| === Entscheidungstheorie unter psychologischen Gesichtspunkten ===
| |
| Die [[Entscheidungstheorie]] geht davon aus, dass [[Entscheidung]]en rational getroffen und Informationen in unbegrenzter Größe aufgenommen und verarbeitet werden können.
| |
| * Emotionale, zufällige Entscheidungen werden außen vor gelassen.
| |
| * Es geht somit verstärkt darum vorzugeben, wie eine Entscheidung getroffen werden soll, nicht wie die Umsetzung in der Realität aussieht.
| |
| * Der [[Homo oeconomicus]] gilt im Modell als idealer Entscheider.
| |
| * Er entscheidet sich anhand seiner persönlichen [[Präferenz (Wirtschaftswissenschaften)|Präferenzen]] und vorliegender [[Nebenbedingung|Restriktionen]].
| |
| | |
| Abweichend von der Theorie des [[Homo oeconomicus]] agiert der wirtschaftlich handelnde Mensch nicht vollständig rational und ist nicht vollständig informiert.
| |
| * Seine Präferenzen verändern sich mit der Zeit und damit auch seine Handlungen.
| |
| * Die persönlichen Ziele sind nur schwer messbar, ihre Entstehung und Veränderung wird nicht erklärt.
| |
| | |
| Problemlösungen werden durch heuristische Strategien bewältigt.
| |
| * Hierbei geht es um die Befriedigung der Ansprüche, nicht um die Erreichung des Optimums.
| |
| * Die meisten Entscheidungen werden intuitiv gefällt, um Komplexität zu reduzieren.
| |
| | |
| Die [[Prospect Theory]] beschreibt das risikoscheue Verhalten bei Gewinnchancen sowie ein risikofreudiges Verhalten bei möglichen Verlusten.
| |
| * Bei kognitiven [[Heuristik]]en werden gut zugängliche, vorhandene Informationen genutzt, um einen Sachverhalt unter geringem Aufwand einzuschätzen.
| |
| * Sogenannte [[Kognitive Verzerrung|Biases]] bezeichnen Fehlurteile, die auf Basis dieser Faustregeln getroffen werden.
| |
| | |
| | |
| Die Beurteilung von [[Wahrscheinlichkeit]]en und die Vorhersage von Werten unterscheiden [[Kahneman]] und [[Amos Tversky|Tversky]] drei Heuristiken:
| |
| * ''[[Repräsentativitätsheuristik]]'': Es wird die Übereinstimmung einer Kategorie bzw.
| |
| * Klasse mit einer [[Stichprobe]] überprüft.
| |
| * Die Wahrscheinlichkeit der Zugehörigkeit steigt mit der Anzahl der zutreffenden Eigenschaften des speziellen Sachverhaltes mit dem klassischen Fall.
| |
| * Basisraten werden zu Gunsten von konkreten Informationen zum Einzelfall vernachlässigt, was zu Fehlentscheidungen führen kann.
| |
| * ''[[Verfügbarkeitsheuristik]]'': Je einfacher Informationen zugänglich und abrufbar sind, desto wahrscheinlicher ist eine Entscheidungsfindung anhand der bekannten Beispiele.
| |
| * Ein Ereignis, das leicht im Kopf aufrufbar ist, scheint besonders häufig einzutreten.
| |
| * Die Beurteilung anhand von Erfahrungen kann durch mediale oder persönliche Einflüsse verfälscht werden.
| |
| * ''[[Ankerheuristik]]/[[Anpassungsheuristik]]'': Als Ausgangswert für eine Entscheidung dient ein Anker, der im weiteren Verlauf durch Umgebungseinflüsse verändert und angepasst wird.
| |
| * Es handelt sich um eine [[Urteilsheuristik]], bei der das Ergebnis eine Verzerrung in Richtung des Startwertes enthält.
| |
| | |
| === Umgang mit Risiken ===
| |
| Die persönliche Einschätzung eines Risikos variiert stark, weshalb keine Standardisierung des Umfangs möglich ist.
| |
| * Um eine Einschätzung vornehmen zu können, müssen Risiken erfasst und Konsequenzen gesammelt werden, um abschließend die [[Eintrittswahrscheinlichkeit]]en abzuschätzen.
| |
| * Das menschliche Unterbewusstsein wird dabei durch Erfahrungen bei der Entscheidungsfindung beeinflusst.
| |
| * Je leichter verfügbar Informationen bezüglich eines Risikos sind, desto wahrscheinlicher erscheinen sie.
| |
| * Risiken, die stärker thematisiert werden, werden somit mit einer höheren Wahrscheinlichkeit eingeschätzt, obwohl die Fakten dagegen sprechen.
| |
| | |
| Wenn ein Risiko beurteilt werden soll, erfolgt häufig ein Vergleich mit ähnlichen Risiken und ihren Wahrscheinlichkeiten.
| |
| * Das zu treffende Ergebnis wird durch bekannte Skalen beeinflusst.
| |
| | |
| Stereotype führen dazu, dass die Basisrate ausgeblendet wird und wahrgenommene Faktoren die Beurteilung des Risikos verzerren.
| |
| * Aus der risikoaversen Einstellung heraus ignorieren Menschen Risiken und wägen sich in Sicherheit.
| |
| * Eintretende Konsequenzen werden stärker fokussiert als Eintrittswahrscheinlichkeiten.
| |
| * Bei potentiell höheren Gewinnmöglichkeiten werden die Wahrscheinlichkeiten für deren Eintritt eher ausgeblendet, ebenso wie das Schadensausmaß wichtiger als die Wahrscheinlichkeit ist.
| |
| * Um ein Nullrisiko zu erreichen, werden durch Unternehmen große Investitionen getätigt.
| |
| * Um ein Risiko möglichst genau abzuschätzen, vertraut man auf Urteile durch Experten und Autoritäten.
| |
| * Expertenkompetenzen werden gern überschätzt.
| |
| * Hierbei wird oft vernachlässigt zu prüfen, ob die Informationen verlässlich, relevant für die Risikobewertung sind und auf einer stabilen Regelmäßigkeit beruhen.
| |
| * Eine andere Verfälschungs- und Vereinfachungstechnik beruht darauf, dass komplexe Fragestellungen zu einfach beantwortet und potentielle Risiken übersehen werden. [[Heuristik]]en werden genutzt, um die begrenzten kognitiven Ressourcen bestmöglich zu nutzen.
| |
| | |
| Generell ist im Umgang mit Risiken in folgende Strategien zu unterscheiden:
| |
| * Vermeidung von Risiken
| |
| * Risikoreduktion
| |
| * Risikooptimierung
| |
| * Risikotransfer
| |
| * Festhalten an Risikostruktur.
| |
| | |
| === Entscheidungstypen ===
| |
| Übertragen aus dem Bereich der Anlegertypologie gibt es bei risikobehafteten Entscheidungen drei Typen:
| |
| * ''Bauchmensch'': Das [[Intuition|intuitive]] Handeln lässt sich auf Basis einer [[Risikofreude|risikofreudigen]] [[Risikoeinstellung]] erklären.
| |
| * Innerhalb kurzer Zeit können Entscheidungen getroffen werden.
| |
| * ''Herzmensch'': Die menschlichen Emotionen prägen sein Handeln stark.
| |
| * Vor allem positive Gefühle werden verstärkt zum Ausdruck gebracht, negative hingegen versucht zu unterdrücken.
| |
| * Er versucht zu vermeiden Entscheidungen alleine treffen zu müssen und zu viel Verantwortung zu tragen.
| |
| * ''Kopfmensch'': Ein breites [[Wissen]] soll dabei helfen, Gefahren unter Kontrolle zu behalten.
| |
| * Ursache, Wirkung und deren Zusammenhang besitzen Vorrang bei der Entscheidungsfindung, um das Risiko bestmöglich kontrollieren zu können.
| |
|
| |
|
| <noinclude> | | <noinclude> |
Zeile 282: |
Zeile 123: |
| == Anhang == | | == Anhang == |
| === Siehe auch === | | === Siehe auch === |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}}
| | * [[Risiko/Arten]] |
| ----
| |
| * [[Balanced Scorecard]] | | * [[Balanced Scorecard]] |
| * [[Betriebliches Kontinuitätsmanagement]] | | * [[Betriebliches Kontinuitätsmanagement]] |
Zeile 292: |
Zeile 132: |
| * [[Management Risk Controlling (MRC)]] | | * [[Management Risk Controlling (MRC)]] |
| * [[Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung]] | | * [[Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung]] |
| * [[Risikomanagement-Standard]]
| | ---- |
| | {{Special:PrefixIndex/Risiko}} |
|
| |
|
| ==== Dokumentation ==== | | ==== Dokumentation ==== |
Zeile 298: |
Zeile 139: |
| ===== Projekt ===== | | ===== Projekt ===== |
| ===== Weblinks ===== | | ===== Weblinks ===== |
| | # [https://www.bitkom.org/Bitkom/Publikationen/Leitfaden-IT-Risiko-und-Chancenmanagement-fuer-kleine-und-mittlere-Unternehmen.html BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen] |
|
| |
|
| [[Kategorie:Risiko]]
| |
| [[Kategorie:Risikomanagement| ]]
| |
| [[Kategorie:Projektmanagement]]
| |
| [[Kategorie:Kategorie:Risikomanagement]]
| |
|
| |
|
| | [[Kategorie:Risikomanagement]] |
| </noinclude> | | </noinclude> |