Reifegrad: Unterschied zwischen den Versionen

Aus Foxwiki
Änderung 82077 von Dirkwagner (Diskussion) rückgängig gemacht.
Markierung: Rückgängigmachung
Keine Bearbeitungszusammenfassung
 
(29 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''Reifegrad''' - Qualität eines [[Managementsystem]]s
 
=== Reifegradmodelle ===
Qualität des Informationssicherheitsprozesses
 
; Bewertung mit Reifegraden
Hierzu muss das über Jahre hinweg analysiert und bewertet werden
 
; Maßstab
Der Maßstab für die „Reife“ des gesamten oder aber auch von Teilen hiervon ist der '''Grad der Strukturierung und der systematischen Steuerung''' des Prozesses
 
; Ziel der Anwendung eines Reifegradmodells
* Qualität aller Teilbereiche des ISMS zu erhöhen
* Durch regelmäßige Analysen können Sie überprüfen, welche Prozesse noch unzureichend gesteuert sind
 
Die folgende Grafik stellt beispielhaft die erreichten Reifegrade verschiedener Themenfelder in einer Institution dar
* Wo der Reifegrad niedrig ist, besteht ein besonderer Handlungsbedarf
 
Reifegradmodelle können dabei unterstützen, Schwerpunkte für die Weiterentwicklung eines ISMS zu setzen
 
==== Beispiel ====
Beispiel für die Definition von Reifegraden
 
; Reifegrade und ihre Merkmale
{| class="wikitable options col1center"
|-
! | Reifegrad
! | Kennzeichen
|-
|| 0
|| Es existiert kein Prozess, es gibt auch keine Planungen hierzu
|-
|| 1
|| Es gibt Planungen zur Etablierung eines Prozesses, jedoch keine Umsetzungen
|-
|| 2
|| Teile des Prozesses sind umgesetzt, es fehlt jedoch an systematischer Dokumentation
|-
|| 3
|| Der Prozess ist vollständig umgesetzt und dokumentiert
|-
|| 4
|| Der Prozess wird darüber hinaus auch regelmäßig auf Effektivität überprüft
|-
|| 5
|| Zusätzlich sind Maßnahmen zur kontinuierlichen Verbesserung vorhanden
|-
|}


== Beschreibung ==
== Beschreibung ==
; „Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells.“  
; „Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells.“
* Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden sowie alle vorhergehenden Stufen erreicht sein.
* Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden sowie alle vorhergehenden Stufen erreicht sein
* Reife wird nach Rosemann und De Bruin definiert als „a measure to evaluate the capabilities of an organisation“ – ein Maß, um die Fähigkeiten einer Organisation zu bewerten.
* Reife wird nach Rosemann und De Bruin definiert als „a measure to evaluate the capabilities of an organisation“ – ein Maß, um die Fähigkeiten einer Organisation zu bewerten


; Reifegradmodelle des Risikomanagements
; Reifegradmodelle des Risikomanagements
Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen ([[Benchmarking]]).
Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen ([[Benchmarking]])
* Sie bestehen aus Reifegradstufen, Dimensionen und Bewertungsinstrumenten.
* Sie bestehen aus Reifegradstufen, Dimensionen und Bewertungsinstrumenten
* Eine Entwicklung kann [[Top-down und Bottom-up|top-down oder bottom-up]] erfolgen.
* Eine Entwicklung kann [[Top-down und Bottom-up|top-down oder bottom-up]] erfolgen
* Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden.
* Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden
* Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert.
* Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert
* Dafür werden zum Beispiel [[Kreativitätstechniken]], [[Delphi-Methode]] oder [[Fokusgruppe]]n<nowiki />befragung verwendet.
* Dafür werden zum Beispiel [[Kreativitätstechniken]], [[Delphi-Methode]] oder [[Fokusgruppe]]n<nowiki />befragung verwendet
 
; Risikomanagement ist ein [[Erfolgsfaktor]] für jedes Unternehmen
Es sollten möglichst viele Mitarbeiter integriert werden um der Unternehmensführung die Möglichkeit zu geben Risiken richtig zu erfassen, die Erträge und Risiken richtig bewerten und in die Praxis umzusetzen
* Das wird allerdings erst in der 4. Stufe erreicht
* Die Geschäftsführung muss „Oberster Risikomanager“ sein, weil sie maßgebliche Entscheidungen über den Risikoumfang trifft
* Hierbei sollten Strategien und feste organisatorische Muster und Methoden angewandt werden, um sicherzustellen, dass mögliche „bestandsbedrohende Entwicklungen“ bereits früh erkannt werden


== Reifegradmodelle des Risikomanagements ==
== Reifegradmodell nach ''Gleißner und Mott'' ==
; Sechs Stufen des Risikomanagements nach Gleißner und Mott
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
! Stufen !! Beschreibung
! Stufen !! Titel !! Beschreibung
|-
|-
| [[#Stufe 1 | 1]] || [[#Stufe 1 | Kein Risikomanagement]]
| [[#Stufe 1 | 1]] || [[#Stufe 1 | Kein Risikomanagement]] || Unzureichendes Risikobewusstsein
|-
|-
| [[#Stufe 2 | 2]] || [[#Stufe 2 | Schadensmanagement]]
| [[#Stufe 2 | 2]] || [[#Stufe 2 | Schadensmanagement]] || Existenz von [[Risiko|Risiken]] ist bekannt
|-
|-
| [[#Stufe 3 | 3]] || [[#Stufe 2 | Regulatorisches Risikomanagement]]
| [[#Stufe 3 | 3]] || [[#Stufe 2 | Regulatorisches Risikomanagement]] || „KonTraG-Risikomanagement“
|-
|-
| [[#Stufe 4 | 4]] || [[#Stufe 4 | Ökonomisches, entscheidungsorientiertes Risikomanagement ]]
| [[#Stufe 4 | 4]] || [[#Stufe 4 | Ökonomisches, entscheidungsorientiertes Risikomanagement]] || Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet
|-
|-
| [[#Stufe 5 | 5]] || [[#Stufe 5 | Integriertes wertorientiertes Risikomanagement]]
| [[#Stufe 5 | 5]] || [[#Stufe 5 | Integriertes wertorientiertes Risikomanagement]] || Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft
|-
|-
| [[#Stufe 6 | 6]] || [[#Stufe 6 | Embedded Risikomanagement (holistisch)]]
| [[#Stufe 6 | 6]] || [[#Stufe 6 | Embedded Risikomanagement (holistisch)]] || Embedded Risikomanagement
|}
|}


=== Stufe 1 ===
=== Stufe 1 ===
==== Kein Risikomanagement ====
; Kein Risikomanagement
; Leitungsebene hat ein unzureichendes Risikobewusstsein
* Leitungsebene hat ein unzureichendes Risikobewusstsein
* kein systematisches Vorgehen im Umgang mit Risiken
* Kein systematisches Vorgehen im Umgang mit Risiken
* Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur sporadisch statt.
* Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur sporadisch statt


=== Stufe 2 ===
=== Stufe 2 ===
==== Schadensmanagement ====
; Schadensmanagement
; Die Existenz bestimmter [[Risiko|Risiken]] ist bekannt
* Existenz bestimmter [[Risiko|Risiken]] ist bekannt
* Es werden bewusst Maßnahmen eingeleitet, die Gefahren verhindern sollen.
* Es werden bewusst Maßnahmen eingeleitet, die Gefahren verhindern sollen
* Regelungen, wie Umweltschutz und Arbeitsschutz, finden dabei auch Berücksichtigung.
* Regelungen, wie Umweltschutz und Arbeitsschutz, finden dabei auch Berücksichtigung
* Bei selteneren und größeren Risiken werden Versicherungen abgeschlossen, um Schäden zu minimieren.
* Bei selteneren und größeren Risiken werden Versicherungen abgeschlossen, um Schäden zu minimieren
* Zur Gefahrenbeurteilung wird kein spezifisches Instrument eingesetzt und Risikomaßnahmenpläne werden in „Silos“ (abgeschotteten [[Team]]s) bearbeitet.
* Zur Gefahrenbeurteilung wird kein spezifisches Instrument eingesetzt und Risikomaßnahmenpläne werden in „Silos“ (abgeschotteten [[Team]]s) bearbeitet


