Governance, Risikomanagement und Compliance.

risikomanagement,risiko,management,governance

Die Begriffe: Governance, Risikomanagement und Compliance Management

Governance (Führung): Die Unternehmensführung durch vordefinierte Richtlinien. Dazu zählt die Festlegung von Unternehmenszielen, die darauf angewandte Methodik zur Umsetzung und die Planung der notwendigen Ressourcen für das Erreichen der Ziele.

Risikomanagement: Der Umgang von bekannten und unbekannte Risiken über vordefinierte Risiko-Analysen und deren Management. Dabei ist ein wichtiger Faktor das frühzeitige Auseinandersetzen mit Risiken, der Bereitstellung von Strategien zur Risiko-Minimierung und dem Vorbereiten von Schadensfall-Puffer bei Risiko-Eintritt.

Compliance Management (Einhaltung von Regeln): Das Einhalten interner wie externer Normen für die Bereitstellung und die Verarbeitung von Informationen. Diese beinhaltet unter anderem Vorgaben aus Normierungsbestrebungen und die Zugriffs-Reglementierung für die Informationen sowie die gesetzlichen Rahmenbedingungen für deren Verwendung.



Risk Management ist nach der Norm ISO 31000: 2009 eine Führungsaufgabe, in der die Risiken einer Organisation identifiziert, analysiert und bewertet werden. Hierzu sind die übergeordneten Ziele, Strategien und Politik der Organisation zum Risikomanagement festzulegen. Im Einzelnen betrifft das die Festlegung von Risikokriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Ressourcen (Investitionen zur Risikoabwehr), die interne und externe Kommunikation über die identifizierten Risiken (Reporting) sowie die Personalschulung zur Qualifizierung des Personals für das Risikomanagement.

Risk Management wird als ein laufender Prozess verstanden, in dem die Planung, Umsetzung, Überwachung und die kontinuierliche Verbesserung der Risikomanagement-Prozesse stattfinden (Demingkreis: „Plan-Do-Check-Act"). Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen. Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein und können in allen Bereichen, wo Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten.

Aufbau eines Enterprise Risk Managements (ERM) nach COSO II oder ISO 31000

Das Enterprise Risk Management ERM COSO II Framework Modell wird international mehr und mehr zum "de facto" Standard für den Aufbau eines Enterprise Risk Managements. Alle weltweit führenden Wirtschaftsprüfungsunternehmen empfehlen den Aufbau von Risk Management Systemen auf der Basis des COSO II Modells zu gestalten. Ein Enterprise Risk Management / ERM umfasst in der Regel acht Abschnitte:

  1. Internes Umfeld
  2. Zielfestlegung
  3. Ereignisidentifikation
  4. Risikobeurteilung
  5. Kontrollaktivitäten
  6. Information und Kommunikation
  7. Überwachung

Die grundlegende Annahme des unternehmensweiten Risikomanagements bzw. Enterprise Risk Managements ist, dass jede Organisation für spezifische Interessengruppen Werte schafft. Alle Organisationen sind hierbei Unsicherheiten ausgesetzt. Die Aufgabe der Führungskräfte ist daher zu bestimmen, wie viel Unsicherheit sie, bei dem Versuch Werte für die Interessengruppen zu schaffen, akzeptieren. Unsicherheit umfasst sowohl Risiken als auch Chancen und die Möglichkeit, Werte zu vernichten oder zu vermehren. Das unternehmensweite Risikomanagement ermöglicht daher Führungskräften wirksam mit Unsicherheit und den damit einhergehenden Risiken und Chancen umzugehen und hierbei ihre Fähigkeit zur Wertschöpfung zu stärken.

ISO 31000: Risk Management -- Principles and guidelines

Die ISO 31000: "Risk Management -- Principles and guidelines" ist der neue, weltweite Standard für Risikomanagement. Sie kann vergleichsweise einfach in bestehende Managementsysteme und Unternehmensprozesse integriert werden und schliesst den organisatorischen Rahmen ein. Wesentlich ist der generische Ansatz, d.h. der Prozess des Risikomanagements ist für alle Schutzfunktionen verwendbar. Zwar ist die ISO 31000 keine zertifizierbare Norm, Experten gehen aber davon aus, dass sie in Zukunft einen ähnlichen Stellenwert haben wird wie heute die ISO 9001. Der Best-Practice-Ansatz im Risikomanagement wird durch die ISO 31000 neu definiert. Bisherige "traditionelle" Risikomanagementsysteme werden sich zunehmend zu ganzheitlichen Unternehmenssteuerungssystemen weiterentwickeln. Dafür kann die ISO 31000 eine gute Basis sein.

Bringt ein Risikomanagement eine Wertschöpfung?

risikomanagement,risiko,management,governance
Lab5 - Webdesign Schweiz

Ein Risikomanagementsystem erweitert die Handlungsfähigkeit innerhalb der Organisation. Die Grundlagen für die Entscheidungsfindung sind wesentlich fundierter, was auch die Erfolge der Entscheidungen grundlegend verbessert. Interne Kontrollen werden objektiviert und optimiert. Die Zuteilung von Ressourcen ist zielgerichteter, Effizienz und Effektivität verbessern sich.

Ein Risk Management System...

  • verbessert den unternehmerischen Handlungsspielraum
  • identifiziert und steuert Risiken und Chancen im Unternehmen
  • stellt ein Frühwarnsystem dar, durch das Risiken minimiert und beherrscht werden können
  • verhindert unvorhergesehene Risikosituationen und reduziert unternehmerische Verluste auf ein Minimum
  • sichert die Zukunft des Unternehmens oder der Organisation.
  • trägt zur Optimierung des Kapitaleinsatzes und zur langfristigen Ertragsfähigkeit bei
  • erkennt Chancen für das Unternehmen und zeigt Wege zu deren Nutzung auf
  • verbessert die Kommunikation und den Umgang mit Risiken und Chancen
  • Risikomanagement verbessert die Handlungsfähigkeit

ISO 31000: Risk Management ist eine vertrauensbildende Massnahme

Das Vertrauen in die Leistungsfähigkeit und Verlässlichkeit der Organisation wird erhöht. Risikomangement führt unter anderem zu mehr Rechtssicherheit und mehr Führungssicherheit. Dadurch wird das Vertrauen bei Anteilseignern, bei Mitarbeitern und bei überwachenden Stellen gestärkt. All diese Verbesserungen führen zu einer robusten, belastbaren Organisation, die langfristig über ein stabiles Fundament für ihre Geschäftsaktivitäten verfügt.