Risikomanagementprozess nach ISO 31000:2009


Ausarbeitung, 2017

18 Seiten, Note: 1,7


Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1. Einleitung

2. Theoretische Grundlagen
2.1. Risikobegriff
2.2. Risikomanagement

3. Risikomanagement nach der ISO 31000:2009
3.1. Einordnung
3.2. Risikomanagementprozess
3.3. Anwendungsbeispiel

4. Zusammenfassung

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Risiko als Gegenstand von Unsicherheit

Abbildung 2: Reines Risiko und Chance als Bestandteil der Risikovarianz

Abbildung 3: Risikomanagementsystem nach IS0 31000

Abbildung 4: Risikomanagementprozess nach ISO 31000

Abbildung 5: Risikomatrix der BABYCAR GmbH

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Einleitung

„Nichts geschieht ohne Risiko, ober ohne Risiko geschieht auch nichts." Dieses Zitat stammt von dem ehemaligen Bundespräsidenten Walter SCHEEL. Seine Aussage impliziert, dass jeder Hand­lung sowohl Chancen als auch Risiken innewohnen. Diese Tatsache stellt gerade Entscheidungs­träger in Unternehmen vor die anspruchsvolle Aufgabe, Risiken und Chancen von Handlungen frühzeitig zu identifizieren und in ihrer Entscheidungsfindung zu berücksichtigen. „Risiken und Chancen sind in jedem Unternehmen - wenn auch nicht immer offensichtlich - vorhanden. "x Das aktuelle Umfeld für Unternehmen zeichnet sich nicht nur durch hohe Dynamik des wirtschaftli­chen, gesellschaftlichen und technologischen Wandels aus, auch die wachsende Internationali­sierung der Märkte sowie immer höher werdende Kundenansprüche müssen bei strategischen Planungen berücksichtigt werden. Entscheidungsträger sehen sich durch die Vielzahl der Ein­flussfaktoren mit kontinuierlich wachsender Unsicherheit, Komplexität, Informationsbeschaf­fung und Verantwortung konfrontiert, welche in einem Risikomanagementsystem Beachtung finden müssen. Durch eine strukturierte Vorgehensweise sowie des organisatorischen Rahmens stellt die ISO 31000:2009 den bedeutendsten Standard zum Aufbau von Risikomanagementsys­temen dar.[1] [2] Aufgrund dessen dient die ISO 31000:2009 in dieser Ausarbeitung als Grundlage um Risikomanagement, anhand des in der Norm integrierten Risikomanagementprozesses zu präsentieren.

Dazu werden zunächst im ersten Kapitel die theoretischen Grundlagen erläutert. Hier befas­sen wir uns mit der Frage, was unter Risiken zu verstehen ist. Zusätzlich betrachten wir das Risi­komanagement im Allgemeinen mit dem Ziel, ein tieferes Verständnis zu schaffen und auch seine Bedeutung für Unternehmen einzuordnen. Im dritten Kapitel widmen wir uns der ISO 31000:2009. Hier befassen wir uns zunächst mit der Einordnung der Norm sowie dem integrier­ten Risikomanagementsystem, bevor wir den Risikomanagementprozess betrachten. Dieser wird anschließend erläutert und die einzelnen Prozessschritte definiert. Um ein tieferes Ver­ständnis zu schaffen, wird der Risikomanagementprozess anhand des fiktiven Unternehmens BABYCAR GmbH demonstriert. Abschließend werden im letzten Kapitel die Erkenntnisse dieser Ausarbeitung zusammengefasst.

2. Theoretische Grundlagen

2.1. Risikobegriff

Der Risikobegriff wird in der Literatur unterschiedlich definiert. Betrachtet man seine Etymolo­gie,[3] so zeigt sich, dass er sich aus dem frühitalienischen Wort risicare ableitet, welches wagen bedeutet.[4] Weiter wird vermutet, dass er auch aus dem spanischen Wort risco resultieren könnte, welches Klippe bedeutet.[5] Als Metapher dient die Vorstellung eines Schiffes, welches sich auf eine Klippe zubewegt, also ein durchaus gewagtes Unterfangen. Durch vorrausschau- endes Handeln kann die Klippe umschifft werden, welches wiederum neue Chancen bietet.[6] „In dieser Auffassung ist das Risiko etwas menschlich Produziertes, das dabei entsteht, wenn einer Gefahr ausgewichen wird, die Prinzipiell vermeidbar gewesen wäre. "[7]

