Einheit 8: Prozessorientiertes Risikomanagement Betriebliche Informationssysteme II Wirtschaftsuniversität Wien Einheit 8: Prozessorientiertes Risikomanagement Dr. Harald Kühn, BOC Information Systems GmbH Wintersemester 2008 / 2009 LV-Nr.: 2082
Inhalt 1 Einführung und Motivation 2 Gesetzliche Grundlagen 3 Standards für Risikomanagement Frameworks 4 Vorgehensmodell im Risikomanagement 5 ADONIS® und Risiko- / Kontrollmanagement
Risikomanagement Tagesaktualität durch weltweiten Einbruch der Finanz- als auch Realwirtschaft Regulatoren drängen auf Einführung und Einhaltung von gesetzlichen Rahmenbedingungen zur Minimierung von Risiken und zur Stärkung des Vertrauens Wirtschaftlicher Nutzen von Risikomanagement durch Vermeidung von Kosten, insbesondere durch Schäden, Pönalen, notwendige Maßnahmen oder Imageschäden. Definition Risikomanagement: Durch Monitoring von Prozessen laufende, systematische und kontinuierliche Identifikation, Analyse, Bewertung und Steuerung von potenziellen Risiken, welche die Vermögens-, Finanz- und Ertragslage eines Unternehmens mittel- und langfristig gefährden könnten. Ziel: den Fortbestand eines Unternehmens sichern, die Unternehmensziele mit Hilfe geeigneter Maßnahmen gegen störende Ereignisse absichern und den Unternehmenswert steigern. Vgl. Boerse-Express.com, WebLink: http://www.boerse-express.com/w/index.php?title=Risikomanagement&oldid=2694, Stand: 18.11.2008.
Hintergrund Risikomanagement Warum Risiken managen und nicht einfach vermeiden? Wo kein Risiko, da kein Gewinn Potentieller Gewinn geht immer mit gewissem Verlustrisiko einher (Gewinnausfall) Fokus des Risikomanagements Eingrenzung der Unsicherheit durch Bewusstsein und kontrollierte Reaktion Ohne Risikomanagement: grenzenlose Unsicherheit Risikoscheue oder Tollkühnheit Kontrolle von Prozessen Korrekturen durch reaktionäre Prozesse Risikomanagement vs. Kaffesud-Lesen Vgl. DeMarco, T., Lister, T., “Bärentango. Mit Risikomanagement Projekte zum Erfolg führen”, Carl Hanser Verlag, 2003. Vgl. QSE Research, TU Wien, „Risikomanagement“, WebLink: http://qse.ifs.tuwien.ac.at/courses/skriptum/download/15P_risiko_wid_20031202.pdf, Stand: 18.11.2008.
Risiko „If you don‘t actively attack the risks, the risks will actively attack you.“ (Wallmüller, 2004) Zentrale Attribute von Risiken sind Wahrscheinlichkeit und Verlust / Gewinn (-größe). Werden stets in Abhängigkeit zu den definierten Zielen betrachtet. Ziele sind wiederum durch Stakeholder definiert. Definition Risiko: Ein Risiko beinhaltet Chancen- und Schadenpotenzial. Es schätzt das Szenario nach Wahrscheinlichkeit und Auswirkung ein. Das Risiko umfasst nicht nur plötzlich eintretende Schadensfälle, sondern umfasst auch unerwartete, sich schleichend einstellende Fehlentwicklungen. Es steht immer in engem Kontext zu den Zielen. Vgl. ONR 49001. Risikomanagement für Organisationen und Systeme. Elemente des Risikomanagementsystems, 2004
Compliance und Compliance-Organisation Soll das Unternehmen präventiv vor Fehlverhalten bewahren, das auf Unwissenheit oder Fahrlässigkeit beruht. Compliance- und Risikomanagement sind Organisationsmaßnahmen, die das rechtmäßige, verantwortungsbewusste und nachhaltige Handeln (Prozesse!) eines Unternehmens, sowie seiner Organe und Mitarbeiter gewährleisten sollen. Einige Kompetenzbereiche von Compliance-Management Finanzsanktionen Marktmissbrauch Interessenkonflikte Datenschutz Insiderhandel Deklarationsvorschriften WebLink: http://www.corporate-governance.at/, Stand: 04.12.2008 Definition Compliance: Einhaltung von Gesetzen und Richtlinien, aber auch freiwilligen Kodizes in Unternehmen; Compliance Management befasst sich dabei mit den notwendigen Aufgaben und Steuerungsmaßnahmen zur Einhaltung selbiger Vgl. Findeisen, D., „Compliance Management“, Institut für Managementinformationsystems e.V., WebLink: http://tinyurl.com/5u7vht, Stand: 04.12.2008.
Hintergrund Finanzskandal Bilanzskandale vor 2002 (Auslöser für Sarbanes-Oxley) WorldCom: Der zweitgrößte US-Anbieter von Ferngesprächen hat durch Falschbuchungen in Höhe von 3,85 Milliarden US-Dollar Verluste in Gewinne verwandelt. Mit Schulden von mehr als 30 Milliarden US-Dollar ist der WorldCom-Konkurs die größte Firmenpleite der US-Geschichte. Enron: Der größte Energiehändler der Welt versteckte über Jahre Milliarden-Verbindlichkeiten bei Partnerfirmen. Im Dezember 2002 bricht die undurchschaubare Konstruktion zusammen. Das siebt größte US- Unternehmen beantragt Gläubigerschutz. Der Wirtschaftsprüfer Andersen steht im Verdacht, belastendes Material vernichtet zu haben. Merill Lynch: Die größte US-Brokerfirma zahlt im Rahmen eines Vergleichs mit dem New Yorker Generalstaatsanwalt Eliot Spitzer 100 Millionen US-Dollar. Einige Analysten hatten Aktien hausintern negativ bewertet und sie dann den Kunden trotzdem empfohlen. Xerox: Der Kopiergeräte-Spezialist soll die Umsätze von 1997 bis 2001 um sechs Milliarden US-Dollar aufgebläht haben. Dabei handelt es sich offenbar um vorgezogene Buchungen aus längerfristigen Leasingvereinbarungen. Merck: Der US-Pharmakonzern Merck & Co. soll in einem Zeitraum von drei Jahren 12,4 Milliarden US-Dollar Einnahmen seiner Tochterfirma Medco als Umsätze verbucht haben, obwohl die Gelder nie eingenommen wurden. Vgl. Lothar, L., „8. EU-Richtlinie des Gesellschaftsrechts: ‚EuroSOX‘“, B&L Management Consulting GmbH, Frankfurt 2008, Weblink: http://www.bulmc.de/Aktuelles/Downloads/Vortrag%20EuroSOX%20200800402.pdf, Stand: 04.11.2008.
Eskalation Bankenkrise 2007/2008 Immobilien- und Finanzkrise 2007 / 2008 Vergabe von Billig-Krediten zur Immobilienfinanzierung Verschleierung oder schlechte Identifikation tatsächlicher Risiken Streuung der Risiken durch Verteilung auf diverse Finanz-Derivate Nach ersten gravierenden Verlusten vermehrte Meldungen: Hedge Fonds und Banken halten große Anteile an Sicherheiten in Form von Hypotheken auf Immobilien (mitunter verpackt in gekauften Finanz-Derivaten) Verfall der Immobilienpreise und gleichzeitig Hoch bei Kündigungen von Hypotheken Rekord-Rückgang am Immobiliensektor mit starken Auswirkungen auf Finanzsektor Ankündigung bedenklicher Liquiditätsprobleme u.a. bei „Bear Stearns“ und „Indymac Bank“ U.S. Rettungspaket für „Fennie Mae“ und „Freddie Mac“ Investmentbanken Kollaps von „Lehman Brothers Ltd.“, Auffang von „AIG“ und „Merrill Lynch“ Ende unabhängiger Investment Banken durch Konvertierung von „Goldman Sachs“ und „Morgan Stanley“ zu Bankbeteiligungsunternehmen Größte Bankenpleite in U.S. Geschichte: „Washington Mutual“ im September 2008 $ 700 Mrd. Rettungspaket für Banken am 3. Oktober 2008 vom U.S. Repräsentantenhaus genehmigt Ähnliche Maßnahme im Volumen von € 300 Mrd. in Europa durch Mitgliedsstaaten aufzubringen Timeline „Global Economy in Crisis“, Weblink: http://www.cfr.org/publication/17723/, Stand: 04.12.2008.
Inhalt 1 Einführung und Motivation 2 Gesetzliche Grundlagen 3 Standards für Risikomanagement Frameworks 4 Vorgehensmodell im Risikomanagement 5 ADONIS® und Risiko- / Kontrollmanagement
Übersicht über gesetzliche Grundlagen Auszug aus internationalen gesetzlichen Grundlagen für diverse Branchen Dienen als Leitfäden zur Einhaltung von Standards, Abschätzung von Risiken, Einführung von Kontrollen, Dokumentation und Überwachung von Prozessen, … Einführung solcher „Corporate Governance Frameworks“ bedarf massiver Anpassungen in Geschäfsprozessen und IT-Services SOX EuroSOX (8. EU-Richtlinie) Basel II (Banken) Solvency II (Versicherungen) ONR 4900x
Sarbanes-Oxley Act - Allgemeines Sarbanes-Oxley Act of 2002 (SOX) als Reaktion auf Bilanzskandale wie Enron oder Worldcom zur Sicherstellung der Verlässlichkeit der Unternehmensberichterstattung eingeführt US-Gesetz (US-amerikanische und ausländische Unternehmen, deren Wertpapiere (mit oder ohne Eigenkapitalcharakter) an US-Börsen gehandelt oder öffentlich angeboten werden, sowie deren Tochterunternehmen) bestimmt vielfältige Änderungen in anderen Gesetzen, wie im Börsen- oder Wertpapiergesetz schafft Public Company Accounting Oversight Board (PCAOB) als unabhängige Aufsichtsbehörde für Wirtschaftsprüfungsgesellschaften Konflikte mit anderen nationalen Gesetzen (bspw. persönliche Haftung von Senior Managern, o.ä.) Ziel ist die Herstellung und nachhaltige Erhaltung des Vertrauens in die Unternehmen durch Sicherstellung hochwertiger Standards Unterteilung in Compliance Roadmap und Compliance Realization Plan Development of SOX Scenarios Analysis of Operative Consequences Strategic Considerations Drawing of a Realization Plan Compliance Roadmap Compliance Realization Plan Process Definition Risk Assessment and Scoping Design Effectiveness Operating Effectiveness Internal Management Auditor‘s Final Review Vgl. Schwab, M., „A framework for the Sarbanes Oxley Act of 2002“, BOC Information Technologies Consulting Ltd., Mai 2006, S. 32.
Sarbanes Oxley Act - Inhalte Sarbanes Oxley Act besteht aus 11 Titles (Kapitel) mit mehreren Sections (Subkapitel) Public Company Accounting Oversight Board (PCAOB) unabhängige Aufsichtsbehörde für Wirtschaftsprüfungsgesellschaften Auditor Independence Vermeidung von Interessenskonflikten durch Einschränkung der Tätigkeitsfreiheit externer Prüfer für das geprüfte Unternehmen Corporate Responsibility Senior Executives übernehmen persönliche Verantwortung für Qualität und Inhalt von Finanzberichten: speziell Section 302 bestimmt, dass CEO oder CFO für vierteljährliche Finanzberichte bürgen Enhanced Financial Disclosures Etablierung interner Kontrollsysteme zur Kontrolle und Qualitätssicherung von zu veröffentlichenden Berichten; verpflichtende Beurteilung der Wirksamkeit dieser internen Kontrollsysteme durch Geschäftsleitung und verpflichtendes Urteil über Wirksamkeit durch externen Wirtschaftsprüfer (speziell Section 404) Fortsetzung…
Sarbanes-Oxley Act - Inhalte … Fortsetzung 5) + 6) Analyst Conflicts of Interest + Commission Resources and Authority betreffen Maßnahmen zur Wiederherstellung des Vertrauens in die Berichterstattung durch Analysten bzw. in die Analysten per se 7) Studies and Reports Nachforschungen bezüglich Umsetzung der Maßnahmen und Ursachenforschung im Enron-Skandal u.ä. Corporate and Criminal Fraud Accountability detaillierte Strafen für Betrug durch Manipulation, Zerstörung oder Änderung von Berichten, sowie Behinderung von Nachforschungen, und Schutzmaßnahmen für Whistleblowers White Collar Crime Penalty Enhancement sieht strengere Urteile für mutwillige Schadensgenerierung durch Manager vor Corporate Tax Returns regelt Verantwortung des CEO für Körperschaftssteuererklärungen Corporate Fraud Accountability deklariert Unternehmensbetrug und –manipulation als kriminelle Handlungen und verweist auf Strafmaß
SOX Compliance Roadmap Möglicher Weg zum Erlangen der SOX-Compliance Stage 1: Development of SOX Scenarios Entwicklung und Evaluierung alternativer Szenarios Verbalisierung der SOX Unternehmensziele und Fokusierung Stage 2: Analysis of Operative Consequences Analyse der direkten Auswirkungen auf bestehende Systeme Evaluierung alternativer Lösungen Feststellen der notwendigen Maßnahmen und der essentiellen Ressourcen Stage 3: Strategic Considerations Verifizierung der aktuellen Unternehmens- und Teilstrategien hinsichtlich der zu erwartenden Effekte durch SOX-Regulierung Strategische Optionen im Kontext von SOX Änderung und Neudefinition der Unternehmensstrategie, falls notwendig Grobes Layout zur Erreichung der ausgewählten, strategischen SOX-Ziele Stage 4: Drawing of a Realization Plan Projektplan zum Erlangen der SOX-Compliance, mit Fokus auf strategische Ziele Sicherstellung der Erreichung der strategischen Ziele Vorbereitung für systematisches Projektmonitoring Sicherstellung der technischen und operationalen Durchführbarkeit Development of SOX Scenarios Analysis of Operative Consequences Strategic Considerations Drawing of a Realization Plan Vgl. Schwab, M., „A framework for the Sarbanes Oxley Act of 2002“, BOC Information Technologies Consulting Ltd., Mai 2006, S. 32.
SOX Compliance Realization Plan Implementation Phase Process Definition Prozesse und Abläufe werden verständlich und nachvollziehbar, künftige Audits möglich Eindeutigkeit von Aufbau- und Ablauforganisation im Unternehmen Hoher Grad an interner Transparenz (Prozesse und Organisation) Risk Assessment and Scoping Klarstellung und Kommunikation der Risikosituation innerhalb des Unternehmens Prozess-Auditing und Risikozuordnung Erstellung von betrugshindernden Check-Routinen Erste Durchsicht durch externen Auditor Design Effectiveness Klarstellung und Kommunikation der Risikosituation innerhalb des Unternehmens Evaluierung der Effektivität des Prozessdesigns Effektive Vermeidung von Risiken und unternehmensweite Risikoanalyse Durchsicht durch externen Auditor Process Definition Risk Assessment and Scoping Design Effectiveness Operating Effectiveness Internal Management Auditor‘s Final Review Vgl. Schwab, M., „A framework for the Sarbanes Oxley Act of 2002“, BOC Information Technologies Consulting Ltd., Mai 2006, S. 32.
SOX Compliance Realization Plan Execution Phase 4. Operating Effectiveness Risiko- und Kontroll-getriebenes Business Evaluation System Möglichkeit zur Durchführung wiederholter self-Audits Problemlose, sichere und effiziente Durchführung des Tagesgeschäftes 5. Internal Management Aktives Risikomanagement basierend auf tagesaktuellen Daten Integration und Teilnahme auf allen Ebenen des Managements 6. Auditor‘s Final Review Aktive Teilnahme externer Auditoren im Compliance-Prozess Jährliche Veröffentlichung der Finanzzahlen, entsprechend US-GAAP SOX-Compliance Process Definition Risk Assessment and Scoping Design Effectiveness Operating Effectiveness Internal Management Auditor‘s Final Review Process Definition Risk Assessment and Scoping Design Effectiveness Operating Effectiveness Internal Management Auditor‘s Final Review Vgl. Schwab, M., „A framework for the Sarbanes Oxley Act of 2002“, BOC Information Technologies Consulting Ltd., Mai 2006, S. 32.
EuroSOX – Die 8. EU-Richtlinie Allgemeines Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates (17. Mai 2006) über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates Europäische Anpassung bestehender Gesetzgebung in Anlehnung an Sarbanes-Oxley Stärkung des Vertrauens in Rechnungslegung, Prüfverfahren und Qualitätssicherung Vgl. Leger, L.., „8. EU-Richtlinie des Gesellschaftsrechts: ‚EuroSOX‘“, B&L Management Consulting GmbH, Frankfurt / Rosenheim 2008, Weblink: http://www.bulmc.de/Aktuelles/Downloads/Vortrag%20EuroSOX%20200800402.pdf, Stand: 04.11.2008. Vgl., Yildiz, A., „Die Neufassung der 8. EU-Richtlinie (‚Abschlussprüfer-Richtlinie‘) und nationaler Transformationsbedarf“, Universität Hamburg, Mai 2006, Weblink: http://www.uni-hamburg.de/fachbereiche-einrichtungen/fb03/iwp/rut/Yildiz.pdf, Stand: 04.11.2008. Vgl. Berger, D., „Die 8. EU-Richtlinie: Mehr Pflichten für Aufsichtsräte“, Österreichischer Interessensverband für Anleger, Wien 2008, Weblink: http://www.anlegerschutz.at/artdetail.php?id=5517&cat=5, Stand: 04.11.2008.
EuroSOX – Die 8. EU-Richtlinie Inhalte Ähnlich Sarbanes-Oxley Act, jedoch auf anderer rechtlicher Grundlage orientiert Harmonisierung der Anforderungen an Abschlussprüfungen (Qualitätssicherung, Audits u.ä.) Verpflichtende Einführung von Prüfungsausschüssen Höhere Unabhängigkeit der Prüfer Verpflichtende und detaillierte Dokumentation abschlussnaher Prozesse und Einführung von Risikomanagement und zugehörigem internen Kontrollsystem Bei Nichteinhaltung erweiterte Haftung durch Manager Musste von Mitgliedsstaaten, an nationale Rahmenbedingungen angepasst, bis 29.6.2008 in nationales Recht umgesetzt werden (in Deutschland „Gesetz zur Steigerung der Transparenz und Publizität in Deutschland“ (TransPubG), „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) bzw. „Bilanzrechtsreformgesetz“ (BilReG), in Österreich „Unternehmensrechtsänderungsgesetz“ 2008 (URÄG)) Vgl. Berger, D., „Die 8. EU-Richtlinie: Mehr Pflichten für Aufsichtsräte“, Österreichischer Interessensverband für Anleger, Wien 2008, Weblink: http://www.anlegerschutz.at/artdetail.php?id=5517&cat=5, Stand: 04.11.2008.
Basel II - Allgemeines Basel II 3 Säulen von Basel II Mindesteigenkapitalvorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin / Erweiterte Offenlegung Zentraler Bestandteil (ICAAP): Verfahren zur Beurteilung der Eigenkapitalausstattung „Internal Capital Adequacy Assessment Process“ (ICAAP) Aufgaben sind Risiken zu identifizieren und zu messen, sowie internes Kapital gemäß Risikoprofil auszustatten und ein geeignetes Risikomanagementsystem anzuwenden Prozess gemäß ICAAP: Fixierung der Risikostrategie, Risikoidentifizierung, Quantifizierung von Risiken und Deckungsmassen, Aggregation, Risikovorsteuerung, Risikoüberwachung und Nachsteuerung Mindestkapital-vorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin Säule I Säule II Säule III Basel II Anwendungsbereich
Basel II – Säule I Mindestkapital-vorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin Säule I Säule II Säule III Basel II Anwendungsbereich Mindeskapitalanforderung genauere und angemessenere Berücksichtigung der Risiken einer Bank bei der Bemessung ihrer Eigenkapitalausstattung Kreditausfallrisiken erwartete Verluste gehen zu Lasten des vorhandenen Eigenkapitals unerwartete Verluste mit Eigenmitteln zu unterlegen sind daher je fortschrittlicher (risikosensitiver) die Bewertungsmethode, desto höher die Einsparungen bei Kapitalunterlegung Marktpreisrisiken Änderungen von Preisen am Geldmarkt, Wechselkurs- oder Zinssatzänderungen, etc. Identifikation, Quantifizierung und Steuerung (Vermeidung, Reduzierung, Kompensation) von Marktpreisrisiken Operationelle Risiken direkte oder indirekte Verluste infolge ausfallender oder unzureichender interner Verfahren, oder infolge exogener Einflüsse
Basel II – Säule II Säule I Säule II Säule III Basel II Anwendungsbereich Mindestkapital-vorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin Bankaufsichtlicher Überprüfungsprozess Sicherstellung von Risikominimierung durch Überwachung durch übergeordnete Instanz Laufende und regelmäßige Überprüfung durch die Bankenaufsicht Einhaltung der Anforderungen an Methodik und Offenlegung zur Verwendung interner Ratings Überprüfung der Risikosteuerung und des Berichtswesens Fordert Etablierung adäquater Risikomanagementsysteme, sowie Überwachung durch eine Aufsichtsbehörde Grundsatz der doppelten Proportionalität: sowohl Steuerungsinstrumente, als auch Kontrollmechanismen durch Bankenaufsicht müssen proportional zu eingegangenen Risiken stehen Zinsänderungsrisiken im Anlagebuch Weiterhin Überprüfung der in Säule 1 erfassten Risiken und Monitoring der Entwicklungen Angemessenheit der Eigenmittelausstattung
Basel II – Säule III Säule I Säule II Säule III Basel II Anwendungsbereich Mindestkapital-vorschriften Bankaufsichtlicher Überprüfungsprozess Marktdisziplin Marktdisziplin / Erweiterte Offenlegung Stärkung der Marktdisziplin durch vermehrte Offenlegung von Information (Jahresabschluss, Quartals- oder Lageberichte); Disziplinierung aus möglichen Reaktionen auf unvernünftige Eigen- und Risikokapitalstruktur Eigenkapitalstruktur Umfassende qualitative und quantitative Offenlegung Eingegangene Risiken und deren Beurteilung Detaillierte Erläuterung der Methodik zur Risikomessung, -überwachung und –steuerung Angemessenheit der Eigenmittelausstattung Qualitative und quantitative Offenlegung der Eigenmittelausstattung für Kreditrisiken, Beteiligungspositionen, Marktrisiken und operationale Risiken Gesamt- und Kernkapitalquote
Solvency II - Allgemeines 2001 von EU-Kommission initiiert völlig neues Solvabilitätssystem: umfassendere realistischere und zeitnahere Darstellung der Risiken eines Versicherers Wesentliche Unterschiede zu Basel II: Erheblich stärkere Kopplung der Solvenzausstattung an das Risikoprofil des Versicherers Weitergehende aufsichtsbehördliche Prüfverfahren Wesentlich breitere Informations- und Offenlegungspflichten Mindestkapitalniveau und Zielsolvenzkapital Aufsichtsrechtliche Prüfverfahren und Qualitätsanforderungen Marktdisziplin Säule I Säule II Säule III Solvency II Vgl. Verband der Versicherungsunternehmen Österreichs, „Solvency II – Bedrohung oder Chance?“, Jänner 2006, Weblink: http://www.vvo.at/solvency-ii-bedrohung-oder-chance-2.html, Stand: 03.11.2008.
Solvency II – die Säulen Mindestkapitalniveau und Zielsolvenzkapital Aufsichtsrechtliche Prüfverfahren und Qualitätsanforderungen Marktdisziplin Säule I Säule II Säule III Solvency II Säule 1: Mindeskapitalniveau und Zielsolvenzkapital Quantitative Anforderungen hinsichtlich versicherungstechnischer Rückstellungen, Kapitalanforderungen und Bilanzmanagement (Asset & Liability Management), Kreditrisiko, Marktrisiko, operationales Risiko, Management von Risikokapital Säule 2: Aufsichtsrechtliche Prüfverfahren und Qualitätsanforderungen (analog zu Basel II) Umsetzung der adäquaten prozessorientierten Aufbau- und Ablauforganisation hinsichtlich „Corporate Governance“ und Risk-Management, angemessenes Vertrags-, Schaden- und Rückversicherungsmanagement, Management und Steuerung operationaler Risiken und exogener Einflussgrößen Säule 3: Marktdisziplin / Erweiterte Offenlegung Fokus auf Marktdisziplin durch umfangreiche Veröffentlichungspflichten (Methoden, Management-Prozesse, Kapitalausstattung, Szenario-Analysen), Förderung der Transparenz in Anlehnung an Corporate Governance, starke Orientierung auf interne Modelle mit strengeren Veröffentlichungspflichten, starke Verzahnung mit den IFRS (International Financial Reporting Standards) Vgl. The Risk Management Network, „Die grundsätzliche Struktur von Solvency II“, Weblink: http://www.risknet.de/Struktur-Solvency-II.242.0.html, Stand: 03.11.2008.
Inhalt 1 Einführung und Motivation 2 Gesetzliche Grundlagen 3 Standards für Risikomanagement Frameworks 4 Vorgehensmodell im Risikomanagement 5 ADONIS® und Risiko- / Kontrollmanagement
Übersicht über einige Risikomanagement Frameworks COSO Framework COSO Internal Control Framework (COSO I) COSO Enterprise Risk Management Framework (COSO II oder COSO ERM) COSO Internal Control over Financial Reporting – Guidance for Smaller Public Companies (COSO ICoFR) CObIT Control Objectives for IT and Related Technology Speziell für IT Management, Benutzer und Prüfer Spezieller Fokus auf IT Kontrollen, Mapping auf verschiedenste andere Standards Enterprise Risk Management ERM Unternehmensweite Perspektive zur Dokumentation und Kontrolle von Risiken Bspw. COSO ERM Framework als Erweiterung des COSO Frameworks zur Compliance mit SOX o.ä. Österreichisches Normungsinstitut ONR 4900x Risikomanagement für Organisationen und Systeme Anwendung von ISO/DIS 31000
COSO I - Allgemeines COSO-Modell 1992 / 1994 Die 5 Komponenten eines Internen Kontrollsystems (IKS): Kontrollumfeld Risikobewertung Kontrollaktivitäten Information und Kommunikation Überwachung Zielsetzungen von COSO I: Effektivität und Effizienz von Tätigkeiten Verlässliche Finanzberichterstattung Compliance zu Gesetzen und Bestimmungen Committee of Sponsoring Organizations of the Treadway Commission WebLink: http://www.coso.org
CObIT - Allgemeines Control Objectives for IT and Related Technology CObIT Framework Control Objectives for IT and Related Technology In starker Anlehnung an COSO entwickelt Integration der IT-Governance in Corporate Governance Bindeglied zwischen COSO und IT-spezifischen Modellen (ITIL, ISO 17799, etc.) Betrachtet IT als Zusammenspiel von drei wesentlichen Elementen Prozesse Anforderungen des Business IT-Ressourcen Weitere Aufgliederung: IT-Prozesse Domänen Prozesse Aktivitäten Anforderungen des Business Effektivität Effizienz Vertraulichkeit Integrität Verfügbarkeit Einhaltung rechtl. Erfordernisse Zuverlässigkeit IT-Ressourcen Menschen Infrastruktur Information Applikation Vgl. Wolf, S., „IT Governance mit ITIL, CObIT und der Balanced Scorecard“, Diplomarbeit Hochschule Niederrhein, 2006, WebLink: http://www.wolles-homepage.de/itg/Diplomarbeit_IT-Governance_Sebastian_Wolf.pdf, Stand: 18.11.2008.
CObIT - Inhalte Die vier CObIT Domänen sind 34 (Haupt-) Prozesse Planen und Organisieren Beschaffen und Implementieren Bereitstellen und Unterstützen Überwachen und Bewerten 34 (Haupt-) Prozesse 215 Aktivitäten (Subprozesse) CobiT 4.0 beinhaltet Executive Summary Governance and Control Framework Control-Objectives Management Guidelines Implementation Guide IT Assurance Guide (früher Audit Guide) Vgl. ISACA, „CObIT Framework, Executive Summary“, WebLink: http://tinyurl.com/6l7nq2, Stand: 04.12.2008.
Enterprise Risk Management Allgemeines Abgrenzung Enterprise Risk Management (ERM) zu Risiko Management Holistischer Ansatz Überwindung des Silo-Denkens (Betrachtung einzelner Risiko-Kategorien oder einzelner Geschäftsbereiche unabhängig voneinander) Eingehen gewünschter Risiken und Reduzierung unerwünschter Risiken entsprechend in Risikostrategie festgelegtem Umfang Die 4 Response-Strategien für auftretende Risiken Vermeiden von risikobehafteten Aktivitäten Vermindern der Wahrscheinlichkeit des Eintretens oder der Auswirkungen Übertragen des Risikos auf Stakeholder oder Absichern vor Risiken durch Versicherungen o.ä. Akzeptanz von Risiken ohne Intervention auf Grund von Kostenvorteilen
ERM – Framework („COSO II“) COSO ERM Framework Erweiterung des COSO Frameworks für Enterprise Risk Management COSO ERM Framework auf 8 Komponenten erweitert Zielsetzungen von COSO ERM Weitere ERM Frameworks Casualty Actuarial Society Framework (WebLink: http://www.casact.org) RIMS Risk Maturity Model for ERM (WebLink: http://www.rims.org) … Internes Kontrollumfeld Zielsetzung Ereignisidentifikation Risikobewertung Risikoreaktion Kontrollaktivitäten Information und Kommunikation Überwachung Sicherstellung der Ausrichtung an strategischen Zielen Effektivität und Effizienz von Tätigkeiten Verlässliche Finanzberichterstattung Compliance zu Gesetzen und Bestimmungen
Risiko Management Prozess ONR 4900x Risikomanagement für Organisationen und Systeme Österreichisches Normungsinstitut Richtlinien 49000, 49001, 49002-1/-2/-3 und 49003 Inhalte Begriffe und Grundlagen Ziele und Grundsätze des Risikomanagements nach ISO/DIS 31000 Methodisches Rahmenwerk (Plan, Do, Check, Act) Grundlage für wirksame Risikobeurteilung und Risikobewältigung Unterstützung in der Integration von Risiko Management in Unternehmen Dokumentation Verantwortung der Leitung Management von Ressourcen System- überwachung Verbesserung Risiko Management Prozess Systemdefinition Risikobeurteilung Risikobewältigung Risikosystemüberwachung Vgl. ONR 49001 „Risikomanagement für Organisationen und Systeme“, Elemente des Risikomanagementsystems, 2004, S. 4ff.
Inhalt 1 Einführung und Motivation 2 Gesetzliche Grundlagen 3 Standards für Risikomanagement Frameworks 4 Vorgehensmodell im Risikomanagement 5 ADONIS® und Risiko- / Kontrollmanagement
Vorgehensmodell im Risikomanagement Einflechtung kennengelernter Standards und Frameworks in generisches Vorgehensmodell Abdeckung der wichtigsten Elemente zur Implementierung und kontinuierlichen Verbesserung eines Internen Kontrollsystems Kontinuierliche Evaluierung und Verbesserung Erhebung der Risiken und Kontrollen Abbilden der Risiken und Kontrollen Definition der Risikostrategie Vorgehensmodell im Risikomanagement Generisches Vorgehensmodell im prozessorientierten Risikomanagement
Vorgehensmodell im Risikomanagement Vorgehensmodell im prozessorientierten Risikomanagement Definition der Risikostrategie Erhebung der Risiken und Kontrollen Identifikation von generischen Risiken und Kontrollen Filtern von branchen- oder unternehmensspezifischen Risiken und Kontrollen Identifikation der Eintrittswahrscheinlichkeit und der zu erwartenden Auswirkungen Klassifizierung der Risiken und Kontrollen Abbilden der Risiken und Kontrollen Zuweisung zu bestimmten Geschäftsprozessen und Aktivitäten Verknüpfung der Risiken mit sinnvollen Kontrollen Kontinuierliche Evaluierung und Verbesserung Identifikation und Modellierung eines Kontrollprozesses Evaluierung der bestehenden Risiken und Kontrollen auf Effektivität und Effizienz Kontinuierliche Überwachung und Verbesserung
Aufbau eines prozessorientierten Internen Kontrollsystems Internes Kontrollsystem als Prozess (siehe COSO) Ziele dieses Prozesses: Effektivität und Effizienz der operativen Gewährleistung der Korrektheit der Finanzberichterstattung Erfüllung gesetzlicher Vorgaben Beinhaltet Kontrollumfeld Risikobewertung Kontrollaktivitäten Information und Kommunikation Überwachung a. Kontrollumfeld Festlegung der Risikophilosophie Definition einer Strategie zur Begegnung der Risiken Komponenten eines prozessorientierten IKS
Aufbau eines prozessorientierten Internen Kontrollsystems b. Risikobewertung Risikoidentifikation (auf Basis der Unternehmensziele) Bewertung der Eintrittswahrscheinlichkeit und der Auswirkung Risikobewertung in ADONIS® Vorgehen: Abbilden der Risiken verschiedenster Kategorien Bewerten hinsichtlich ihrer Kennwerte Zuordnen zu Prozessen bzw. Aktivitäten
Aufbau eines prozessorientierten Internen Kontrollsystems c. Kontrollaktivitäten Auswahl jener identifizierten Risiken, die Maßnahmen zur Risikobewältigung erfordern Einführung von Kontrollen zur Überprüfung dieser Maßnahmen und ihrer Effizienz Kontrollaktivitäten in ADONIS® Weiters: Abbilden der notwendigen Kontrollaktivitäten zur Durchführung der Kontrollen
Aufbau eines prozessorientierten Internen Kontrollsystems d. Information und Kommunikation Anweisungen des Managements an die operative Ausführung Reporting an das Management e. Überwachung Regelmäßige Evaluierung und Anpassung des Systems an aktuelle Umstände Risiken und Kennwerte laufend neu bewerten Überprüfung der Kontrollaktivitäten auf Effektivität Berichtswesen in ADONIS®
Inhalt 1 Einführung und Motivation 2 Gesetzliche Grundlagen 3 Standards für Risikomanagement Frameworks 4 Vorgehensmodell im Risikomanagement 5 ADONIS® und Risiko- / Kontrollmanagement
ERM-Extension in ADONIS® SOX Basel II Risikomanagement COBIT® IT-Governance Internes Kontrollsystem COSO Internal Control Framework KonTraG Risikocontrolling e-Commerce ERM
Ziele von Risikomanagement Zielsetzung des Risikomanagements ist: Früherkennung von Risiken Begrenzung der risiko-erzeugenden Faktoren Bewältigung von Risiken durch effiziente Kontrollen Kommunikation von Risiken Überwachung und detaillierte Kenntnis von bestehenden Risiken
ERM-Extension in ADONIS® Das Internal Control Framework in ADONIS®: Überblick über die Geschäftsprozesse und Prozesslandkarten. Modellierung der Geschäfts- und Finanzkontrollprozesse. Identifizierung von Risiken and Kontrollen. Analysierung des Zusammenspiels von Kontrollen und Risiken. Automatische Generierung von Reports. Reporting BP-Report für SOX ERM- Extension BPM mit ADONIS®
Zusätzliche Modelltypen Kontroll-landkarte Risiko-landkarte Poolmodelle für Kontrollen und Risiken geben einen Überblick über existierende Kontrollen und Risiken und vermeiden Redundanzen bei der Modellierung.
Modellierung von Kontrollen und Risiken Geschäftsprozess Modelltypen: Standard Konfiguration ADONIS® ERM Erweiterung Generische Kontrollen Generischen Risiken Kontrollprozess Risiken werden Aktivitäten zugeordnet. Risiken können im selben oder einem anderen Prozess kontrolliert werden. Risiken in Prozessen stehen im Zusammenhang mit generischen Risiken und Kontrollen in einem Poolmodell. Kontrollen stehen im Zusammenhang mit Kontroll- Aktivitäten über generische Kontrollen in einem Poolmodell.
Bewertung der Risiken Risikobewertung mit Visualisierung der Stufen: E(1) – gering D(2) – leicht erhöht C(3) – mittel B(4) – hoch A(5) – bedrohlich Risikobewertung von gering bis bedrohlich Risikowahr- scheinlichkeit
Risiken typisieren Risiken typisieren und über eine integrierte Risiko-Ansichtsfunktion bestimmte Risikotypen ein bzw. aus blenden lassen.
Überblick in der Prozesslandkarte Risiken und Kontrollen können auf Landkarten-Ebene aggregiert werden. Damit hat man die Risiken mit den zugehörigen Kontrollen eines Prozesses auf einen Blick. Risikoreport eines Prozesses Kontrollprozess Geschäftsprozesse
Abbildung und Dokumentation von Kontrollen und Risiken
Integration von Kontrollprozessen Kontrollen können mit Kontroll-Aktivitäten und – Prozessen hinterlegt werden.
Risiko-Kontroll-Matrix SOX-Reports Automatische Generierung von Dokumentationen mit Modellinformationen Kontrollreport Risiko-Kontroll-Matrix Reporting Risikoreport
SOX-Report: Risiko-Kontroll-Matrix (Beispiel)
Anwendungsbeispiel Risikomanagement Modellierung Versicherungsabschluss Versand einer eingegangenen Bestellung: Verwenden Sie das zur Verfügung gestellt Geschäftsprozess- und Arbeitsumgebungsmodell (2082_Beispiel_Riskmanagement.adl): In Ihrem Versandprozess werden eingegangene Bestellungen von Lagerarbeitern aus dem Datenbanksystem ausgelesen und folglich zusammengestellt und verpackt. Die Pakete werden im Anschluss etikettiert und mit dem Lieferschein bzw. der Rechnung bestückt. Ein Poststellenmitarbeiter holt die fertigen Pakete in regelmäßigen Abständen aus dem Lager und regelt daraufhin den Versand. Erweitern Sie die Modelle im Folgenden durch Risiko- und Kontrollpools und versehen Sie die Aktivitäten mit sinnvollen Risiken und Kontrollen. Kategorisieren Sie die Risiken und Kontrollen in den Poolmodellen durch Verwendung von Aggregationen und hinterlegen Sie zumindest zwei der Kontrollen mit sinnvollen Kontrollprozessen. Ihre Mitarbeiter tendieren dazu, Bestellungen zu verwechseln, und ab und an Pakete falsch zu etikettieren. Darüber hinaus kann es vorkommen, dass der Lagerstand im Webshop nicht mit dem tatsächlichen Lagerstand übereinstimmt und Sie daher manche Bestellungen nicht sofort aussenden können. Auch externe wie interne kriminelle Handlungen, sowie Verlust oder Beschädigung von fertig gestellten Sendungen scheinen in Ihrem Risiko-Portfolio auf. Weiters müssen Sie mit fehlendem Fachwissen bei der Bedienung Ihrer Systeme umgehen können. Opportunistisches Verhalten oder Zuverlässigkeit der verwendeten IT-Systeme sind in Ihre Überlegungen einzubeziehen. Modellieren Sie nun die Risiken, Kontrollen, sowie mindestens zwei Kontrollprozesse.
Weiterführende Literatur DeMarco, T., Lister, T., “Bärentango. Mit Risikomanagement Projekte zum Erfolg führen”, Carl Hanser Verlag, 2003. Romeike, F., Müller-Reichart, M., “Risikomanagement in Versicherungsunternehmen”, 2. Auflage, WILEY-VCH Verlag GmbH & Co KGaA, Weinheim 2008. Flaherty, J.J., „Unternehmensweites Risikomanagement - Übergreifendes Rahmenwerk“, The Committee of Sponsoring Organizations, Jersey City 2004, deutsche Übersetzung: Deutsches Institut für Interne Revision e.V., Frankfurt/Main 2006. Wallmüller, E., „Risikomanagement für IT- und Softwareprojekte“, Carl Hanser Verlag, 2004. Schwab, M., „A framework for the Sarbanes Oxley Act of 2002“, BOC Information Technologies Consulting Ltd., Dublin, Mai 2006. Junginger, S., „Risikomanagement und Interne Kontrollsysteme mit dem BOC Management Office®“, Whitepaper, WebLink: http://www.boc-group.com/documents/news/wp_risikomanagement.pdf, Stand: 20.11.2008.