Enterprise Risk Management (ERM)

Was ist Enterprise Risk Management (ERM)?

Enterprise Risk Management (ERM) ist ein strategischer Ansatz zur Identifizierung, Bewertung, Vorbereitung auf und Behebung von Risiken. Enterprise Risk Management wird methodisch durchgeführt und folgt in der Regel einem Rahmenwerk. Es wendet strategisch ausgerichtete Prozesse an, um potenzielle Gefahren zu verringern, die sich negativ auf die Ziele eines Unternehmens auswirken und betriebliche oder finanzielle Beeinträchtigungen verursachen könnten.

Im Gegensatz zum traditionellen Risikomanagement ist Enterprise Risk Management durch folgende Merkmale gekennzeichnet:

• Berücksichtigung von Risiken in internen und externen Umgebungen, Gegebenheiten, Interessengruppen und Systemen.
• Einfluss auf Risikomanagementprozesse bei allen Entscheidungen im Unternehmen.
• Flexibilität für Abteilungsleiter bei der Umsetzung der entsprechenden Prozesse, wobei sichergestellt wird, dass diese mit den übergreifenden Strategien übereinstimmen.
• Integration aller Aktivitäten zur Risikoprävention und -minderung, um sämtliche Risikobereiche des Unternehmens (z. B. Compliance, Finanzen, Unternehmensführung, Betrieb, Berichterstattung, Reputation und Strategie) umfassend zu berücksichtigen.
• Betrachtung von Risikomanagement als Wettbewerbsvorteil.
• Ganzheitlicher Top-down-Ansatz anstelle einer Herangehensweise auf Abteilungsebene, die Silos entstehen lässt.

Unternehmen mit effektivem Enterprise Risk Management setzen Mitarbeiter ein, um die Ausführung der Prozesse zu überwachen. Dazu gehören die Entwicklung und Pflege von Kernfunktionen wie:

• Infrastruktur bzw. Rahmenwerk
• Verfahren und Protokolle
• Fortbildung und Schulung
• Überwachung, Messung und Berichterstattung

Enterprise Risk Management erfordert eine kontinuierliche Bewertung von Risiken und die Umsetzung geeigneter Risikomaßnahmen wie:

• Akzeptanz oder Toleranz gegenüber einem Risiko
• Abwendung oder Beseitigung eines Risikos
• Minderung oder Begrenzung eines Risikos   
• Übertragung eines Risikos bzw. Teilung (z. B. durch Versicherung)

Prozesse des Enterprise Risk Managements

Die Prozesse des Enterprise Risk Managements unterscheiden sich je nach dem Unternehmen, das sie anwendet, und dem Ersteller des Rahmenwerks. Typische Prozesse sind in diesen Rahmenwerken dargestellt:

• Das Committee of Sponsoring Organizations (COSO)   
• Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE), entwickelt von der Carnegie Mellon University
• Factor Analysis of Information Risk (FAIR)   
• Der Risikomanagement-Rahmen des National Institute of Standards and Technology (NIST RMF)
• ISO 31000: Risikomanagement 

Zu den Elementen des Enterprise Risk Management Frameworks gehören:

• Strategie und Zielsetzung
• Identifizierung und Kategorisierung von Risiken auf der Grundlage von Akzeptanzstufen
• Risk assessment   
  • Wahrscheinlichkeit
  • Auswirkung
  • Geschwindigkeit
  • Bereitschaft
• Risikoreaktion
• Kommunikation und Überwachung

Vorteile des Enterprise Risk Managements

Sechs der am häufigsten genannten Vorteile des Enterprise Risk Managements sind:

1. Fähigkeit, schnell und wirksam zu reagieren
2. Bewusstsein für die Risiken, denen das Unternehmen ausgesetzt ist
3. Effiziente Ressourcenzuweisung
4. Bessere allgemeine Sicherheit
5. Bessere Einhaltung der rechtlichen und regulatorischen Anforderungen sowie der Berichtspflichten
6. Gesteigerte Effizienz und Effektivität der Abläufe