Bezogen auf ein Unternehmen kann die Chance auf Gewinne, als auch das Risiko von Verlus­ten verstanden werden. „Das Wesen unternehmerischen Handelns ist das Nutzen von Chancen und - aufgrund von Unwägbarkeiten der zukünftigen Umweltbedingungen - auch das Eingehen von Risiken."[8] [9] Eine frühe wissenschaftliche Auseinandersetzung mit dem Begriff erarbeitete der US-amerikanische Ökonom Frank H. KNIGHT. Dieser ging bereits 1921 in seinem Buch Risk, uncertainty and profit auf die Definition des Risikobegriffs ein. KNIGHT differenziert Risiko sowie Ungewissheit als Form der Unsicherheit, wie die nachfolgende Abbildung darstellt:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Risiko als Gegenstand von Unsicherheit9

An dieser Gliederung orientiert sich auch der deutsche Psychologe und Direktor des Harding- Zentrums für Risikokompetenz Gerd GIGERENZER und merkt an, dass die Begriffe Risiko und Un­gewissheit im alltäglichen Sprachgebrauch synonym verwendet werden.[10] GIGERENZER führt weiter an, dass für eine Entscheidung unter Risiko, Denken und Logik ausreichend sind, da die beste Entscheidungsoption berechnet werden könne. Vorausgesetzt wird, dass Auswirkung so­wie Wahrscheinlichkeit der Handlung bekannt sind. Da dies bei Ungewissheit nicht der Fall ist, verweist GIGERENZER hier auf Faustregeln und Intuition.[11] Beispielsweise liegt bei Glücksspielen wie etwa bei Automaten und Lotterien nach Gigerenzer ein Risiko vor, da die Wahrscheinlich­keit eines Gewinnes berechnet werden kann. Unter den Begriff der Ungewissheit fallen nach dieser Auffassung u.a. Aktien, Gesundheit oder die Wirtschaft im Allgemeinen.[12]

GÖPPL und SCHLAG definieren hingegen Risiko als Möglichkeit der positiven oder negativen Abweichung eines erwarteten Wertes.[13] Sie interpretieren den Risikobegriff somit als mathe­matische Varianz, welche durch Ungewissheit im Vorfeld nicht genau definiert werden kann. Eine positive Abweichung wird als Chance bezeichnet,[14] eine negative als reines Risiko. Der Be­griff Risikovarianz umfasst dabei sowohl die negative als auch positive Abweichung.[15] [16]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Reines Risiko und Chance als Bestandteil der Risikovarianz

Eine ähnliche Definition ist in der ISO-Definition, gemäß ISO/IEC Guide 73:2009 zu finden: „Risiko ist die Auswirkung von Ungewissheit auf Ziele." Diese allgemeine Definition schließt ebenfalls nicht nur negative, sondern auch positive Auswirkungen sowie objektive und subjekti­ve Betrachtungen ein.[17] Dies ist für die Behandlung vieler Unternehmensrisiken, wie beispiels­weise Marktrisiken, von Vorteil. Die so aufgefassten und behandelten Risiken werden in der Li­teratur auch als Risiken im weiteren Sinne bezeichnet.[18]

2.2. Risikomanagement

„Risikomanagement ist die systematische Analyse, Bewertung, Behandlung und Steuerung von Unternehmensrisiken."[19] Das heutige Risikomanagement (RM) wird als ganzheitlicher und stra­tegischer Ansatz interpretiert. Synonyme sind beispielsweise holistisches- und integriertes RM oder auch Enterprise Risk Management (ERM). [20]Diese Interpretation wird auch von den be­kannten Standard- und Rahmenwerken COSO ERM oder ISO 31000 vertreten. „Trotz der zahl­reichen koexistierenden Empfehlungen und Normen (es gibt weltweit weit über 80 davon!) zu RM besteht über den Kerngedanken vom modernen Ansatz weitgehend Konsens. " [21]

RM ist ein kontinuierlicher, unternehmensweiter Prozess, welcher das Ziel besitzt, Unter­nehmenswerte zu schaffen, indem Schlüsselrisiken identifiziert, bewertet und aktiv gesteuert werden. Ein Risiko stellt ein Schlüsselrisiko dar, sobald es eine vom Unternehmen festgelegte Varianz des Erwartungswertes übersteigt und den Unternehmenswert somit negativ beeinflus­sen könnte. Schlüsselrisiken treten also dann auf, wenn verstärktes reines Risiko besteht.

In der Praxis sind häufig historisch gewachsene und teilweise bewusst nicht unternehmens­weite RM-Systeme zu beobachten. [22] Gründe hierfür können zahlreich sein, sind Unterneh­mensbereiche zu klein bzw. finanziell zu unwichtig, so werden sie oft als nicht relevant einge­stuft. Verschiedene Bewertungsansätze pro Risikobereich (z.B. Prozessrisiken, Finanzrisiken) führen zudem dazu, dass kein Vergleich, keine Priorisierung und auch keine Verdichtung auf Gesamtunternehmensebene möglich sind. Oftmals sind auch die Rahmenbedingungen, welche für einen unternehmensweiten Prozess gegeben sein müssen nicht vorhanden. „Die Erfahrung aus der Praxis zeigt, dass (unabhängig von der Unternehmensgröße!) RM-Ansätze an der Kom­plexität scheitern und auch keinen Mehrwert bringen, wenn mehr als durchschnittlich 20 bis 80 Schlüsselrisiken bewertet und aktiv gesteuert werden."[23]

RM umfasst die Steuerung aller Risiken, welche aus der Entwicklung und Verfolgung von Un­ternehmenszielen, dem Führungsprozess und den Geschäftsprozessen resultieren können. Ent­scheidend ist auch die Identifikation, Bewertung und Steuerung von Abhängigkeiten zwischen den Risiken sowie die Steuerung des Gesamtrisikos, welches sich durch eine Risikoaggregation ergibt.[24] Die Steuerung des aggregierten Gesamtrisikos sollte möglichst an der Risikobereit­schaft ausgerichtet sein, welcher den Grad der Risikofreudigkeit der Unternehmensleitung be­schreibt, um die definierten Unternehmensziele zu erreichen. Damit dies gewährleistet werden kann, muss das RM nicht nur strategisch ausgerichtet sein, sondern sollte als umfassendes Ma­nagementkonzept verstanden werden.[25]

Ziel von RM ist nicht die möglichst vollständige Beseitigung der Unternehmensrisiken, son­dern vielmehr die Herbeiführung eines ausgewogenen Risiko- und Chancenprofils, welches mit der Risikobereitschaft der Unternehmensleitung übereinstimmt.[26] In der Praxis wird RM oft als Instrument zur langfristigen Existenzsicherung und zur Einhaltung von Regularien verstanden. Obwohl es oft als Wettbewerbsvorteil gesehen wird, wird es in der Praxis noch zu selten als Nutzen stiftendes Chancenmanagement zur Steigerung des Unternehmenswerts verstanden.[27] Um auch bei strategischen Planungen mit eingebunden zu werden, muss ein Risikomanager in der Praxis oftmals ökonomisch gerechtfertigt sein.

RM ermöglicht eine strategische Planung, da eingegangene Risiken den möglichen Chancen direkt messbar gegenüberstellt, werden. Zudem kann es gemessen am Risikokapital aufzeigen, ob ein Unternehmen zu wenige Risiken eingeht und somit Chancenpotenziale vergibt. RM un­terstützt weiterhin das Management bei der Entscheidungsfindung, da eine passende Entschei­dungsgrundlage geliefert wird.

3. Risikomanagement nach der ISO 31000:2009

3.1. Einordnung

„Die Norm ISO 31000 ist die einzige internationale Norm mit Bezug zum Risikomanagement."[28] Ziel der Internationalen Organisation für Normung (ISO) war, die damit verbundenen Prozesse zu standardisieren. Entwickelt wurde so ein weltweit gültiger Standard zum Risikomanagement. Gemeinsam mit dem überarbeiteten ISO/IEC Guide 73 „Vocabulary" wurde diese Norm im Ok­tober 2009 veröffentlicht. „Die ISO 31000 in Kombination mit der Norm „ISO Guide 73 Risk Ma­nagement - Vocabulary" ist der bedeutendste Standard zum Aufbau von Risikomanagementsys­temen, da diese eine strukturierte Vorgehensweise, einschließlich des organisatorischen Rah­mens, sicherstellen."[29] Die Norm baut auf nationalen Standards aus Australien, Neuseeland und Österreich auf, eine Zertifizierung nach dieser Norm ist allerdings nicht möglich.[30] In der ISO 31000 sind folgende Prinzipien enthalten:[31] [32]

1. Begriffe und Definitionen
2. RM-Prinzipien und -Grundsätze
3. RM-Organisation und -Struktur
4. RM-Prozess

In der Umsetzung der Norm ist der RM-Prozess elementar. Der Ansatz stammt aus dem Jahr 1995 und beinhaltet eine umfassende Prozessanalyse zur Identifikation von möglichen Risiken. Im nächsten Abschnitt wird daher detailliert auf den RM-Prozess eingegangen. Die ISO 31000 wurde ebenso wie die Risikodefinition der ISO/IEC Guide 73:2009 sehr allgemein gehalten, um eine breite Anwendbarkeit zu gewährleisten.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Risikomanagementsystem nach ISO 3100032 Das gesamte RM-System basiert auf dem Prinzip des PDCA-Zyklus33 (siehe Abb. 3) Der PDCA- Zyklus ist ein iterativer Managementprozess, welcher zum Ziel hat, eine kontinuierliche.

[...]


[1] KÖNIGS (2017), S. 3.

[2] Vgl. KUNTSCHE/ BÖRCHERS (2017), S. 172.

[3] Etymologie ist die Lehre von Ursprung und Geschichte der Wörter.

[4] Vgl. WOLKE (2007), S. 1.; SCHMITZ/ WERHEIM (2006), S. 15.

[5] Vgl. KLUGE/ SEEBOLD (2002), S. 1360.

[6] Vgl. WÄLDER/WÄLDER (2017), S. 1.

[7] HOFSTADLER/ KUMMER (2017), S. 22.

[8] BRAUWEILER (2015), S. 1.

[9] Eigene Darstellung in Anlehnung an KNIGHT (1921).

[10] Vgl. GIGERENZER (2013), S. 38.

[11] Vgl. GIGERENZER (2013), S. 38f.

[12] Vgl. HOFSTADLER/ KUMMER (2017), S. 23.

[13] GÖPPL/ SCHLAG (2006), S. 5020f.

[14] Vgl. NEUBÜRGER (1980), S. 38.

[15] Vgl. MIKUS (2001), S. 7.

[16] Eigene Darstellung in Anlehnung an GÖPPL/ SCHLAG (2006).

[17] Vgl. KÖNIGS (2017), S. 11.

[18] Vgl. MEYER (2008), S. 24f.

[19] BRAUWEILER (2015), S. 1.

[20] Vgl. u.a. COSO (2004), S. 16.; HOYT/ LIEBENBERG (2011), S. 795f.

[21] HUNZIKER/ MEISSNER (2017), S. 1.

[22] HUNZIKER/ MEISSNER (2017), S. 2.

[23] HUNZIKER/ MEISSNER (2017), S. 3.

[24] Vgl. ROMEIKE (2003), S. 150.; GLEIßNER (2004), S. 350 f.

[25] Vgl. HOITSCH/ WINTER (2004), S. 237.; STROHMEIER (2006), S. 45.

[26] Vgl. BRAUN (1984), S. 45.; COSO (2004), S. 6.; DIEDERICHS (2012), S. 12f.

[27] Vgl. HUNZIKER/ ARNAUTOVIC (2011), S. 30.

[28] WÄLDER/WÄLDER (2017), S. 131.

[29] KUNTSCHE/ BÖRCHERS (2017), S. 172.

[30] Vgl. WÄLDER/ WÄLDER (2017), S. 131.

[31] Vgl. ISO 31000 (2009).

[32] Eigene Darstellung in Anlehnung an ISO 31000 (2009), S. 8f.

Ende der Leseprobe aus 18 Seiten

Details

Titel
Risikomanagementprozess nach ISO 31000:2009
Hochschule
AKAD University, ehem. AKAD Fachhochschule Stuttgart
Veranstaltung
Requirements Engineering und Risikomanagement
Note
1,7
Autor
Jahr
2017
Seiten
18
Katalognummer
V372136
ISBN (eBook)
9783668486959
ISBN (Buch)
9783668486966
Dateigröße
631 KB
Sprache
Deutsch
Schlagworte
Risiko, Risikomanagement, Risikomanagementprozess, ISO 31000, ISO 31000:2009, Anwendungsbeispiel
Arbeit zitieren
Emanuel Ibing (Autor), 2017, Risikomanagementprozess nach ISO 31000:2009, München, GRIN Verlag, https://www.grin.com/document/372136

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Risikomanagementprozess nach ISO 31000:2009



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden