22.05.2012
Home
Sitemap
Kontakt
Newsletter
RSS
Atom
RiskNET - The Risk Management Network -Die australisch-neuseeländische Risikomanagement-Norm AS/NZS 4360

Das Jahr 2004 brachte zwei wichtige Veröffentlichungen zum Thema Risikomanagement, die unterschiedlicher nicht hätten sein können. Zum einen wurde die endgültige Version des "COSO Enterprise Risk Management Framework 2004" veröffentlicht, zum anderen erschien die neue Ausgabe der australisch-neuseeländischen Norm AS/NZS 4360:2004 "RISK MANAGEMENT".

Die COSO ist eine private amerikanische Kommission unabhängiger Experten aus den Bereichen Industrie, Banken, Investment und Börse, die sich zunächst einmal mit betrügerischen Finanzreporten beschäftigt haben und Anforderungen an das Reporting erarbeiteten, die solche Betrügereien verhindern sollen. Jetzt hat sich diese Kommision dem Thema "Unternehmensweites Risikomanagement" gewidmet. Die australische-neuseeländische Norm "Riskmanagement" wurde vom "Australia/Standards New Zealand Committee OB-007" erarbeitet und stellt eine Überarbeitung des gleichnamigen Standards aus dem Jahr 1999 dar.

Beide Standards beschäftigen sich mit dem Aufbau und dem Betrieb eines Risikomanagement-Systems in Unternehmen. Das von COSO erstellte Papier hat einen Umfang von 230 Seiten, die australische Norm kommt mit 28 Seiten aus. Da lohnt es sich doch einmal genauer hinzusehen, was unsere Antipoden zum Thema Risikomanagement zu sagen haben – zumal im deutschsprachigen Raum bisher nichts Adäquates vorliegt.

Oft wird behauptet, die AS/NZS 4360 sei die einzig international akzeptierte Risikomanagement-Norm. 1995 war sie auf jeden Fall die erste. Seitdem wurde sie stetig weiterentwickelt: 1999 folgte die zweite Version, seit vergangenem Jahr wird auch das Chancenmanagement betrachtet. Dabei finden sowohl positive Abweichungen (Chancen) als auch negative Abweichungen (Risiken) von der Planung beziehungsweise den Erwartungen im Prozess Berücksichtigung. Heute erscheint die AS/NZS 4360 als ein hervorragendes allgemeines Handbuch für die Einführung und die praktische Anwendung eines Risikomanagement-Systems. Noch mehr und detailliertere Informationen liefert das zugehöre Begleithandbuch.

Hintergrund

"Die Alternative zum Risikomanagement ist riskantes Management" – so steht es gleich zu Beginn des Begleithandbuchs zur Norm. Riskantes Management aber führt zu sorglosen, nicht fundierten Entscheidungen und ist nicht dafür geeignet, die gewünschten Ziele sicher zu erreichen.

Das Managen von Risiken bedeutet vielmehr

  • neben Risiken auch Chancen zu betrachten,
  • einen logischen und systematischen Prozess, der in die tägliche Arbeit einfließen muss,
  • vorausschauendes Denken,
  • verlässliche Entscheidungen,
  • eine Verbesserung der internen und externen Kommunikation,
  • eine ständige Abwägung zwischen Kosten und Chancenumsetzung.

Und man bekommt dafür

  • weniger Überraschungen,
  • ein effizienteres Nutzen von Chancen,
  • eine bessere Planung, mehr Leistung und Effektivität,
  • eine intensivere Kommunikation mit Stakeholdern,
  • fundiertere Grundlagen für Entscheidungen,
  • eine verbesserte Reputation,
  • zufriedenere Mitarbeiter sowie
  • eine transparentere "Corporate Governance".

In einem einführenden Kapitel wird die AS/NZS 4360:2004 als allgemeiner Führer für das Managen von Risiken dargestellt. Konsequent werden die Ziele des Standards erläutert und die Begriffe mit Hilfe von Definitionen und der Festlegung der Terminologie erklärt. Anschließend wird der Risikomanagement-Prozess aufgezeigt. Im letzten Kapitel geben die Autoren Hinweise, wie ein Risikomanagement-System im Unternehmen eingeführt werden kann.

Der Risikomanagement-Prozess

Dargestellt wird dieser Risikomanagement-Prozess anhand des so genannten Risikomanagement-Kreislaufs in einer kurzen, prägnanten aber einprägsamen Form. Das Risikomanagement durchläuft dabei sieben Phasen: Risiko-Strategie, Risiko-Identifikation, Risiko-Analyse, Risiko-Gewichtung, Risiko-Handhabung, Risiko-Dokumentation und -Kommunikation, Risiko-Kontrolle und -Überwachung.

Establish the Context – Festlegung der Risiko-Strategie: ein wichtiger Schritt, der am Anfang jeder Einführung eines Risikomanagement-Systems stehen sollte, ist die Festlegung der Risiko-Strategie. Ausgehend von den vielen Umgebungsparametern, die in dieser Phase Berücksichtigung finden sollten, gilt es, die Ziele zu definieren, die mit der Implementierung eines Risikomanagement-Systems erreicht werden sollen.

Es handelt sich zum einen um externe, zum anderen um interne Einflüsse. Bei den externen Einflüssen sind die geschäftlichen, sozialen und politischen zu nennen, sowie finanziellen Verflechtungen, die zu den externen Einflussfaktoren eines Unternehmens gehören. Dazu kommen die Organisation, die externen Geschäftsinteressenten (Stakeholder) und die wesentlichen Geschäftsindizes.

Von den internen Einflüssen müssen im Rahmen des Risikomanagements die Mitarbeiter, die eingeführten Prozesse und das zur Verfügung stehende Kapital analysiert werden. Wichtig sind auch die festgelegten Ziele. An diesen orientiert sich schließlich die Risiko-Betrachtung.

Dabei muss ein Rahmen für das Risikomanagement gesetzt werden. Es gilt, ein Gleichgewicht zu finden zwischen dem Aufwand, den Kosten, dem Ertrag sowie den damit verbundenen Chancen. Man sollte sich früh darüber klar werden, bis zu welcher Ebene der Risikomanagement-Prozess durchgeführt werden soll. Sowohl die Ausweitung auf mehrere Ebenen als auch eine zu geringe Tiefe können den Erfolg gefährden. Als Maßstab kann gelten: es muss so weit verfeinert werden, dass keine relevanten Risiken übersehen werden. Darüber hinaus müssen Rollen und Verantwortlichkeiten klar definiert sein. Des Weiteren ist es unabdingbar festzulegen, in wie weit finanzielle, technische und humanitäre Erwägungen in den Risikomanagement-Prozess mit einfließen sollen.

Identify Risks – Risiko-Identifikation: der erste Schritt in der Risiko-Bewertung ist die Identifikation von Risiken. In diesem Schritt wird versucht, alle Risiken zu finden, die direkt oder indirekt auf das Unternehmen einwirken. Generell wird in der Norm gefordert, die Risiko-Identifikation breit anzugehen. Es gilt auch, Risiken zu betrachten, die nicht vom Unternehmen ausgehen oder von diesem beeinflussbar sind.

Die Fragen, die ein Risiko-Manager sich stellen sollte lauten: was kann wo und wann auf mein Unternehmen zukommen? Was kann passieren, das die gesteckten Ziele beeinflusst oder gar gefährdet? Wo und wann kann dies eintreten? Warum und wie tritt dieses Risiko ein?

Für die Suche nach diesen Risiken gibt es Tools und Techniken, wie Erfahrungswerte, Brainstorming, Szenario-Analysen und Techniken aus dem "Systems Engineering". Das Begleithandbuch der AS/NZS 4360:2004 empfiehlt in diesem Zusammenhang beispielsweise Brainstorming in Workshops, strukturierte Prozesse (Ablaufpläne, Systemanalyse, Prozessanalyse, Reviews) und "Was wäre wenn ..."-Szenarien.

Risk Analysis – Risiko-Analyse: nach der Identifikation der Risiken wird die Abschätzung nach Schadenshöhe und Eintrittswahrscheinlichkeit für die einzelnen Risiken vorgenommen. Risiken, die als gering eingestuft werden, dürfen aus dieser Analyse herausgenommen werden. Allerdings sollten sie speziell gekennzeichnet werden, damit der Nachweis einer vollständigen Risiko-Analyse geführt werden kann. Natürlich ist es nicht immer einfach, die Schadenshöhe und die Eintrittswahrscheinlichkeit zu ermitteln. Als mögliche Informationsquellen zur Ermittlung dieser Werte schlagen die Autoren Aufzeichnungen, Veröffentlichungen, Marktuntersuchungen sowie die Meinung von Spezialisten und Experten vor.

Bei der Bewertung unterscheidet die Norm drei Typen von Bewertungsschemata:

  • die qualitative Analyse,
  • die semi-quantitative Analyse sowie
  • die quantitative Analyse.

Bei der qualitativen Analyse werden für Schadenshöhe und Eintrittswahrscheinlichkeit verbale Beschreibungen verwendet. Beispiele für Bezeichner zur Beschreibung von Schadenshöhen im Gesundheitsbereich wären: "Signifikante, Irreversible Schäden an mehr als 50 Personen", "Schwere, irreversible Behinderungen (> 30%) bei einer oder mehreren Person(en)", "Mittlere, irreversible Behinderungen (< 30%) bei einer oder mehreren Person(en)", "Wirkliche aber reversible Beschädigungen mit Krankenhausaufenthalt", "Keine medizinische Hilfe notwendig". Ähnlich detailliert kann man derartige Aussagen auch für die Eintrittswahrscheinlichkeit machen. Sehr einfache Klassifizierungen ("Fast sicher", "wahrscheinlich", "möglich", "unwahrscheinlich", "selten", "sehr selten", "nahezu unmöglich") sind aber ebenfalls möglich.

Die qualitative Analyse sollte immer dann verwendet werden:

  • wenn keine quantitative Genauigkeit erforderlich ist,
  • wenn eine erste Analyse der Risiko-Lage vorzunehmen ist,,
  • wenn geringe Risiken vorliegen, bei denen eine tiefergehende Analyse nicht gerechtfertigt ist,
  • wenn Risiken vorliegen, für die es keine adäquate numerische Analyse gibt.

In der semiquantitativen Analyse werden den qualitativen Bezeichnern Werte zugeordnet. Damit soll ein erweitertes Ranking ermöglicht werden. Es wird jedoch davor gewarnt, eine Scheingenauigkeit zu erzeugen. Exakte Werte bringt nur die quantitative Analyse.

Bei der quantitativen Analyse kommen numerische Werte zum Einsatz. Die erforderlichen Daten müssen aus genauen Untersuchungen über die Risiken gewonnen werden. Die Qualität der Werte hängt von der Genauigkeit und Vollständigkeit der Untersuchung ab sowie von der Gültigkeit des ausgewählten Modells.

Welche Bewertungsmethode gewählt wird, hängt von der Umgebung, den Zielen und den verfügbaren Ressourcen ab. Auf der strategischen Ebene möchte man zum Beispiel eine breite Risiko-Bewertung, damit für das Unternehmen ein umfassendes Risiko-Profil erstellt werden kann. Wird Risikomanagement auf Projektebene durchgeführt, fokussiert sich die Bewertung zielgerichtet auf die Projektrisiken. Hier sind nur Risiken interessant, welche die Projektziele gefährden.

Die Norm empfiehlt ausdrücklich, am Ende der Analysephase eine Sensitivitätsanalyse durchzuführen, um festzustellen, wie viel Unsicherheit in den Annahmen und Daten steckt.

Evaluate risks – Risiko-Gewichtung: die Phase der Risiko-Gewichtung ist laut Aussage der Norm äußerst wichtig. Erst nachdem die Analyse durchgeführt wurde, lässt sich bestimmen, welchen Risiken mit Maßnahmen begegnet werden muss und in welcher Reihenfolge dies zu geschehen hat. Dabei muss auch berücksichtigt werden, in wie weit vorhandene Chancen mit den Risiken verbunden sind. Letztendlich geben hier die in der Festlegung der Risiko-Strategie definierten Entscheidungskriterien den Ausschlag. Manchmal ist es auch notwendig, tiefer gehende Analysen durchzuführen, ehe mit der Maßnahmenfindung begonnen werden kann. Wichtig ist es auf jeden Fall, über den Tellerrand hinaus zu schauen, da beispielsweise auch Andere außerhalb des Unternehmens ebenfalls betroffen sein können.

In der Praxis hilft die Risiko-Gewichtung, kühlen Kopf zu bewahren. Die Risiken werden – beginnend mit den am höchsten bewerteten Risiken – von oben nach unten abgearbeitet. Nur so kann man den Aufwand für die Maßnahmen in einem Rahmen halten, welcher der Risiko-Lage entspricht.

Treat risks – Risiko-Handhabung: wenn es um Chancen geht, kann man auch innerhalb der Risiko-Handhabung mittels Maßnahmen die Realisierbarkeit der Chancen erhöhen. Die Norm nennt hier:

  • Maßnahmen ergreifen, welche die Wahrscheinlichkeit der Realisierung der Chance erhöhen,
  • Maßnahmen ergreifen, welche die Höhe der Chance positiv beeinflussen,
  • Chancen mit anderen teilen, beispielsweise um bessere Kapazitäten bereitstellen zu können. Dazu gehört natürlich das Eingehen von strategischen Partnerschaften mit entsprechenden Verträgen und finanziellen Vereinbarungen.

Im klassischen Risikomanagement dienen die Maßnahmen dazu, die Risiken – wenn möglich – auf ein erträgliches Maß zu beschränken. Solche Maßnahmen können die Risiko-Vermeidung, die Risiko-Reduzierung (Eintrittswahrscheinlichkeit und/oder Schadenshöhe), oder die Risiko-Überwälzung sein. Wichtig ist, dass die Maßnahmenkosten in einem vernünftigen Verhältnis zum erzielten Ertrag (Risiko-Reduktion, höhere Chancenwahrnehmung) stehen. Die Maßnahmenumsetzung muss sorgfältig geplant werden. In den Plänen sollten die erforderlichen Ressourcen, die Verantwortlichkeiten, der Zeitplan und die Dokumentation der Maßnahmen Berücksichtigung finden.

Monitor and review – Kontrolle und Dokumentation: alle Prozessschritte müssen adäquat überwacht und überprüft werden, um die Funktionsfähigkeit und die Gültigkeit der gemachten Aussagen zu bewahren. Dies sollte integraler Bestandteil des "Performance Managements" eines Unternehmens sein. Ebenso sollte auch die Berichterstattung über den Risikomanagement-Prozess kontinuierlich in das Berichtswesen mit einfließen. Die Dokumentation in allen Phasen des Prozesses ist für die "Corporate Governance" eines Unternehmens wichtig. Dabei müssen jedoch der Aufwand, die gesetzlichen Vorschriften sowie der Nutzen wiederverwendbarer Aussagen in einem ausgewogenen Verhältnis zueinander stehen.

Einführung eines effektiven Risikomanagement-Systems

Wie wird ein systematisches Risikomanagement-System in einer Organisation entwickelt, eingeführt und gelebt? Auch hierzu macht die AS/NZS 4360:2004 einige Aussagen. Gemäß der Norm sollte der aufzustellende Plan folgende Schritte beinhalten:

  • Die Bewertung der Praxis sowie der notwendigen Änderungen ist vorzunehmen. Dies gilt für bestehende Prozesse, für die bereits Risiko-Betrachtungen existieren und die einer kritischen Betrachtung unterzogen werden sollten.
  • Der Risikomanagement-Plan sollte in allen wichtigen Unternehmensprozessen eingeführt werden und fester Bestandteil der Unternehmensstrategie und der -planung sein.
  • Das gehobene Management muss mit eingebunden werden. Am besten man bestimmt dort einen Coach.
  • Die Veröffentlichung der Risiko-Strategie im gesamten Unternehmen sowie eine Unterstützung der Kommunikation durch ein Mitglied des Führungsstabs müssen gewährleistet sein.
  • Die Unternehmensführung ist für das Risikomanagement zuständig, ebenso wie jeder Mitarbeiter für die Risiken in seinem Geschäftsfeld.
  • Die entsprechenden Ressourcen für die Einführung und Durchführung des Risikomanagements müssen geschaffen werden. Dies betrifft sowohl die Ausbildung der Mitarbeiter, die Softwareausstattung sowie die finanziellen Mittel für die Umsetzung der Maßnahmen.