Umsetzung von Enterprise Risk Management

Zu den bewährten Verfahren, die bei der Umsetzung von Enterprise Risk Management zu berücksichtigen sind, gehören:

• Festlegung der Risikophilosophie des Unternehmens.
• Erarbeitung einer Risikostrategie und von Aktionsplänen, die mit der Risikophilosophie in Einklang stehen.
• Klare Prioritäten in Bezug auf Risiken und deren Kommunikation.
• Zuweisung spezifischer Zuständigkeiten für die Durchführung von Enterprise-Risk-Management-Plänen.
• Wahrung von Flexibilität, um agil auf sich entwickelnde und neue Risiken reagieren zu können.
• Kontinuierliche Überwachung bekannter Risiken und Indikatoren für potenzielle Risiken.
• Messung der Ergebnisse des Enterprise-Risk-Management-Programms anhand von KPIs.

Komponenten des Enterprise Risk Managements

Enterprise-Risk-Management-Programme folgen in der Regel etablierten Rahmenwerken, die Kernkomponenten genau beschreiben. Zwei weit verbreitete Rahmenwerke für das Risikomanagement in Unternehmen sind:

1. ERM – Integriertes Rahmenwerk — vom Committee of Sponsoring Organizations of the Treadway Commission (COSO)
2. Ein strukturierter Ansatz für ERM und die Anforderungen der ISO 31000 — von Airmic und dem Institut für Risikomanagement IRM

Die folgenden Komponenten eines Enterprise Risk Management Frameworks tragen dazu bei, das Programm eines Unternehmens voranzutreiben.

Kontrolltätigkeiten

Kontrolltätigkeiten werden oft als interne Kontrollen bezeichnet und sind die Richtlinien, Prozesse und Verfahren, die ein Unternehmen zur Steuerung und Minderung von Risiken anwendet. Es gibt zwei Arten von Kontrolltätigkeiten im Rahmen des Enterprise Risk Managements:

1. Kontrolltätigkeiten zur Aufdeckung greifen, wenn eine riskante Aktivität oder Situation eingetreten ist. Sie werden nach dem Vorfall ausgelöst, um das Management und andere interessierte Parteien darauf aufmerksam zu machen und sicherzustellen, dass geeignete Folgemaßnahmen ergriffen werden. Beispiele für Kontrolltätigkeiten zur Aufdeckung sind das Auslösen eines Alarms oder das Senden von Nachrichten mit Informationen über den Vorfall.
2. Präventive Kontrolltätigkeiten verhindern, dass eine risikoreiche Tätigkeit oder Situation eintritt. Das Ziel einer präventiven Kontrolltätigkeit besteht darin, ein Risiko proaktiv zu stoppen oder abzuschwächen, bevor ein wesentlicher Vorfall eintritt. Ein Beispiel für eine präventive Kontrolle ist das Verschließen und Kontrollieren des Zugangs zu einem Raum, in dem sich sensible Systeme oder Informationen befinden.

Identifizierung von Ereignissen

Aus Sicht des Enterprise Risk Managements sind nur negative oder potenziell negative Ereignisse von Belang, da diese den Betrieb beeinträchtigen oder zum Erliegen bringen können. Beispiele für Ereignisse, die Unternehmen in der Regel berücksichtigen müssen, sind:

• Naturkatastrophen
• Pandemien
• Politische Unruhen
• Regulierungsänderungen
• Terroranschläge
• Technologieausfälle

Information und Kommunikation

Informationssysteme sollten zur Aufzeichnung und Weitergabe von Daten über das Risikoprofil und das Enterprise-Risk-Management-Programm eines Unternehmens genutzt werden. Diese Daten helfen, Programme zu optimieren, Schwachstellen zu erkennen und Risiken proaktiv zu mindern.

Ein etablierter Kommunikationsplan für das Enterprise Risk Management trägt dazu bei, die Akzeptanz und Wirksamkeit des Programms zu steigern.

