Risiko/Management: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
(132 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
'''Risikomanagement''' - [[Management]] von [[Risikobericht#Branchenübergreifende Risikoarten|Unternehmensrisiken]]  
; Planvoller Umgang mit Risiken
* [[Chance]]n und [[Gefahr]]en


; Risikowahrnehmung
== Risikomanagement ==
Ein Risikomanagement kann erst mit der [[Risikowahrnehmung]] beginnen, sie ist die Voraussetzung dafür, dass Risiken überhaupt erkannt und entdeckt werden können.
; [[Aufgabe (Pflicht)|Aufgabe]] von [[Unternehmen]] und [[Behörde]]n
* Hierbei ergibt sich bereits das Problem, dass verschiedene [[Risikoträger]] dasselbe Risiko unterschiedlich oder gar nicht wahrnehmen.
* [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]]


Erfolgt die Risikowahrnehmung fehlerhaft als [[selektive Wahrnehmung]], so werden nur bestimmte Risiken wahrgenommen, andere vorhandene jedoch ausgeblendet.
; Risikomanagement ist nach der Norm [[ISO 31000]]
* Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus.
Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden


== Aufgabe ==
; Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen
{| class="wikitable sortable options"
* Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden
|-
* Methoden der Risikoermittlung
! Aufgabe !! Beschreibung
* Verantwortlichkeiten bei Risikoentscheidungen,
|-
* Bereitstellung von Ressourcen zur Risikoabwehr,
| [[Risikoidentifikation]] ||  
* Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung)
* Qualifikation des Personals für das Risikomanagement
 
; Risikomanagement ist ein fortlaufender [[Prozess]] ([[Demingkreis]]<nowiki>:„Plan-Do-Check-Act“)</nowiki>
* Planung
* Umsetzung
* Überwachung
* Verbesserung
 
Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen
* Eine Kultur der Risikolenkung in der Organisation entstehen lassen
 
; Norm ISO 31000
Beschreibt Grundsätze und Verfahren zum Risikomanagement
* Allgemein gültig
* Kann in allen Bereichen, in denen Risiken existieren, angewendet werden
* Ist nicht auf eine spezifische Branche beschränkt
 
; Risikofrüherkennungssystem
Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018)
* Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
* Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]])
* Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
* Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]]
 
Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen
 
; Risikomanagement-Prozesse
{| class="wikitable options"
|-
|-
| [[Risikoanalyse]] ||
! Prozess !! Beschreibung
|-
|-
| [[Risikoquantifizierung]] ||  
| Identifikation || der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
|-
|-
| [[Risikoaggregation]] ||
| Analyse || der identifizierten Risiken hinsichtlich ihrer [[Eintrittswahrscheinlichkeit]]en und möglichen Auswirkungen
|-
|-
| [[Risikobeurteilung]] ||  
| Risikobewertung || durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z.&nbsp;B.&nbsp;aus Standards und Normen)
|-
|-
| [[Risikobewertung]] ||  
| Risikobewältigung/Risikobeherrschung || durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
|-
|-
| [[Risikokommunikation]] ||  
| Risikoüberwachung || mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
|-
|-
| [[Risikobewältigung]] ||  
| Risikoaufzeichnungen || zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
|}
|}


; Risikomanagement umfasst
Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software
* Risikobeurteilung
* Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
** Risikoidentifikation
** Risikoanalyse
** Risikobewertung
* Risikobewältigung
* Risikokommunikation


== Aufgaben des Risikomanagements ==
; Methoden
Das Risikomanagement ist eine [[Aufgabe (Pflicht)|Aufgabe]], die einer [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]] in [[Unternehmen]] oder [[Behörde]]n zugeordnet ist.
* BSI-Standard 200-3
* Risikomanagement ist nach der Norm [[ISO 31000]]: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden.
: Risikoanalyse auf der Basis von IT-Grundschutz
* Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen.
* Klassische Risikoanalyse
* Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen.
: ISO 27001, 27005, 31000
* Penetrationstest
* Differenz-Sicherheitsanalyse


Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1: Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen.
; Integriertes Managementsysteme
Querschnittsfunktion des Risikomanagements
# https://de.wikipedia.org/wiki/Integriertes_Managementsystem


Risikomanagement wird als ein fortlaufender [[Prozess]] verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden ([[Demingkreis]]:
== Motivation ==
„Plan-Do-Check-Act“).
[[Risikomanagement/Motivation]]
* Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen.


Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein.
== Phasen ==
* Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten.
; Managementkreislauf
: Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar


Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018).
; Risikomanagement umfasst die Phasen
* Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen.
Aufgaben
* Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]]).
{| class="wikitable sortable options"
* Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz.
|-
* Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]].
! Aufgabe !! Beschreibung
|-
| [[Risikowahrnehmung]]||
|-
| [[Risikoidentifikation]]||
|-
| [[Risikoanalyse]]||
|-
| [[Risikobewertung]]/[[Risikoquantifizierung]] || Risikobeurteilung
|-
| [[Risikoaggregation]]||
|-
| [[Risikobeurteilung]]||
|-
| [[Risikokommunikation]]||
|-
| [[Risikobewältigung]]||
|-
| [[Risikoinformationen]]||
|-
| [[Risikosteuerung]] ||
|-
| [[Risikocontrolling]] ||
|}


Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen.
<noinclude>
 
Der Risikomanagement-Prozess umfasst im Einzelnen:
 
 
 
* Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
* Analyse der identifizierten Risiken hinsichtlich ihrer [[Eintrittswahrscheinlichkeit]]en und möglichen Auswirkungen
* Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z.
* B.
* aus Standards und Normen)
* Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
* Risikoüberwachung mit Hilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
* Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
 
Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software.
* Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren.
 
 
== Begriffe des Risikomanagements ==
[[Risikomanagement/Begriffe]]
 
== Anwendungsbereiche ==
=== Unternehmensrisiken ===
Das [[Risikobericht#Branchenübergreifende Risikoarten|Unternehmensrisiko]] findet zunächst in der [[Volatilität]] des Ergebnisses (Gewinn oder Verlust) seinen Niederschlag, die durch statistische Analysen oder zukunftsorientiert mittels [[Risikoaggregation]] bestimmbar ist.
* Gemeint ist die durch Unvorhersehbarkeit der Zukunft bestehende Möglichkeit von betrieblichen Zielen abzuweichen.
* Die extreme Ausprägung des Unternehmensrisikos wird [[Insolvenzrisiko]] genannt und drückt die [[Wahrscheinlichkeit]] aus, dass das Unternehmen wegen [[Zahlungsunfähigkeit]] und/oder [[Überschuldung]] seinen Verpflichtungen nicht oder nicht in voller Höhe nachkommen kann.
* Die vom aggregierten Risikoumfang, aber auch der Risikotragfähigkeit ([[Eigenkapital]]) und der [[Ertragskraft]], abhängige Insolvenzwahrscheinlichkeit wird durch das [[Rating]] ausgedrückt (siehe auch [[Ratingprognose]] und [[Insolvenzprognoseverfahren]]).
 
Eine [[Insolvenz]] kann auf verschiedene Faktoren zurückgeführt werden, wobei allgemein zwischen internen und externen Insolvenzursachen differenziert wird.
* Interne Ursachen betreffen die Aktivitäten, die unmittelbar vom Unternehmen selbst ausgehen und schließlich zur Insolvenz führen.
* Hierbei kann es sich beispielsweise um Fehlplanungen oder Fehleinschätzungen des Managements handeln.
* Externe Insolvenzursachen betreffen Faktoren, die von außen auf das Unternehmen einwirken, beispielsweise strukturelle und konjunkturelle Veränderungen des Unternehmensumfelds sowie Markteintritte von neuen Wettbewerbern.
 
Aktiengesellschaften müssen nach dem [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich]] ({{§|91|aktg|juris}} Abs.&nbsp;2 [[Aktiengesetz (Deutschland)|AktG]]) zur frühzeitigen Erkennung von Risiken ein Überwachungssystem einrichten, um den Fortbestand der Gesellschaft gegen gefährliche Entwicklungen zu sichern.
* Der Vorstand der AG steht dabei in der obersten Verantwortung.
* Eine Verpflichtung des Vorstandes zur Einrichtung eines Überwachungssystems bestand nach dem {{§|76|aktg|juris}} AktG bereits vor Inkrafttreten des KonTraG.
 