Fazit

Die australisch/neuseeländische Norm bietet einen sehr systematischen und pragmatischen Ansatz für die Einführung und die Umsetzung eines Risikomanagement-Systems in Unternehmen. Die Norm gibt, ergänzend im zughörigen Handbuch, viele wichtige Hinweise für die Umsetzung. Stets ist von der adäquaten Anpassung des Systems an die Unternehmensgröße, die Umsetzungsmöglichkeiten und die finanziellen Spielräume für die Maßnahmen die Rede. Auffallend stark wird die Integration in das Unternehmen, in die Unternehmensphilosophie und die Führungsmannschaft betont, ebenso die Kommunikation in allen Unternehmensbereichen. Es fehlt jedoch der Hinweis auf ein funktionierendes Frühwarnsystem, was die Kontrolle und Überwachung eines modernen Risikomanagements enorm erleichtern kann. 

"In der Beschränkung zeigt sich der Meister" – diesen Leitspruch von Altmeister Goethe haben sich die Bearbeiter dieser Norm zu Eigen gemacht. Es gibt wohl nur wenige Dokumente, die sich so kompakt und dennoch kompetent mit dem Thema Risikomanagement auseinandersetzen. Die AS/NZS 4360:2004 ist daher ein hervorragend geeigneter Leitfaden für den professionellen Einstieg in ein funktionierendes Risikomanagement.

[Autor: Werner Schmid, ASTRUM IT]

 

Einen Fachartikel aus der RISKNEWS 02/2005 zur australisch-neuseeländischen Risikomanagement-Norm AS/NZS 4360 finden Sie hier: 

 

Bücher des Monats

Web 2.0 und soziale Netzwerke – Risiko oder strategische Chance

Andreas Grahl (Hrsg.): Web 2.0 und soziale Netzwerke – Risiko oder strategische Chance, Bank Verlag, Köln 2012, 482 Seiten, 89,00 Euro, ISBN: 978-3-86556-265-4.

Buch liefert soliden Rahmen für Online-Strategie

[mehr]

Controlling mit Microsoft Excel 2010

Robert Roller: Controlling mit Microsoft Excel 2010 – Der schnelle Einstieg in Grundlagen und Praxis, Microsoft Press Deutschland, München 2012, 301 Seiten, 24,90 Euro, ISBN 978-3-86645-823-9.

Der schnelle Einstieg in Grundlagen und Praxis

[mehr]

Kapitaladäquanz und Kapitalallokation im Kompositversicherungsunternehmen auf der Basis eines...

Malte Höppner: Kapitaladäquanz und Kapitalallokation im Kompositversicherungsunternehmen auf der Basis eines "internen Modells“, Leipziger Schriften zur Versicherungswissenschaft, Band 14, Verlag Versicherungswirtschaft, Karlsruhe 2011, 293 Seiten, 48 Euro, ISBN: 978-3-89952-645-5

Solide Einführung in die Welt der internen Modelle

[mehr]

RiskNET Kolumne

Bei RiskNET finden Sie jeden Monat eine aktuelle Kolumne aus der bunten Welt des Risk Managements.

 

Druckversion dieser Seite
Seitenanfang
ImpressumNetiquetteÜber unsMediadatenAGBDatenschutzKontakt
Fügen Sie diesen Artikel zu den folgenden Social-Bookmarking-Diensten hinzu:
bookmark in your browserbookmark at mister wongpublish in twitterbookmark at del.icio.usbookmark at digg.combookmark at furl.netbookmark at linksilo.debookmark at reddit.combookmark at spurl.netbookmark at technorati.combookmark at google.combookmark at yahoo.combookmark at facebook.combookmark at stumbleupon.combookmark at propeller.combookmark at newsvine.combookmark at jumptags.com
© 1999-2012 RiskNET GmbH - The Risk Management Network