=== Stufe 3 ===
=== Stufe 3 ===
==== Regulatorisches Risikomanagement ====
; Regulatorisches Risikomanagement
* „KonTraG-Risikomanagement“
„KonTraG-Risikomanagement“


; Das Unternehmen besitzt ein kontinuierliches Risikomanagementsystem
; Unternehmen besitzt ein kontinuierliches Risikomanagementsystem
* Risiken werden ständig überwacht und bewertet.
* Risiken werden ständig überwacht und bewertet
* Die Gesamtheit der Risiken bilden das sog.&nbsp;Risikoinventar.
* Die Gesamtheit der Risiken bilden das sog.&nbsp;Risikoinventar


; Informationen wie Umfang, Verantwortlichkeit und Turnus werden gemäß dem KonTraG schriftlich fixiert.
; Informationen wie Umfang, Verantwortlichkeit und Turnus werden gemäß dem KonTraG schriftlich fixiert
* Für die wichtigen Risiken werden Risikobewältigungsstrategien entwickelt, dafür werden die Risiken hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit quantifiziert und bewertet.
* Für die wichtigen Risiken werden Risikobewältigungsstrategien entwickelt, dafür werden die Risiken hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit quantifiziert und bewertet
* Am Ende erfolgt eine einfache [[Risikoaggregation]].
* Am Ende erfolgt eine einfache [[Risikoaggregation]]


=== Stufe 4 ===
=== Stufe 4 ===
==== Ökonomisches, entscheidungsorientiertes Risikomanagement ====
; Ökonomisches, entscheidungsorientiertes Risikomanagement
; Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet.
; Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet
* Es existiert ein umfassendes, Software gestütztes Risikomanagementsystem im Unternehmen, basierend auf einem starken Risikobewusstsein der Unternehmensführung.
* Es existiert ein umfassendes, Software gestütztes Risikomanagementsystem im Unternehmen, basierend auf einem starken Risikobewusstsein der Unternehmensführung
* Durch Aggregation der Einzelrisiken wird ein Gesamtrisikoumfang berechnet.
* Durch Aggregation der Einzelrisiken wird ein Gesamtrisikoumfang berechnet
* Mittels der [[Monte-Carlo-Simulation]] können „bestandsbedrohende Entwicklungen“ nach Kombination von Einzelrisiken deutlich gemacht werden.
* Mittels der [[Monte-Carlo-Simulation]] können „bestandsbedrohende Entwicklungen“ nach Kombination von Einzelrisiken deutlich gemacht werden
* Ziel ist es ein flexibles und bewegliches Risikomanagement zu schaffen, welches mit der Strategieentwicklung eng verknüpft ist.
* Ziel ist es ein flexibles und bewegliches Risikomanagement zu schaffen, welches mit der Strategieentwicklung eng verknüpft ist
* Im Idealfall soll es sich an unvorhergesehene Entwicklungen anpassen.
* Im Idealfall soll es sich an unvorhergesehene Entwicklungen anpassen
* Risiken sollten so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen liquide bleibt und sein Rating beibehalten kann.
* Risiken sollten so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen liquide bleibt und sein Rating beibehalten kann
* Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z.&nbsp;B.  
* Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z.&nbsp;B. CAPM) erfolgen
* CAPM) erfolgen.
* Nicht nur in Hinsicht auf die Kostenreduzierung sollte das Unternehmen überlegen, ob es Unternehmensaktivitäten auslagert, sondern auch in Bezug auf die damit verbundene Risikosenkung
* Nicht nur in Hinsicht auf die Kostenreduzierung sollte das Unternehmen überlegen, ob es Unternehmensaktivitäten auslagert, sondern auch in Bezug auf die damit verbundene Risikosenkung.
* Diese Risikosenkung erfolgt auch bei einer breiten [[Diversifikation (Wirtschaft)|Diversifikation]] des Portfolios und einer Verlust- und Haftungsbeschränkung
* Diese Risikosenkung erfolgt auch bei einer breiten [[Diversifikation (Wirtschaft)|Diversifikation]] des Portfolios und einer Verlust- und Haftungsbeschränkung.