=== Risikomanagement in der Finanzdienstleistung ===
;Kreditinstitute
Für [[Kreditinstitut]]e unterteilt man das betriebswirtschaftliche Gesamtrisiko in ein [[operationelles Risiko]] (z.&nbsp;B.
* durch Ausfälle in der IT), das [[Kreditrisiko#Kreditrisikomanagement|Kreditrisiko]] (d.&nbsp;h.
* den Ausfall von Kreditnehmern), das [[Kontrahentenrisiko]] (d.&nbsp;h.
* den Ausfall von [[Kontrahent]]en bei Handelsgeschäften) als besonderen Teil des Kreditrisikos, das [[Liquiditätsrisiko]] (fällige Gelder können nicht aus den flüssigen Mitteln bedient werden), [[Marktliquiditätsrisiko]] (Geschäfte können auf Grund mangelnder [[Marktliquidität]] nicht zu den erwarteten Bedingungen abgeschlossen werden) und das [[Marktrisiko]] (z.&nbsp;B. [[Wechselkursrisiko]], [[Zinsänderungsrisiko]]).
* In der Praxis wird oftmals das [[Reputationsrisiko]] (Risiko des Ansehensverlustes durch geschäftspolitische Entscheidungen o.&nbsp;Ä.) separat vom operationellen Risiko betrachtet.
* Die Häufung von risikobehafteten [[Exposure (Finanzwirtschaft)|Engagements]], die (z.&nbsp;B.
* aufgrund von Branchenrisiken oder Länderrisiken) in engem Zusammenhang stehen, bezeichnet man in der Kreditwirtschaft auch als [[Klumpenrisiko]].
 
Dabei tragen die Kreditinstitute [[Liquiditätsrisiko|Liquiditätsrisiken]], als [[Finanzintermediär]]e übernehmen sie außerdem die [[Fristentransformation|Fristen-]], [[Losgrößentransformation|Losgrößen-]] und [[Risikotransformation|Transformationsrisiken]].
 
Die [[Mindestanforderungen an das Risikomanagement (BA)]] für die [[Kreditinstitut]]e und Finanzdienstleistungsinstitute in Deutschland geben einen Rahmen für ein angemessenes und wirksames Risikomanagement vor.
 
 
Er soll dazu dienen, Missständen im Kredit- und Finanzdienstleistungswesen entgegenzuwirken.
* Die Prozesse des Risikomanagements betreffen:
* Identifizierung,
* Beurteilung,
* Steuerung sowie
* Überwachung und Kommunikation der wesentlichen Risiken.
Das Institut hat geeignete Indikatoren für die frühzeitige Identifizierung von Risiken abzuleiten, die die Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen und eines Risikofrüherkennungs- und Risikoklassifizierungsverfahrens ermöglichen.
 
Zur Anwendung der Risikoquantifizierung wird festgestellt:
''Da jegliche Methoden und Verfahren zur Risikoquantifizierung die Realität nicht vollständig abzubilden vermögen, ist dem Umstand, dass die Risikowerte Ungenauigkeiten aufweisen oder das Risiko unterschätzen könnten, bei der Beurteilung der Risikotragfähigkeit hinreichend Rechnung zu tragen.''
 
In diesem Zusammenhang steht auch die Forderung: ''Bedeutende Schadensfälle sind unverzüglich hinsichtlich ihrer Ursachen zu analysieren.'' Es dient dazu, Systemschwachstellen und Unzulänglichkeiten in den Risikomodellen zu erkennen sowie der statistischen Ermittlung von Schadenshäufigkeiten (Erfahrungsrückfluss).
 
Die Mindestanforderungen an das Risikomanagement für die Kreditinstitute geben einen Rahmen für die Einhaltung der Treuepflicht bei der Verfügung fremden Vermögens vor.
* Im Fall der Verletzung der Treuepflicht (Missbrauch) kommt die Strafbarkeit der [[Untreue (Deutschland)|Untreue]] gemäß {{§|266|stgb|juris}} [[Strafgesetzbuch (Deutschland)|StGB]] zur Anwendung.
 
;Versicherungswirtschaft
Für Versicherungsunternehmen zählt die Übernahme von Risiken zum eigentlichen [[Geschäftsmodell]].
* Versicherungen begrenzen die [[Wahrscheinlichkeit]] einer überdurchschnittlichen Belastung durch Schadensfälle durch die Größe des [[Versicherung (Kollektiv)|Versicherungskollektivs]], darüber hinaus in erster Linie durch [[Rückversicherung]], mit deren Hilfe sie Großschäden und [[Kumul (Versicherungswesen)|Kumulrisiken]] begrenzen.
 
Versicherungstechnische Risiken spielen im [[Versicherungsmarkt]] als Vorstufe zur [[Versicherer|Versicherung]] eine zentrale Rolle.
* Bevor ein Risiko richtig versichert werden kann, muss es erkannt, bewertet und der Umgang mit dem Risiko festgelegt werden.
 
Die europäische Richtlinie [[Solvabilität II]] stellt umfangreiche Anforderungen an das Risikomanagement in Versicherungsunternehmen.
 
== Risikoarten ==
[[Risikoarten]]
 
== Reifegradmodelle ==
[[Reifegradmodelle]]
 
== Mathematische Größen im Risikomanagement ==
 
* [[Gewinn]]
* [[Korrelationskoeffizient]]
* [[Mittelwert]], [[Erwartungswert]]
* [[Performance (Risikomanagement)]]
* [[Rendite]]
** Annualisierte Rendite
** Arithmetische Rendite
** Geometrische Rendite
* [[Risikomaße]]
* [[Standardabweichung (Wahrscheinlichkeitstheorie)|Standardabweichung]]
* Stetige, [[logarithmierte Rendite]]
* [[Value at Risk]]
* [[Varianz (Stochastik)|Varianz]]
* [[Volatilität]]
 
== Psychologische Aspekte ==
[[Risikomanagement/Psychologie]]


== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
* [[Risiko/Arten]]
----
* [[Balanced Scorecard]]
* [[Balanced Scorecard]]
* [[Betriebliches Kontinuitätsmanagement]]
* [[Betriebliches Kontinuitätsmanagement]]
Zeile 179: Zeile 126:
* [[Management Risk Controlling (MRC)]]
* [[Management Risk Controlling (MRC)]]
* [[Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung]]
* [[Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung]]
* [[Risikomanagement-Standard]]
----
{{Special:PrefixIndex/Risiko}}


==== Dokumentation ====
==== Dokumentation ====
Zeile 185: Zeile 133:
===== Projekt =====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====
# [https://www.bitkom.org/Bitkom/Publikationen/Leitfaden-IT-Risiko-und-Chancenmanagement-fuer-kleine-und-mittlere-Unternehmen.html BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen]


[[Kategorie:Risiko]]
[[Kategorie:Risikomanagement| ]]
[[Kategorie:Projektmanagement]]
[[Kategorie:Risikomanagement]]
[[Kategorie:Risikomanagement]]
</noinclude>
</noinclude>

Aktuelle Version vom 22. Mai 2024, 07:08 Uhr

Risikomanagement - Management von Risiken

Beschreibung

Planvoller Umgang mit Risiken

Risikomanagement

Aufgabe von Unternehmen und Behörden
Risikomanagement ist nach der Norm ISO 31000

Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden

Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen
  • Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden
  • Methoden der Risikoermittlung
  • Verantwortlichkeiten bei Risikoentscheidungen,
  • Bereitstellung von Ressourcen zur Risikoabwehr,
  • Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung)
  • Qualifikation des Personals für das Risikomanagement
Risikomanagement ist ein fortlaufender Prozess (Demingkreis:„Plan-Do-Check-Act“)
  • Planung
  • Umsetzung
  • Überwachung
  • Verbesserung

Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen

  • Eine Kultur der Risikolenkung in der Organisation entstehen lassen
Norm ISO 31000

Beschreibt Grundsätze und Verfahren zum Risikomanagement

  • Allgemein gültig
  • Kann in allen Bereichen, in denen Risiken existieren, angewendet werden
  • Ist nicht auf eine spezifische Branche beschränkt
Risikofrüherkennungssystem

Das Risikomanagement (Risikofrüherkennungssystem) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG) und dem darauf basierenden IdW-Prüfungsstandard PS 340 und dem jüngeren DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision (von 2018)

  • Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
  • Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation)
  • Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
  • Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige Rating mittels einer sogenannten Ratingprognose

Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der Risikokosten zu nennen

Risikomanagement-Prozesse
Prozess Beschreibung
Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
Analyse der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeiten und möglichen Auswirkungen
Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z. B. aus Standards und Normen)
Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
Risikoüberwachung mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden

Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software

  • Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
Methoden
  • BSI-Standard 200-3
Risikoanalyse auf der Basis von IT-Grundschutz
  • Klassische Risikoanalyse
ISO 27001, 27005, 31000
  • Penetrationstest
  • Differenz-Sicherheitsanalyse
Integriertes Managementsysteme

Querschnittsfunktion des Risikomanagements

  1. https://de.wikipedia.org/wiki/Integriertes_Managementsystem

Motivation

Risikomanagement/Motivation

Phasen

Managementkreislauf
Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar
Risikomanagement umfasst die Phasen

Aufgaben

Aufgabe Beschreibung
Risikowahrnehmung
Risikoidentifikation
Risikoanalyse
Risikobewertung/Risikoquantifizierung Risikobeurteilung
Risikoaggregation
Risikobeurteilung
Risikokommunikation
Risikobewältigung
Risikoinformationen
Risikosteuerung
Risikocontrolling


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks
  1. BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen
Abgerufen von „https://wiki.foxtom.de/index.php?title=Risiko/Management&oldid=100947