Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© BOC-Gruppe (www.boc-group.com) Betriebliche Informationssysteme II Wirtschaftsuniversität Wien Dr. Harald Kühn, BOC Information Systems GmbH Wintersemester.

Ähnliche Präsentationen


Präsentation zum Thema: "© BOC-Gruppe (www.boc-group.com) Betriebliche Informationssysteme II Wirtschaftsuniversität Wien Dr. Harald Kühn, BOC Information Systems GmbH Wintersemester."—  Präsentation transkript:

1 © BOC-Gruppe (www.boc-group.com) Betriebliche Informationssysteme II Wirtschaftsuniversität Wien Dr. Harald Kühn, BOC Information Systems GmbH Wintersemester 2008 / 2009 LV-Nr.: 2082 Einheit 8: Prozessorientiertes Risikomanagement

2 - 2 - © BOC-Gruppe (www.boc-group.com) Inhalt 1Einführung und Motivation 2Gesetzliche Grundlagen 4Vorgehensmodell im Risikomanagement 3Standards für Risikomanagement Frameworks 5ADONIS ® und Risiko- / Kontrollmanagement

3 - 3 - © BOC-Gruppe (www.boc-group.com) Risikomanagement Tagesaktualität durch weltweiten Einbruch der Finanz- als auch Realwirtschaft Regulatoren drängen auf Einführung und Einhaltung von gesetzlichen Rahmenbedingungen zur Minimierung von Risiken und zur Stärkung des Vertrauens Wirtschaftlicher Nutzen von Risikomanagement durch Vermeidung von Kosten, insbesondere durch Schäden, Pönalen, notwendige Maßnahmen oder Imageschäden. Definition Risikomanagement: Durch Monitoring von Prozessen laufende, systematische und kontinuierliche Identifikation, Analyse, Bewertung und Steuerung von potenziellen Risiken, welche die Vermögens-, Finanz- und Ertragslage eines Unternehmens mittel- und langfristig gefährden könnten. Ziel: den Fortbestand eines Unternehmens sichern, die Unternehmensziele mit Hilfe geeigneter Maßnahmen gegen störende Ereignisse absichern und den Unternehmenswert steigern. Vgl. Boerse-Express.com, WebLink: Stand: http://www.boerse-express.com/w/index.php?title=Risikomanagement&oldid=2694

4 - 4 - © BOC-Gruppe (www.boc-group.com) Hintergrund Risikomanagement Warum Risiken managen und nicht einfach vermeiden? Wo kein Risiko, da kein Gewinn Potentieller Gewinn geht immer mit gewissem Verlustrisiko einher (Gewinnausfall) Fokus des Risikomanagements Eingrenzung der Unsicherheit durch Bewusstsein und kontrollierte Reaktion Ohne Risikomanagement: grenzenlose Unsicherheit Risikoscheue oder Tollkühnheit Kontrolle von Prozessen Korrekturen durch reaktionäre Prozesse Vgl. QSE Research, TU Wien, Risikomanagement, WebLink: Stand: http://qse.ifs.tuwien.ac.at/courses/skriptum/download/15P_risiko_wid_ pdf Vgl. DeMarco, T., Lister, T., Bärentango. Mit Risikomanagement Projekte zum Erfolg führen, Carl Hanser Verlag, Risikomanagement vs. Kaffesud-Lesen

5 - 5 - © BOC-Gruppe (www.boc-group.com) Risiko If you dont actively attack the risks, the risks will actively attack you. (Wallmüller, 2004) Zentrale Attribute von Risiken sind Wahrscheinlichkeit und Verlust / Gewinn (-größe). Werden stets in Abhängigkeit zu den definierten Zielen betrachtet. Ziele sind wiederum durch Stakeholder definiert. Definition Risiko: Ein Risiko beinhaltet Chancen- und Schadenpotenzial. Es schätzt das Szenario nach Wahrscheinlichkeit und Auswirkung ein. Das Risiko umfasst nicht nur plötzlich eintretende Schadensfälle, sondern umfasst auch unerwartete, sich schleichend einstellende Fehlentwicklungen. Es steht immer in engem Kontext zu den Zielen. Vgl. ONR Risikomanagement für Organisationen und Systeme. Elemente des Risikomanagementsystems, 2004

6 - 6 - © BOC-Gruppe (www.boc-group.com) Compliance und Compliance-Organisation Soll das Unternehmen präventiv vor Fehlverhalten bewahren, das auf Unwissenheit oder Fahrlässigkeit beruht. Compliance- und Risikomanagement sind Organisationsmaßnahmen, die das rechtmäßige, verantwortungsbewusste und nachhaltige Handeln (Prozesse!) eines Unternehmens, sowie seiner Organe und Mitarbeiter gewährleisten sollen. Einige Kompetenzbereiche von Compliance-Management Finanzsanktionen Marktmissbrauch Interessenkonflikte Datenschutz Insiderhandel Deklarationsvorschriften WebLink: Stand: http://www.corporate-governance.at/ Definition Compliance: Einhaltung von Gesetzen und Richtlinien, aber auch freiwilligen Kodizes in Unternehmen; Compliance Management befasst sich dabei mit den notwendigen Aufgaben und Steuerungsmaßnahmen zur Einhaltung selbiger Vgl. Findeisen, D., Compliance Management, Institut für Managementinformationsystems e.V., WebLink: Stand: http://tinyurl.com/5u7vht

7 - 7 - © BOC-Gruppe (www.boc-group.com) Hintergrund Finanzskandal Bilanzskandale vor 2002 (Auslöser für Sarbanes-Oxley) WorldCom: Der zweitgrößte US-Anbieter von Ferngesprächen hat durch Falschbuchungen in Höhe von 3,85 Milliarden US-Dollar Verluste in Gewinne verwandelt. Mit Schulden von mehr als 30 Milliarden US-Dollar ist der WorldCom-Konkurs die größte Firmenpleite der US-Geschichte. Enron: Der größte Energiehändler der Welt versteckte über Jahre Milliarden-Verbindlichkeiten bei Partnerfirmen. Im Dezember 2002 bricht die undurchschaubare Konstruktion zusammen. Das siebt größte US- Unternehmen beantragt Gläubigerschutz. Der Wirtschaftsprüfer Andersen steht im Verdacht, belastendes Material vernichtet zu haben. Merill Lynch: Die größte US-Brokerfirma zahlt im Rahmen eines Vergleichs mit dem New Yorker Generalstaatsanwalt Eliot Spitzer 100 Millionen US-Dollar. Einige Analysten hatten Aktien hausintern negativ bewertet und sie dann den Kunden trotzdem empfohlen. Xerox: Der Kopiergeräte-Spezialist soll die Umsätze von 1997 bis 2001 um sechs Milliarden US-Dollar aufgebläht haben. Dabei handelt es sich offenbar um vorgezogene Buchungen aus längerfristigen Leasingvereinbarungen. Merck: Der US-Pharmakonzern Merck & Co. soll in einem Zeitraum von drei Jahren 12,4 Milliarden US-Dollar Einnahmen seiner Tochterfirma Medco als Umsätze verbucht haben, obwohl die Gelder nie eingenommen wurden. Vgl. Lothar, L., 8. EU-Richtlinie des Gesellschaftsrechts: EuroSOX, B&L Management Consulting GmbH, Frankfurt 2008, Weblink: Stand: http://www.bulmc.de/Aktuelles/Downloads/Vortrag%20EuroSOX% pdf

8 - 8 - © BOC-Gruppe (www.boc-group.com) Eskalation Bankenkrise 2007/2008 Immobilien- und Finanzkrise 2007 / 2008 Vergabe von Billig-Krediten zur Immobilienfinanzierung Verschleierung oder schlechte Identifikation tatsächlicher Risiken Streuung der Risiken durch Verteilung auf diverse Finanz-Derivate Nach ersten gravierenden Verlusten vermehrte Meldungen: Hedge Fonds und Banken halten große Anteile an Sicherheiten in Form von Hypotheken auf Immobilien (mitunter verpackt in gekauften Finanz-Derivaten) Verfall der Immobilienpreise und gleichzeitig Hoch bei Kündigungen von Hypotheken Rekord-Rückgang am Immobiliensektor mit starken Auswirkungen auf Finanzsektor Ankündigung bedenklicher Liquiditätsprobleme u.a. bei Bear Stearns und Indymac Bank U.S. Rettungspaket für Fennie Mae und Freddie Mac Investmentbanken Kollaps von Lehman Brothers Ltd., Auffang von AIG und Merrill Lynch Ende unabhängiger Investment Banken durch Konvertierung von Goldman Sachs und Morgan Stanley zu Bankbeteiligungsunternehmen Größte Bankenpleite in U.S. Geschichte: Washington Mutual im September 2008 $ 700 Mrd. Rettungspaket für Banken am 3. Oktober 2008 vom U.S. Repräsentantenhaus genehmigt Ähnliche Maßnahme im Volumen von 300 Mrd. in Europa durch Mitgliedsstaaten aufzubringen Timeline Global Economy in Crisis, Weblink: Stand: http://www.cfr.org/publication/17723/

9 - 9 - © BOC-Gruppe (www.boc-group.com) Inhalt 1Einführung und Motivation 2Gesetzliche Grundlagen 4Vorgehensmodell im Risikomanagement 3Standards für Risikomanagement Frameworks 5ADONIS ® und Risiko- / Kontrollmanagement

10 © BOC-Gruppe (www.boc-group.com) Auszug aus internationalen gesetzlichen Grundlagen für diverse Branchen Dienen als Leitfäden zur Einhaltung von Standards, Abschätzung von Risiken, Einführung von Kontrollen, Dokumentation und Überwachung von Prozessen, … Einführung solcher Corporate Governance Frameworks bedarf massiver Anpassungen in Geschäfsprozessen und IT-Services Übersicht über gesetzliche Grundlagen SOX EuroSOX (8. EU-Richtlinie) Basel II (Banken) Solvency II (Versicherungen) ONR 4900x

11 © BOC-Gruppe (www.boc-group.com) Sarbanes-Oxley Act - Allgemeines Sarbanes-Oxley Act of 2002 (SOX) als Reaktion auf Bilanzskandale wie Enron oder Worldcom zur Sicherstellung der Verlässlichkeit der Unternehmensberichterstattung eingeführt US-Gesetz (US-amerikanische und ausländische Unternehmen, deren Wertpapiere (mit oder ohne Eigenkapitalcharakter) an US-Börsen gehandelt oder öffentlich angeboten werden, sowie deren Tochterunternehmen) bestimmt vielfältige Änderungen in anderen Gesetzen, wie im Börsen- oder Wertpapiergesetz schafft Public Company Accounting Oversight Board (PCAOB) als unabhängige Aufsichtsbehörde für Wirtschaftsprüfungsgesellschaften Konflikte mit anderen nationalen Gesetzen (bspw. persönliche Haftung von Senior Managern, o.ä.) Ziel ist die Herstellung und nachhaltige Erhaltung des Vertrauens in die Unternehmen durch Sicherstellung hochwertiger Standards Unterteilung in Compliance Roadmap und Compliance Realization Plan Development of SOX Scenarios Analysis of Operative Consequences Strategic Considerations Drawing of a Realization Plan Process Definition Risk Assessment and Scoping Design Effectiveness Operating Effectiveness Internal Management Auditors Final Review Compliance Roadmap Compliance Realization Plan Vgl. Schwab, M., A framework for the Sarbanes Oxley Act of 2002, BOC Information Technologies Consulting Ltd., Mai 2006, S. 32.

12 © BOC-Gruppe (www.boc-group.com) Sarbanes Oxley Act - Inhalte Sarbanes Oxley Act besteht aus 11 Titles (Kapitel) mit mehreren Sections (Subkapitel) 1)Public Company Accounting Oversight Board (PCAOB) unabhängige Aufsichtsbehörde für Wirtschaftsprüfungsgesellschaften 2)Auditor Independence Vermeidung von Interessenskonflikten durch Einschränkung der Tätigkeitsfreiheit externer Prüfer für das geprüfte Unternehmen 3)Corporate Responsibility Senior Executives übernehmen persönliche Verantwortung für Qualität und Inhalt von Finanzberichten: speziell Section 302 bestimmt, dass CEO oder CFO für vierteljährliche Finanzberichte bürgen 4)Enhanced Financial Disclosures Etablierung interner Kontrollsysteme zur Kontrolle und Qualitätssicherung von zu veröffentlichenden Berichten; verpflichtende Beurteilung der Wirksamkeit dieser internen Kontrollsysteme durch Geschäftsleitung und verpflichtendes Urteil über Wirksamkeit durch externen Wirtschaftsprüfer (speziell Section 404) Fortsetzung…

13 © BOC-Gruppe (www.boc-group.com) Sarbanes-Oxley Act - Inhalte … Fortsetzung 5) + 6) Analyst Conflicts of Interest + Commission Resources and Authority betreffen Maßnahmen zur Wiederherstellung des Vertrauens in die Berichterstattung durch Analysten bzw. in die Analysten per se 7)Studies and Reports Nachforschungen bezüglich Umsetzung der Maßnahmen und Ursachenforschung im Enron-Skandal u.ä. 8)Corporate and Criminal Fraud Accountability detaillierte Strafen für Betrug durch Manipulation, Zerstörung oder Änderung von Berichten, sowie Behinderung von Nachforschungen, und Schutzmaßnahmen für Whistleblowers 9)White Collar Crime Penalty Enhancement sieht strengere Urteile für mutwillige Schadensgenerierung durch Manager vor 10)Corporate Tax Returns regelt Verantwortung des CEO für Körperschaftssteuererklärungen 11)Corporate Fraud Accountability deklariert Unternehmensbetrug und –manipulation als kriminelle Handlungen und verweist auf Strafmaß

14 © BOC-Gruppe (www.boc-group.com) SOX Compliance Roadmap Möglicher Weg zum Erlangen der SOX-Compliance Stage 1: Development of SOX Scenarios Entwicklung und Evaluierung alternativer Szenarios Verbalisierung der SOX Unternehmensziele und Fokusierung Stage 2: Analysis of Operative Consequences Analyse der direkten Auswirkungen auf bestehende Systeme Evaluierung alternativer Lösungen Feststellen der notwendigen Maßnahmen und der essentiellen Ressourcen Stage 3: Strategic Considerations Verifizierung der aktuellen Unternehmens- und Teilstrategien hinsichtlich der zu erwartenden Effekte durch SOX-Regulierung Strategische Optionen im Kontext von SOX Änderung und Neudefinition der Unternehmensstrategie, falls notwendig Grobes Layout zur Erreichung der ausgewählten, strategischen SOX-Ziele Stage 4: Drawing of a Realization Plan Projektplan zum Erlangen der SOX-Compliance, mit Fokus auf strategische Ziele Sicherstellung der Erreichung der strategischen Ziele Vorbereitung für systematisches Projektmonitoring Sicherstellung der technischen und operationalen Durchführbarkeit Development of SOX Scenarios Analysis of Operative Consequences Strategic Considerations Drawing of a Realization Plan Vgl. Schwab, M., A framework for the Sarbanes Oxley Act of 2002, BOC Information Technologies Consulting Ltd., Mai 2006, S. 32.

15 © BOC-Gruppe (www.boc-group.com) SOX Compliance Realization Plan Implementation Phase 1.Process Definition Prozesse und Abläufe werden verständlich und nachvollziehbar, künftige Audits möglich Eindeutigkeit von Aufbau- und Ablauforganisation im Unternehmen Hoher Grad an interner Transparenz (Prozesse und Organisation) 2.Risk Assessment and Scoping Klarstellung und Kommunikation der Risikosituation innerhalb des Unternehmens Prozess-Auditing und Risikozuordnung Erstellung von betrugshindernden Check-Routinen Erste Durchsicht durch externen Auditor 3.Design Effectiveness Klarstellung und Kommunikation der Risikosituation innerhalb des Unternehmens Evaluierung der Effektivität des Prozessdesigns Effektive Vermeidung von Risiken und unternehmensweite Risikoanalyse Durchsicht durch externen Auditor Process Definition Risk Assessment and Scoping Design Effectiveness Operating Effectiveness Internal Management Auditors Final Review Vgl. Schwab, M., A framework for the Sarbanes Oxley Act of 2002, BOC Information Technologies Consulting Ltd., Mai 2006, S. 32.

16 © BOC-Gruppe (www.boc-group.com) Process Definition Risk Assessment and Scoping Design Effectiveness Operating Effectiveness Internal Management Auditors Final Review SOX Compliance Realization Plan Execution Phase 4.Operating Effectiveness Risiko- und Kontroll-getriebenes Business Evaluation System Möglichkeit zur Durchführung wiederholter self-Audits Problemlose, sichere und effiziente Durchführung des Tagesgeschäftes 5.Internal Management Aktives Risikomanagement basierend auf tagesaktuellen Daten Integration und Teilnahme auf allen Ebenen des Managements 6.Auditors Final Review Aktive Teilnahme externer Auditoren im Compliance-Prozess Jährliche Veröffentlichung der Finanzzahlen, entsprechend US-GAAP SOX-Compliance Process Definition Risk Assessment and Scoping Design Effectiveness Operating Effectiveness Internal Management Auditors Final Review Vgl. Schwab, M., A framework for the Sarbanes Oxley Act of 2002, BOC Information Technologies Consulting Ltd., Mai 2006, S. 32.

17 © BOC-Gruppe (www.boc-group.com) EuroSOX – Die 8. EU-Richtlinie Allgemeines Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates (17. Mai 2006) über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates Europäische Anpassung bestehender Gesetzgebung in Anlehnung an Sarbanes-Oxley Stärkung des Vertrauens in Rechnungslegung, Prüfverfahren und Qualitätssicherung Vgl. Leger, L.., 8. EU-Richtlinie des Gesellschaftsrechts: EuroSOX, B&L Management Consulting GmbH, Frankfurt / Rosenheim 2008, Weblink: Stand: Vgl., Yildiz, A., Die Neufassung der 8. EU-Richtlinie (Abschlussprüfer-Richtlinie) und nationaler Transformationsbedarf, Universität Hamburg, Mai 2006, Weblink: Stand: Vgl. Berger, D., Die 8. EU-Richtlinie: Mehr Pflichten für Aufsichtsräte, Österreichischer Interessensverband für Anleger, Wien 2008, Weblink: Stand: http://www.bulmc.de/Aktuelles/Downloads/Vortrag%20EuroSOX% pdfhttp://www.uni-hamburg.de/fachbereiche-einrichtungen/fb03/iwp/rut/Yildiz.pdfhttp://www.anlegerschutz.at/artdetail.php?id=5517&cat=5

18 © BOC-Gruppe (www.boc-group.com) EuroSOX – Die 8. EU-Richtlinie Inhalte Ähnlich Sarbanes-Oxley Act, jedoch auf anderer rechtlicher Grundlage orientiert Harmonisierung der Anforderungen an Abschlussprüfungen (Qualitätssicherung, Audits u.ä.) Verpflichtende Einführung von Prüfungsausschüssen Höhere Unabhängigkeit der Prüfer Verpflichtende und detaillierte Dokumentation abschlussnaher Prozesse und Einführung von Risikomanagement und zugehörigem internen Kontrollsystem Bei Nichteinhaltung erweiterte Haftung durch Manager Musste von Mitgliedsstaaten, an nationale Rahmenbedingungen angepasst, bis in nationales Recht umgesetzt werden (in Deutschland Gesetz zur Steigerung der Transparenz und Publizität in Deutschland (TransPubG), Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) bzw. Bilanzrechtsreformgesetz (BilReG), in Österreich Unternehmensrechtsänderungsgesetz 2008 (URÄG)) Vgl. Berger, D., Die 8. EU-Richtlinie: Mehr Pflichten für Aufsichtsräte, Österreichischer Interessensverband für Anleger, Wien 2008, Weblink: Stand: http://www.anlegerschutz.at/artdetail.php?id=5517&cat=5

19 © BOC-Gruppe (www.boc-group.com) Basel II - Allgemeines 3 Säulen von Basel II 1.Mindesteigenkapitalvorschriften 2.Bankaufsichtlicher Überprüfungsprozess 3.Marktdisziplin / Erweiterte Offenlegung Zentraler Bestandteil (ICAAP): Verfahren zur Beurteilung der Eigenkapitalausstattung Internal Capital Adequacy Assessment Process (ICAAP) Aufgaben sind Risiken zu identifizieren und zu messen, sowie internes Kapital gemäß Risikoprofil auszustatten und ein geeignetes Risikomanagementsystem anzuwenden Prozess gemäß ICAAP: Fixierung der Risikostrategie, Risikoidentifizierung, Quantifizierung von Risiken und Deckungsmassen, Aggregation, Risikovorsteuerung, Risikoüberwachung und Nachsteuerung Mindestkapital- vorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin Säule ISäule IISäule III Basel II Anwendungsbereich

20 © BOC-Gruppe (www.boc-group.com) Basel II – Säule I Mindeskapitalanforderung genauere und angemessenere Berücksichtigung der Risiken einer Bank bei der Bemessung ihrer Eigenkapitalausstattung Kreditausfallrisiken erwartete Verluste gehen zu Lasten des vorhandenen Eigenkapitals unerwartete Verluste mit Eigenmitteln zu unterlegen sind daher je fortschrittlicher (risikosensitiver) die Bewertungsmethode, desto höher die Einsparungen bei Kapitalunterlegung Marktpreisrisiken Änderungen von Preisen am Geldmarkt, Wechselkurs- oder Zinssatzänderungen, etc. Identifikation, Quantifizierung und Steuerung (Vermeidung, Reduzierung, Kompensation) von Marktpreisrisiken Operationelle Risiken direkte oder indirekte Verluste infolge ausfallender oder unzureichender interner Verfahren, oder infolge exogener Einflüsse Mindestkapital- vorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin Säule ISäule IISäule III Basel II Anwendungsbereich

21 © BOC-Gruppe (www.boc-group.com) Basel II – Säule II Bankaufsichtlicher Überprüfungsprozess Sicherstellung von Risikominimierung durch Überwachung durch übergeordnete Instanz Laufende und regelmäßige Überprüfung durch die Bankenaufsicht Einhaltung der Anforderungen an Methodik und Offenlegung zur Verwendung interner Ratings Überprüfung der Risikosteuerung und des Berichtswesens Fordert Etablierung adäquater Risikomanagementsysteme, sowie Überwachung durch eine Aufsichtsbehörde Grundsatz der doppelten Proportionalität: sowohl Steuerungsinstrumente, als auch Kontrollmechanismen durch Bankenaufsicht müssen proportional zu eingegangenen Risiken stehen Zinsänderungsrisiken im Anlagebuch Weiterhin Überprüfung der in Säule 1 erfassten Risiken und Monitoring der Entwicklungen Angemessenheit der Eigenmittelausstattung Säule ISäule IISäule III Basel II Anwendungsbereich Mindestkapital- vorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin

22 © BOC-Gruppe (www.boc-group.com) Basel II – Säule III Marktdisziplin / Erweiterte Offenlegung Stärkung der Marktdisziplin durch vermehrte Offenlegung von Information (Jahresabschluss, Quartals- oder Lageberichte); Disziplinierung aus möglichen Reaktionen auf unvernünftige Eigen- und Risikokapitalstruktur Eigenkapitalstruktur Umfassende qualitative und quantitative Offenlegung Eingegangene Risiken und deren Beurteilung Detaillierte Erläuterung der Methodik zur Risikomessung, -überwachung und –steuerung Angemessenheit der Eigenmittelausstattung Qualitative und quantitative Offenlegung der Eigenmittelausstattung für Kreditrisiken, Beteiligungspositionen, Marktrisiken und operationale Risiken Gesamt- und Kernkapitalquote Säule ISäule IISäule III Basel II Anwendungsbereich Mindestkapital- vorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin

23 © BOC-Gruppe (www.boc-group.com) Solvency II - Allgemeines 2001 von EU-Kommission initiiert völlig neues Solvabilitätssystem: umfassendere realistischere und zeitnahere Darstellung der Risiken eines Versicherers Wesentliche Unterschiede zu Basel II: Erheblich stärkere Kopplung der Solvenzausstattung an das Risikoprofil des Versicherers Weitergehende aufsichtsbehördliche Prüfverfahren Wesentlich breitere Informations- und Offenlegungspflichten Vgl. Verband der Versicherungsunternehmen Österreichs, Solvency II – Bedrohung oder Chance?, Jänner 2006, Weblink: Stand: Mindestkapitalniveau und Zielsolvenzkapital Aufsichtsrechtliche Prüfverfahren und Qualitätsanforderungen Marktdisziplin Säule ISäule IISäule III Solvency II

24 © BOC-Gruppe (www.boc-group.com) Solvency II – die Säulen Säule 1: Mindeskapitalniveau und Zielsolvenzkapital Quantitative Anforderungen hinsichtlich versicherungstechnischer Rückstellungen, Kapitalanforderungen und Bilanzmanagement (Asset & Liability Management), Kreditrisiko, Marktrisiko, operationales Risiko, Management von Risikokapital Säule 2: Aufsichtsrechtliche Prüfverfahren und Qualitätsanforderungen (analog zu Basel II) Umsetzung der adäquaten prozessorientierten Aufbau- und Ablauforganisation hinsichtlich Corporate Governance und Risk-Management, angemessenes Vertrags-, Schaden- und Rückversicherungsmanagement, Management und Steuerung operationaler Risiken und exogener Einflussgrößen Säule 3: Marktdisziplin / Erweiterte Offenlegung Fokus auf Marktdisziplin durch umfangreiche Veröffentlichungspflichten (Methoden, Management-Prozesse, Kapitalausstattung, Szenario-Analysen), Förderung der Transparenz in Anlehnung an Corporate Governance, starke Orientierung auf interne Modelle mit strengeren Veröffentlichungspflichten, starke Verzahnung mit den IFRS (International Financial Reporting Standards) Vgl. The Risk Management Network, Die grundsätzliche Struktur von Solvency II, Weblink: Stand: Mindestkapitalniveau und Zielsolvenzkapital Aufsichtsrechtliche Prüfverfahren und Qualitätsanforderungen Marktdisziplin Säule ISäule IISäule III Solvency II

25 © BOC-Gruppe (www.boc-group.com) Inhalt 1Einführung und Motivation 2Gesetzliche Grundlagen 4Vorgehensmodell im Risikomanagement 3Standards für Risikomanagement Frameworks 5ADONIS ® und Risiko- / Kontrollmanagement

26 © BOC-Gruppe (www.boc-group.com) Übersicht über einige Risikomanagement Frameworks COSO Framework COSO Internal Control Framework (COSO I) COSO Enterprise Risk Management Framework (COSO II oder COSO ERM) COSO Internal Control over Financial Reporting – Guidance for Smaller Public Companies (COSO ICoFR) CObIT Control Objectives for IT and Related Technology Speziell für IT Management, Benutzer und Prüfer Spezieller Fokus auf IT Kontrollen, Mapping auf verschiedenste andere Standards Enterprise Risk Management ERM Unternehmensweite Perspektive zur Dokumentation und Kontrolle von Risiken Bspw. COSO ERM Framework als Erweiterung des COSO Frameworks zur Compliance mit SOX o.ä. Österreichisches Normungsinstitut ONR 4900x Risikomanagement für Organisationen und Systeme Anwendung von ISO/DIS 31000

27 © BOC-Gruppe (www.boc-group.com) COSO I - Allgemeines Die 5 Komponenten eines Internen Kontrollsystems (IKS): Kontrollumfeld Risikobewertung Kontrollaktivitäten Information und Kommunikation Überwachung Zielsetzungen von COSO I: Effektivität und Effizienz von Tätigkeiten Verlässliche Finanzberichterstattung Compliance zu Gesetzen und Bestimmungen COSO-Modell 1992 / 1994 Committee of Sponsoring Organizations of the Treadway Commission WebLink:

28 © BOC-Gruppe (www.boc-group.com) CObIT - Allgemeines Control Objectives for IT and Related Technology In starker Anlehnung an COSO entwickelt Integration der IT-Governance in Corporate Governance Bindeglied zwischen COSO und IT-spezifischen Modellen (ITIL, ISO 17799, etc.) Betrachtet IT als Zusammenspiel von drei wesentlichen Elementen Prozesse Anforderungen des Business IT-Ressourcen Weitere Aufgliederung: Vgl. Wolf, S., IT Governance mit ITIL, CObIT und der Balanced Scorecard, Diplomarbeit Hochschule Niederrhein, 2006, WebLink: Stand: http://www.wolles-homepage.de/itg/Diplomarbeit_IT-Governance_Sebastian_Wolf.pdf IT-Prozesse Domänen Prozesse Aktivitäten IT-Ressourcen Menschen Infrastruktur Information Applikation Anforderungen des Business Effektivität Effizienz Vertraulichkeit Integrität Verfügbarkeit Einhaltung rechtl. Erfordernisse Zuverlässigkeit CObIT Framework

29 © BOC-Gruppe (www.boc-group.com) CObIT - Inhalte Die vier CObIT Domänen sind Planen und Organisieren Beschaffen und Implementieren Bereitstellen und Unterstützen Überwachen und Bewerten 34 (Haupt-) Prozesse 215 Aktivitäten (Subprozesse) CobiT 4.0 beinhaltet Executive Summary Governance and Control Framework Control-Objectives Management Guidelines Implementation Guide IT Assurance Guide (früher Audit Guide) Vgl. ISACA, CObIT Framework, Executive Summary, WebLink: Stand: http://tinyurl.com/6l7nq2

30 © BOC-Gruppe (www.boc-group.com) Enterprise Risk Management Allgemeines Abgrenzung Enterprise Risk Management (ERM) zu Risiko Management Holistischer Ansatz Überwindung des Silo-Denkens (Betrachtung einzelner Risiko-Kategorien oder einzelner Geschäftsbereiche unabhängig voneinander) Eingehen gewünschter Risiken und Reduzierung unerwünschter Risiken entsprechend in Risikostrategie festgelegtem Umfang Die 4 Response-Strategien für auftretende Risiken Vermeiden von risikobehafteten Aktivitäten Vermindern der Wahrscheinlichkeit des Eintretens oder der Auswirkungen Übertragen des Risikos auf Stakeholder oder Absichern vor Risiken durch Versicherungen o.ä. Akzeptanz von Risiken ohne Intervention auf Grund von Kostenvorteilen

31 © BOC-Gruppe (www.boc-group.com) ERM – Framework (COSO II) COSO ERM Framework auf 8 Komponenten erweitert Zielsetzungen von COSO ERM Weitere ERM Frameworks Casualty Actuarial Society Framework (WebLink: RIMS Risk Maturity Model for ERM (WebLink: … COSO ERM Framework Erweiterung des COSO Frameworks für Enterprise Risk Management Risikoreaktion Kontrollaktivitäten Information und Kommunikation Überwachung Internes Kontrollumfeld Zielsetzung Ereignisidentifikation Risikobewertung Verlässliche Finanzberichterstattung Compliance zu Gesetzen und Bestimmungen Sicherstellung der Ausrichtung an strategischen Zielen Effektivität und Effizienz von Tätigkeiten

32 © BOC-Gruppe (www.boc-group.com) ONR 4900x Österreichisches Normungsinstitut Richtlinien 49000, 49001, /-2/-3 und Inhalte Begriffe und Grundlagen Ziele und Grundsätze des Risikomanagements nach ISO/DIS Methodisches Rahmenwerk (Plan, Do, Check, Act) Grundlage für wirksame Risikobeurteilung und Risikobewältigung Unterstützung in der Integration von Risiko Management in Unternehmen Risikomanagement für Organisationen und Systeme Dokumentation Verantwortung der Leitung Management von Ressourcen System- überwachung Verbesserung Risiko Management Prozess Systemdefinition Risikobeurteilung Risikobewältigung Risikosystemüberwachung Vgl. ONR Risikomanagement für Organisationen und Systeme, Elemente des Risikomanagementsystems, 2004, S. 4ff.

33 © BOC-Gruppe (www.boc-group.com) Inhalt 1Einführung und Motivation 2Gesetzliche Grundlagen 4Vorgehensmodell im Risikomanagement 3Standards für Risikomanagement Frameworks 5ADONIS ® und Risiko- / Kontrollmanagement

34 © BOC-Gruppe (www.boc-group.com) Vorgehensmodell im Risikomanagement Kontinuierliche Evaluierung und Verbesserung Erhebung der Risiken und Kontrollen Abbilden der Risiken und Kontrollen Definition der Risikostrategie Vorgehensmodell im Risikomanagement Generisches Vorgehensmodell im prozessorientierten Risikomanagement Einflechtung kennengelernter Standards und Frameworks in generisches Vorgehensmodell Abdeckung der wichtigsten Elemente zur Implementierung und kontinuierlichen Verbesserung eines Internen Kontrollsystems

35 © BOC-Gruppe (www.boc-group.com) Vorgehensmodell im Risikomanagement Vorgehensmodell im prozessorientierten Risikomanagement Definition der Risikostrategie Erhebung der Risiken und Kontrollen Identifikation von generischen Risiken und Kontrollen Filtern von branchen- oder unternehmensspezifischen Risiken und Kontrollen Identifikation der Eintrittswahrscheinlichkeit und der zu erwartenden Auswirkungen Klassifizierung der Risiken und Kontrollen Abbilden der Risiken und Kontrollen Zuweisung zu bestimmten Geschäftsprozessen und Aktivitäten Verknüpfung der Risiken mit sinnvollen Kontrollen Kontinuierliche Evaluierung und Verbesserung Identifikation und Modellierung eines Kontrollprozesses Evaluierung der bestehenden Risiken und Kontrollen auf Effektivität und Effizienz Kontinuierliche Überwachung und Verbesserung

36 © BOC-Gruppe (www.boc-group.com) Aufbau eines prozessorientierten Internen Kontrollsystems Internes Kontrollsystem als Prozess (siehe COSO) Ziele dieses Prozesses: Effektivität und Effizienz der operativen Gewährleistung der Korrektheit der Finanzberichterstattung Erfüllung gesetzlicher Vorgaben Beinhaltet Kontrollumfeld Risikobewertung Kontrollaktivitäten Information und Kommunikation Überwachung a. Kontrollumfeld Festlegung der Risikophilosophie Definition einer Strategie zur Begegnung der Risiken Komponenten eines prozessorientierten IKS

37 © BOC-Gruppe (www.boc-group.com) Aufbau eines prozessorientierten Internen Kontrollsystems b. Risikobewertung Risikoidentifikation (auf Basis der Unternehmensziele) Bewertung der Eintrittswahrscheinlichkeit und der Auswirkung Vorgehen: Abbilden der Risiken verschiedenster Kategorien Bewerten hinsichtlich ihrer Kennwerte Zuordnen zu Prozessen bzw. Aktivitäten Risikobewertung in ADONIS ®

38 © BOC-Gruppe (www.boc-group.com) Aufbau eines prozessorientierten Internen Kontrollsystems c. Kontrollaktivitäten Auswahl jener identifizierten Risiken, die Maßnahmen zur Risikobewältigung erfordern Einführung von Kontrollen zur Überprüfung dieser Maßnahmen und ihrer Effizienz Kontrollaktivitäten in ADONIS ® Weiters: Abbilden der notwendigen Kontrollaktivitäten zur Durchführung der Kontrollen

39 © BOC-Gruppe (www.boc-group.com) Aufbau eines prozessorientierten Internen Kontrollsystems d. Information und Kommunikation Anweisungen des Managements an die operative Ausführung Reporting an das Management e. Überwachung Regelmäßige Evaluierung und Anpassung des Systems an aktuelle Umstände Risiken und Kennwerte laufend neu bewerten Überprüfung der Kontrollaktivitäten auf Effektivität Berichtswesen in ADONIS ®

40 © BOC-Gruppe (www.boc-group.com) Inhalt 1Einführung und Motivation 2Gesetzliche Grundlagen 4Vorgehensmodell im Risikomanagement 3Standards für Risikomanagement Frameworks 5ADONIS ® und Risiko- / Kontrollmanagement

41 © BOC-Gruppe (www.boc-group.com) ERM-Extension in ADONIS ® SOX Basel II Risikomanagement COBIT ® IT-Governance Internes Kontrollsystem COSO Internal Control Framework KonTraG Risikocontrolling e-Commerce ERM

42 © BOC-Gruppe (www.boc-group.com) Ziele von Risikomanagement Zielsetzung des Risikomanagements ist: Früherkennung von Risiken Begrenzung der risiko-erzeugenden Faktoren Bewältigung von Risiken durch effiziente Kontrollen Kommunikation von Risiken Überwachung und detaillierte Kenntnis von bestehenden Risiken

43 © BOC-Gruppe (www.boc-group.com) ERM-Extension in ADONIS ® BPM mit ADONIS ® BP-Report für SOX ERM-Extension Reporting Das Internal Control Framework in ADONIS ® : Überblick über die Geschäftsprozesse und Prozesslandkarten. Modellierung der Geschäfts- und Finanzkontrollprozesse. Identifizierung von Risiken and Kontrollen. Analysierung des Zusammenspiels von Kontrollen und Risiken. Automatische Generierung von Reports.

44 © BOC-Gruppe (www.boc-group.com) Zusätzliche Modelltypen Kontroll- landkarte Risiko- landkarte Poolmodelle für Kontrollen und Risiken geben einen Überblick über existierende Kontrollen und Risiken und vermeiden Redundanzen bei der Modellierung.

45 © BOC-Gruppe (www.boc-group.com) Modellierung von Kontrollen und Risiken Geschäftsprozess Generischen Risiken Generische Kontrollen Risiken werden Aktivitäten zugeordnet. Risiken können im selben oder einem anderen Prozess kontrolliert werden. Risiken in Prozessen stehen im Zusammenhang mit generischen Risiken und Kontrollen in einem Poolmodell. Kontrollen stehen im Zusammenhang mit Kontroll- Aktivitäten über generische Kontrollen in einem Poolmodell. Kontrollprozess Modelltypen: Standard Konfiguration ADONIS ® ERM Erweiterung

46 © BOC-Gruppe (www.boc-group.com) Bewertung der Risiken Risikobewertung von gering bis bedrohlich Risikowahr- scheinlichkeit Risikobewertung mit Visualisierung der Stufen: E(1) – gering D(2) – leicht erhöht C(3) – mittel B(4) – hoch A(5) – bedrohlich

47 © BOC-Gruppe (www.boc-group.com) Risiken typisieren Risiken typisieren und über eine integrierte Risiko-Ansichtsfunktion bestimmte Risikotypen ein bzw. aus blenden lassen.

48 © BOC-Gruppe (www.boc-group.com) Überblick in der Prozesslandkarte Risiken und Kontrollen können auf Landkarten-Ebene aggregiert werden. Damit hat man die Risiken mit den zugehörigen Kontrollen eines Prozesses auf einen Blick. Kontrollprozess Geschäftsprozesse Prozesslandkarte Risikoreport eines Prozesses

49 © BOC-Gruppe (www.boc-group.com) Abbildung und Dokumentation von Kontrollen und Risiken

50 © BOC-Gruppe (www.boc-group.com) Integration von Kontrollprozessen Kontrollen können mit Kontroll-Aktivitäten und – Prozessen hinterlegt werden.

51 © BOC-Gruppe (www.boc-group.com) SOX-Reports Risikoreport Automatische Generierung von Dokumentationen mit Modellinformationen KontrollreportRisiko-Kontroll-Matrix Reporting

52 © BOC-Gruppe (www.boc-group.com) SOX-Report: Risiko-Kontroll-Matrix (Beispiel)

53 © BOC-Gruppe (www.boc-group.com) Anwendungsbeispiel Risikomanagement Modellierung Versicherungsabschluss Versand einer eingegangenen Bestellung: Verwenden Sie das zur Verfügung gestellt Geschäftsprozess- und Arbeitsumgebungsmodell (2082_Beispiel_Riskmanagement.adl): In Ihrem Versandprozess werden eingegangene Bestellungen von Lagerarbeitern aus dem Datenbanksystem ausgelesen und folglich zusammengestellt und verpackt. Die Pakete werden im Anschluss etikettiert und mit dem Lieferschein bzw. der Rechnung bestückt. Ein Poststellenmitarbeiter holt die fertigen Pakete in regelmäßigen Abständen aus dem Lager und regelt daraufhin den Versand. Erweitern Sie die Modelle im Folgenden durch Risiko- und Kontrollpools und versehen Sie die Aktivitäten mit sinnvollen Risiken und Kontrollen. Kategorisieren Sie die Risiken und Kontrollen in den Poolmodellen durch Verwendung von Aggregationen und hinterlegen Sie zumindest zwei der Kontrollen mit sinnvollen Kontrollprozessen. Ihre Mitarbeiter tendieren dazu, Bestellungen zu verwechseln, und ab und an Pakete falsch zu etikettieren. Darüber hinaus kann es vorkommen, dass der Lagerstand im Webshop nicht mit dem tatsächlichen Lagerstand übereinstimmt und Sie daher manche Bestellungen nicht sofort aussenden können. Auch externe wie interne kriminelle Handlungen, sowie Verlust oder Beschädigung von fertig gestellten Sendungen scheinen in Ihrem Risiko-Portfolio auf. Weiters müssen Sie mit fehlendem Fachwissen bei der Bedienung Ihrer Systeme umgehen können. Opportunistisches Verhalten oder Zuverlässigkeit der verwendeten IT-Systeme sind in Ihre Überlegungen einzubeziehen. Modellieren Sie nun die Risiken, Kontrollen, sowie mindestens zwei Kontrollprozesse.

54 © BOC-Gruppe (www.boc-group.com) Weiterführende Literatur DeMarco, T., Lister, T., Bärentango. Mit Risikomanagement Projekte zum Erfolg führen, Carl Hanser Verlag, Romeike, F., Müller-Reichart, M., Risikomanagement in Versicherungsunternehmen, 2. Auflage, WILEY-VCH Verlag GmbH & Co KGaA, Weinheim Flaherty, J.J., Unternehmensweites Risikomanagement - Übergreifendes Rahmenwerk, The Committee of Sponsoring Organizations, Jersey City 2004, deutsche Übersetzung: Deutsches Institut für Interne Revision e.V., Frankfurt/Main Wallmüller, E., Risikomanagement für IT- und Softwareprojekte, Carl Hanser Verlag, Schwab, M., A framework for the Sarbanes Oxley Act of 2002, BOC Information Technologies Consulting Ltd., Dublin, Mai Junginger, S., Risikomanagement und Interne Kontrollsysteme mit dem BOC Management Office ®, Whitepaper, WebLink: group.com/documents/news/wp_risikomanagement.pdf, Stand: http://www.boc- group.com/documents/news/wp_risikomanagement.pdf


Herunterladen ppt "© BOC-Gruppe (www.boc-group.com) Betriebliche Informationssysteme II Wirtschaftsuniversität Wien Dr. Harald Kühn, BOC Information Systems GmbH Wintersemester."

Ähnliche Präsentationen


Google-Anzeigen