=== Stufe 5 ===
=== Stufe 5 ===
==== Integriertes wertorientiertes Risikomanagement ====
; Integriertes wertorientiertes Risikomanagement
; Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft
; Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft
* Alle Planungen können Risiken zugeordnet werden (stochastische Planung), sodass sich daraus eine Planungssicherheit ermitteln lässt.
* Alle Planungen können Risiken zugeordnet werden (stochastische Planung), sodass sich daraus eine Planungssicherheit ermitteln lässt
* Daraus kann das Unternehmen den Wertbeitrag berechnen, „was eine am Unternehmenswert orientierte Optimierung der Risikobewältigung“ ermöglicht und womit strategische Züge in Bezug auf Risiken bewertet werden können.
* Daraus kann das Unternehmen den Wertbeitrag berechnen, „was eine am Unternehmenswert orientierte Optimierung der Risikobewältigung“ ermöglicht und womit strategische Züge in Bezug auf Risiken bewertet werden können
* Die Hypothese eines vollkommenen Kapitalmarktes wird verworfen und durch die realitätsnahe Betrachtung eines unvollkommenen Kapitalmarktes ersetzt.
* Die Hypothese eines vollkommenen Kapitalmarktes wird verworfen und durch die realitätsnahe Betrachtung eines unvollkommenen Kapitalmarktes ersetzt
* Alle Risiken, die bewertungsrelevant sind, werden berücksichtigt („Risikodeckungssatz“).
* Alle Risiken, die bewertungsrelevant sind, werden berücksichtigt („Risikodeckungssatz“)
* Zum Bewerten und zur Portfoliooptimierung werden [[Risikomaß]]e, wie Eigenkapitalbedarf, [[Ausfallwahrscheinlichkeit]] und [[Value at Risk|Value-at-Risk]] verwendet.
* Zum Bewerten und zur Portfoliooptimierung werden [[Risikomaß]]e, wie Eigenkapitalbedarf, [[Ausfallwahrscheinlichkeit]] und [[Value at Risk|Value-at-Risk]] verwendet


=== Stufe 6 ===
=== Stufe 6 ===
==== Embedded Risikomanagement ====
; Embedded Risikomanagement
; Holistisch
; Ganzheitlich
Die Bewertung des risikogerechten Ertragswertes oder des Risikonutzens spiegelt die Risikopräferenz des Eigentümers wider und bildet die Grundlage für strategische und operative Entscheidungen.
* Die Bewertung des risikogerechten Ertragswertes oder des Risikonutzens spiegelt die Risikopräferenz des Eigentümers wider
* Die Risikoanalyse beinhaltet die [[ex ante]] Integration unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und exogenen Risikofaktoren.
* Bildet die Grundlage für strategische und operative Entscheidungen
* Metarisiken, d.&nbsp;h.
* Unsicherheiten und Reaktionen von Wettbewerbern, sowie andere „Verhaltensrisiken“ und „Managementrisiken“ werden ebenfalls in die Bewertung mit einbezogen.
* Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird.


== Risikomanagement als Erfolgsfaktor ==
; Risikoanalyse
; Ein gutes Risikomanagement ist ein [[Erfolgsfaktor]] für jedes Unternehmen.
Die Risikoanalyse beinhaltet die [[ex ante]] Integration unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und exogenen Risikofaktoren
* Es sollten möglichst viele Mitarbeiter integriert werden um der Unternehmensführung die Möglichkeit zu geben Risiken richtig zu erfassen, die Erträge und Risiken richtig bewerten und in die Praxis umzusetzen.
* Metarisiken, d.&nbsp;h. Unsicherheiten und Reaktionen von Wettbewerbern, sowie andere „Verhaltensrisiken“ und „Managementrisiken“ werden ebenfalls in die Bewertung mit einbezogen
* Das wird allerdings erst in der 4.
* Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird
* Stufe erreicht.
* Die Geschäftsführung muss „Oberster Risikomanager“ sein, weil sie maßgebliche Entscheidungen über den Risikoumfang trifft.
* Hierbei sollten Strategien und feste organisatorische Muster und Methoden angewandt werden, um sicherzustellen, dass mögliche „bestandsbedrohende Entwicklungen“ bereits früh erkannt werden.


<noinclude>
<noinclude>
Zeile 104: Zeile 149:
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
----
{{Special:PrefixIndex/Reifegrad}}


==== Links ====
==== Links ====


[[Kategorie:Risikomanagement]]
[[Kategorie:Risikomanagement]]
</noinclude>
</noinclude>

Aktuelle Version vom 17. November 2024, 00:04 Uhr

Reifegrad - Qualität eines Managementsystems

Reifegradmodelle

Qualität des Informationssicherheitsprozesses

Bewertung mit Reifegraden

Hierzu muss das über Jahre hinweg analysiert und bewertet werden

Maßstab

Der Maßstab für die „Reife“ des gesamten oder aber auch von Teilen hiervon ist der Grad der Strukturierung und der systematischen Steuerung des Prozesses

Ziel der Anwendung eines Reifegradmodells
  • Qualität aller Teilbereiche des ISMS zu erhöhen
  • Durch regelmäßige Analysen können Sie überprüfen, welche Prozesse noch unzureichend gesteuert sind

Die folgende Grafik stellt beispielhaft die erreichten Reifegrade verschiedener Themenfelder in einer Institution dar

  • Wo der Reifegrad niedrig ist, besteht ein besonderer Handlungsbedarf

Reifegradmodelle können dabei unterstützen, Schwerpunkte für die Weiterentwicklung eines ISMS zu setzen

Beispiel

Beispiel für die Definition von Reifegraden

Reifegrade und ihre Merkmale
Reifegrad Kennzeichen
0 Es existiert kein Prozess, es gibt auch keine Planungen hierzu
1 Es gibt Planungen zur Etablierung eines Prozesses, jedoch keine Umsetzungen
2 Teile des Prozesses sind umgesetzt, es fehlt jedoch an systematischer Dokumentation
3 Der Prozess ist vollständig umgesetzt und dokumentiert
4 Der Prozess wird darüber hinaus auch regelmäßig auf Effektivität überprüft
5 Zusätzlich sind Maßnahmen zur kontinuierlichen Verbesserung vorhanden

Beschreibung

„Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells.“
  • Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden sowie alle vorhergehenden Stufen erreicht sein
  • Reife wird nach Rosemann und De Bruin definiert als „a measure to evaluate the capabilities of an organisation“ – ein Maß, um die Fähigkeiten einer Organisation zu bewerten
Reifegradmodelle des Risikomanagements

Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen (Benchmarking)

  • Sie bestehen aus Reifegradstufen, Dimensionen und Bewertungsinstrumenten
  • Eine Entwicklung kann top-down oder bottom-up erfolgen
  • Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden
  • Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert
  • Dafür werden zum Beispiel Kreativitätstechniken, Delphi-Methode oder Fokusgruppenbefragung verwendet
Risikomanagement ist ein Erfolgsfaktor für jedes Unternehmen

Es sollten möglichst viele Mitarbeiter integriert werden um der Unternehmensführung die Möglichkeit zu geben Risiken richtig zu erfassen, die Erträge und Risiken richtig bewerten und in die Praxis umzusetzen

  • Das wird allerdings erst in der 4. Stufe erreicht
  • Die Geschäftsführung muss „Oberster Risikomanager“ sein, weil sie maßgebliche Entscheidungen über den Risikoumfang trifft
  • Hierbei sollten Strategien und feste organisatorische Muster und Methoden angewandt werden, um sicherzustellen, dass mögliche „bestandsbedrohende Entwicklungen“ bereits früh erkannt werden

Reifegradmodell nach Gleißner und Mott

Stufen Titel Beschreibung
1 Kein Risikomanagement Unzureichendes Risikobewusstsein
2 Schadensmanagement Existenz von Risiken ist bekannt
3 Regulatorisches Risikomanagement „KonTraG-Risikomanagement“
4 Ökonomisches, entscheidungsorientiertes Risikomanagement Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet
5 Integriertes wertorientiertes Risikomanagement Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft
6 Embedded Risikomanagement (holistisch) Embedded Risikomanagement

Stufe 1

Kein Risikomanagement
  • Leitungsebene hat ein unzureichendes Risikobewusstsein
  • Kein systematisches Vorgehen im Umgang mit Risiken
  • Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur sporadisch statt

Stufe 2

Schadensmanagement
  • Existenz bestimmter Risiken ist bekannt
  • Es werden bewusst Maßnahmen eingeleitet, die Gefahren verhindern sollen
  • Regelungen, wie Umweltschutz und Arbeitsschutz, finden dabei auch Berücksichtigung
  • Bei selteneren und größeren Risiken werden Versicherungen abgeschlossen, um Schäden zu minimieren
  • Zur Gefahrenbeurteilung wird kein spezifisches Instrument eingesetzt und Risikomaßnahmenpläne werden in „Silos“ (abgeschotteten Teams) bearbeitet

Stufe 3

Regulatorisches Risikomanagement

„KonTraG-Risikomanagement“

Unternehmen besitzt ein kontinuierliches Risikomanagementsystem
  • Risiken werden ständig überwacht und bewertet
  • Die Gesamtheit der Risiken bilden das sog. Risikoinventar
Informationen wie Umfang, Verantwortlichkeit und Turnus werden gemäß dem KonTraG schriftlich fixiert
  • Für die wichtigen Risiken werden Risikobewältigungsstrategien entwickelt, dafür werden die Risiken hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit quantifiziert und bewertet
  • Am Ende erfolgt eine einfache Risikoaggregation

Stufe 4

Ökonomisches, entscheidungsorientiertes Risikomanagement
Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet
  • Es existiert ein umfassendes, Software gestütztes Risikomanagementsystem im Unternehmen, basierend auf einem starken Risikobewusstsein der Unternehmensführung
  • Durch Aggregation der Einzelrisiken wird ein Gesamtrisikoumfang berechnet
  • Mittels der Monte-Carlo-Simulation können „bestandsbedrohende Entwicklungen“ nach Kombination von Einzelrisiken deutlich gemacht werden
  • Ziel ist es ein flexibles und bewegliches Risikomanagement zu schaffen, welches mit der Strategieentwicklung eng verknüpft ist
  • Im Idealfall soll es sich an unvorhergesehene Entwicklungen anpassen
  • Risiken sollten so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen liquide bleibt und sein Rating beibehalten kann
  • Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z. B. CAPM) erfolgen
  • Nicht nur in Hinsicht auf die Kostenreduzierung sollte das Unternehmen überlegen, ob es Unternehmensaktivitäten auslagert, sondern auch in Bezug auf die damit verbundene Risikosenkung
  • Diese Risikosenkung erfolgt auch bei einer breiten Diversifikation des Portfolios und einer Verlust- und Haftungsbeschränkung

Stufe 5

Integriertes wertorientiertes Risikomanagement
Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft
  • Alle Planungen können Risiken zugeordnet werden (stochastische Planung), sodass sich daraus eine Planungssicherheit ermitteln lässt
  • Daraus kann das Unternehmen den Wertbeitrag berechnen, „was eine am Unternehmenswert orientierte Optimierung der Risikobewältigung“ ermöglicht und womit strategische Züge in Bezug auf Risiken bewertet werden können
  • Die Hypothese eines vollkommenen Kapitalmarktes wird verworfen und durch die realitätsnahe Betrachtung eines unvollkommenen Kapitalmarktes ersetzt
  • Alle Risiken, die bewertungsrelevant sind, werden berücksichtigt („Risikodeckungssatz“)
  • Zum Bewerten und zur Portfoliooptimierung werden Risikomaße, wie Eigenkapitalbedarf, Ausfallwahrscheinlichkeit und Value-at-Risk verwendet

Stufe 6

Embedded Risikomanagement
Ganzheitlich
  • Die Bewertung des risikogerechten Ertragswertes oder des Risikonutzens spiegelt die Risikopräferenz des Eigentümers wider
  • Bildet die Grundlage für strategische und operative Entscheidungen
Risikoanalyse

Die Risikoanalyse beinhaltet die ex ante Integration unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und exogenen Risikofaktoren

  • Metarisiken, d. h. Unsicherheiten und Reaktionen von Wettbewerbern, sowie andere „Verhaltensrisiken“ und „Managementrisiken“ werden ebenfalls in die Bewertung mit einbezogen
  • Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird


Anhang

Siehe auch

Links