Bewertung des internen Umfelds

Die Geschäftsleitung und die Mitarbeiter eines Unternehmens sind der Schlüssel zum internen Umfeld, das auch als Unternehmenskultur bezeichnet wird. Das interne Umfeld spielt eine entscheidende Rolle bei der Bestimmung der Risikobereitschaft und der allgemeinen Haltung des Unternehmens im Umgang mit Risiken. Es wird von der Geschäftsleitung angeführt und spiegelt sich in den Handlungen aller Mitarbeiter wider.

Überwachung

Enterprise Risk Management sollte Gegenstand interner und externer Prüfungen sein, um die Leistung zu bewerten. Diese sollten eine Bewertung aller Richtlinien, Praktiken und Kontrollen sowie eine Überprüfung von Vorfällen umfassen.

Zielfestlegung

Unternehmen orientieren sich an ihrem erklärten Zweck, der durch ein Leitbild und Ziele unterstützt wird. Sobald diese Ziele festgelegt sind, müssen sie mit den Risikogrenzen des Unternehmens in Einklang gebracht werden. Programme und Prozesse für das Enterprise Risk Management stellen sicher, dass Ziele innerhalb der Grenzen eines akzeptablen Risikos erreicht werden.

Risikobewertung

Neben der Sensibilisierung für potenzielle Probleme sollte Enterprise Risk Management auch Anleitungen zur Bewertung von Risiken und ihrer potenziellen Auswirkungen auf das Unternehmen enthalten. Risikobewertungen sollten das unmittelbare Risiko und die Restauswirkungen abdecken.

Risikoreaktion

Wenn ein Risiko entdeckt wird oder eskaliert, müssen Unternehmen darauf vorbereitet sein, schnell und effektiv zu reagieren. Enterprise Risk Management bietet eine Orientierungshilfe für die Prozesse zur Risikoreaktion, die in vier Kategorien unterteilt werden können:

1. Vermeidung
   Das Unternehmen kann Risiken vermeiden, indem es eine Tätigkeit, die ein inakzeptables Risiko verursacht, einstellt oder nicht aufnimmt.
2. Verringerung
   Das Unternehmen kann das Risiko verringern, indem es proaktive Maßnahmen zur Minimierung der Wahrscheinlichkeit oder des Ausmaßes eines möglichen Vorfalls ergreift.
3. Verteilung
   Das Unternehmen kann das Risiko teilen, indem es eine unabhängige dritte Organisation einsetzt, die den potenziellen Verlust gegen eine Entschädigung teilt, z. B. in Form einer Partnerschaftsvereinbarung oder einer Versicherungspolice.
4. Akzeptanz
   Das Unternehmen kann ein Risiko akzeptieren. Dies führt dazu, dass das Unternehmen die möglichen Folgen analysiert und entscheidet, ob es sich finanziell lohnt, risikomindernde Maßnahmen zu ergreifen. Ein Beispiel für Risikoakzeptanz ist die Beibehaltung einer Produktlinie ohne Änderung der Betriebsabläufe und Risikoteilung.

Potenzielle Herausforderungen beim Enterprise Risk Management

Als Prozess fehlen beim Enterprise Risk Management Verbindungen zwischen Risiko und Rendite:
Enterprise Risk Management und Führungsteams haben oft Schwierigkeiten, ihre Bemühungen zur Risikominderung mit strategischen Initiativen zu verknüpfen. Dies erschwert die Messung der Kapitalrendite (ROI) und erzeugt Lücken in der Risikotransparenz.

Enterprise-Risk-Management-Programme orientieren sich an bekannten Risiken: 
Eine Schwierigkeit beim Enterprise Risk Management besteht darin, über bekannte Risiken, die bereits eingetreten sind oder auf dem Radar des Unternehmens stehen, hinauszublicken. Viele Unternehmen tun sich schwer damit, künftige Risiken zu erkennen, da es ihnen an Erfahrung damit fehlt und sie diese nicht wahrnehmen können.

Enterprise-Risk-Management-Programme sind ressourcenintensiv: 
Um erfolgreich zu sein, erfordert Enterprise Risk Management ein hohes Maß an Zeit und Aufmerksamkeit. Viele Unternehmen versuchen, vorhandene Stellen mit diesen Aufgaben zu betrauen, was oft zulasten der Hauptaufgaben der Mitarbeiter und/oder des Enterprise-Risk-Management-Programms geht.

Enterprise-Risk-Management-Programme hängen von den Prognosen des Managements ab: 
Wenn sich Enterprise Risk Management zu sehr auf die Prognosen des Managements stützt, können Risiken aufgrund der Fehlbarkeit von Prognosen über- oder unterschätzt werden.

Enterprise-Risk-Management-Systeme bieten oft keine Transparenz zwischen Silos: 
Oftmals rutschen Risiken zwischen Geschäftseinheiten und anderen Silos durch. Diese schwer zu erkennenden Risiken können vom Enterprise Risk Management übersehen werden, da sie nicht in die Standard-Workflows zur Ermittlung und Festlegung der Verantwortung für Risiken fallen.

Enterprise-Risk-Management konzentriert sich meist auf die internen Risiken: 
Das traditionelle Risikomanagement in Unternehmen zielt darauf ab, interne Risiken zu ermitteln und auf sie zu reagieren. Dadurch sind Unternehmen Risiken ausgesetzt, die von außen kommen (z. B. Markttrends und Wettbewerber).

Der ganzheitliche Ansatz des Enterprise Risk Managements kann Geschäftsbereiche belasten: 
Einer der Vorteile des Enterprise Risk Managements ist sein ganzheitlicher Ansatz. Auf der Ebene der Geschäftseinheiten kann sich dies jedoch auch als nachteilig erweisen, da hochrangige übergreifende Richtlinien und Verfahren auf untere Ebenen des Unternehmens übertragen werden, wo sie (im besten Fall) nicht angemessen sind oder (im schlimmsten Fall) Arbeitsabläufe behindern können.

Risiken, die vom Enterprise Risk Management für eine Gruppe als gering eingestuft werden, können für eine andere Gruppe höher sein: 
Manche Risiken betreffen verschiedene Teile eines Unternehmens auf unterschiedliche Weise. Was anfangs kein Problem darstellt, kann sich zu einem Problem für andere Bereiche einer Organisation entwickeln oder sich verstärken, wenn es übersehen wird.

Arten von Risiken, die vom Enterprise Risk Management erfasst werden

Enterprise Risk Management soll Unternehmen beim Verständnis bestimmter Risikokategorien unterstützen, einschließlich der folgenden, und Prozesse zur Verhinderung oder Minderung von Problemen einführen.

Compliance-Risiken

Staatliche und branchenspezifische Gesetze, Vorschriften und Richtlinien verlangen von Unternehmen die Einhaltung strenger Regeln, da sie sonst mit finanziellen, rechtlichen oder sonstigen Strafen rechnen müssen. Daher ist das Risiko der Nichteinhaltung von Vorschriften ein ernstes Thema.

Ein besonders schwieriger Aspekt des Enterprise Risk Managements im Zusammenhang mit der Compliance ist die sich ständig weiterentwickelnde Landschaft von Regeln, Bedrohungen und Schwachstellen, die berücksichtigt werden müssen. 

Finanzielle Risiken

Es gibt zahlreiche finanzielle Risiken, mit denen sich das Risikomanagement in Unternehmen befassen muss. In jedem Unternehmen fließt Geld ein und aus – alles, was sich darauf auswirken kann, gilt als Risiko. Aufgrund seines ganzheitlichen Ansatzes ist Enterprise Risk Management gut geeignet, finanzielle Risiken abzudecken, die durch Faktoren verursacht werden, die das gesamte Unternehmen betreffen.

Gesundheits- und Sicherheitsrisiken

Die Sicherheit am Arbeitsplatz und das allgemeine Wohlbefinden der Mitarbeiter bestimmen die Gesundheits- und Sicherheitsrisiken. COVID-19 oder eine schwere Grippesaison zeigen, dass sich Gesundheitsrisiken erheblich auf den Betrieb eines Unternehmens auswirken können. Ein weiterer Faktor, der bei Gesundheits- und Sicherheitsrisiken zu berücksichtigen ist, ist die psychische Gesundheit, die sowohl einzelne Personen als auch die Gesamtmoral der Mitarbeiter beeinflusst.

Rechtsrisiken

Die Bedrohung durch Rechtsklagen gilt berechtigterweise als erhebliches Risiko. Die Auswirkungen von Rechtsstreitigkeiten können vielfältige Probleme und Kosten verursachen – materielle und immaterielle. Zu den greifbaren Auswirkungen rechtlicher Risiken gehören Kosten (z. B. Anwaltsgebühren, Strafen) und der Zeitaufwand der Mitarbeiter (z. B. für das Sammeln und Organisieren der entsprechenden Unterlagen). Zu den immateriellen Auswirkungen rechtlicher Risiken zählen Rufschädigung und eine niedrige Unternehmensmoral.

Betriebliche Risiken

Trotz aller Bemühungen ist das Tagesgeschäft eines Unternehmens Risiken ausgesetzt, die durch unerwartete Umstände oder Unfälle entstehen. Diese Vorfälle können kurz- oder langfristige betriebliche Auswirkungen haben, die das Unternehmen erheblich beeinträchtigen. Betriebliche Risiken können durch fehlerhafte Prozesse, Menschen, Systeme oder externe Ereignisse verursacht werden.

Reputationsrisiken

Schäden für ein Unternehmen können weitreichende Konsequenzen haben. Reputationsschäden können das Vertrauen in das Unternehmen erschüttern bzw. Mitarbeiter, Kunden, Partner, Anleger und die Öffentlichkeit allgemein verärgern.

Sicherheitsrisiken

Es bestehen zahlreiche Sicherheitsrisiken, die sowohl physische (etwa Bürogebäude und Produktionsanlagen) als auch digitale Werte (beispielsweise Datenbanken und Server) betreffen. Sicherheitsrisiken gehen von verschiedenen Quellen aus – von Kleinkriminellen bis hin zu Cybercrime-Syndikaten und von böswilligen Insidern bis hin zu Staaten. Wenn Sicherheitsrisiken nicht verhindert werden, kann dies schwerwiegende finanzielle und betriebliche Folgen haben.

Strategische Risiken

Eines der am schwierigsten zu steuernden Risiken ist das strategische Risiko. Das liegt daran, dass strategische Risiken weniger greifbar und schwieriger zu kontrollieren sind als andere Risiken. Strategische Risiken wie Wettbewerb, neue Marktteilnehmer, Finanzmärkte und Lieferkettenprobleme wirken sich auf den langfristigen Plan und den Erfolg eines Unternehmens aus.

Enterprise Risk Management in Unternehmen

Da Enterprise Risk Management das gesamte Unternehmen einschließt, trägt es dazu bei, das Bewusstsein für Risikomanagement in der Unternehmenskultur zu verankern. So werden Entscheidungen unter Berücksichtigung potenzieller Risiken und deren Vermeidung oder Abschwächung getroffen bzw. alltägliche Tätigkeiten entsprechend wahrgenommen.

Beachten Sie bei der Vorbereitung der Einführung von Enterprise Risk Management die folgenden Punkte:

• Was sind die zentralen Komponenten oder Triebkräfte der Strategie des Unternehmens?
• Welche internen oder externen Faktoren oder Ereignisse könnten die Umsetzung der Strategie bremsen oder beeinträchtigen?
• Unterstützen die bestehenden Systeme und Prozesse das Erreichen der gesetzten Ziele und das Management interner und externer Risiken?

Unternehmen, die auf Enterprise Risk Management setzen, profitieren erheblich. Wenn Risiko im gesamten Unternehmen einen hohen Stellenwert hat, summieren sich viele kleine Maßnahmen zu großen Ergebnissen und risikoreiche Angelegenheiten werden oft erkannt, bevor sie zu schweren Problemen werden. Darüber hinaus kann das Risikomanagement in Unternehmen dazu beitragen, redundante oder ineffiziente Prozesse zu identifizieren, den optimalen Einsatz von Mitarbeitern zu gewährleisten, Diebstahl zu verringern und die Rentabilität zu steigern, indem die Kundenzufriedenheit verbessert und Marktstrategien validiert werden.

Das könnte Sie auch interessieren: