Die Bedeutung des Risikomanagements ist in den letzten Jahren nicht zuletzt aufgrund globaler Unsicherheiten und Krisen, gestiegener Unternehmensschieflagen aber auch durch unterschiedlichste Sichtweisen der einzelnen internen und externen Anspruchsgruppen stark gestiegen. Damit einhergehend haben sich auch die Anforderungen in Bezug auf ein ganzheitliches Risikomanagement an sich ändernde Rahmenbedingungen erhöht bzw. angepasst.
Im Zuge der vorliegenden Arbeit wurden die an das Risikomanagement gestellten Anforderungen aus unterschiedlichen Blickwinkeln betrachtet (betriebswirtschaftlich, konzeptionelle Sicht sowie Betrachtung ausgewählter gesetzlicher Vorgaben und Regelungen, Risikomanagement-Standards bzw. Prüfungsstandards) und die Stellung der Internen Revision und deren Beitrag zu einem wirksamen Risikomanagement erörtert.
Neben der Literaturarbeit und der kritischen Auseinandersetzung mit ausgewählten gesetzlichen Vorgaben, Rahmenwerken und Normen sowie Prüfungsstandards wurde durch die Betrachtung eines konkreten Beispiels der weitere Bezug zur Praxis hergestellt, ergänzend wurden Erkenntnisse aus empirischen Studien aufgezeigt.
Im Rahmen dieser Arbeit wurden wesentliche Anforderungsaspekte zum Risikomanagement thematisiert und auch Gestaltungsmöglichkeiten aufgezeigt. Aufgrund des weitreichenden Umfangs des Themas und der gegebenen Bandbreite an unterschiedlichsten Erkenntnissen und Autorenmeinungen zum Thema Risikomanagement können die Ausführungen keinen Anspruch auf Vollständigkeit erheben, aus Sicht des Autors wurden in der getroffenen Auswahl jedoch wesentliche Aspekte aufgegriffen. Die Ausführungen beziehen insbesondere Sichtweisen eines börsennotierten Industrieunternehmens ein.
Inhaltsverzeichnis
1 Einleitung
1.1 Ausgangslage und Problemstellung
1.2 Zielsetzung und Motivation
1.3 Aufbau und Methodik
2 Begriffsabgrenzungen
2.1 Risikobegriff
2.2 Risikokategorisierung
2.3 Risikomanagement
2.4 Risikomanagementsystem
2.5 Risikoeigentümer
2.6 Risikomanager
2.7 Allgemeine Begriffe
3 Anforderungen an das Risikomanagement
3.1 Konzeptionelle, betriebswirtschaftliche Anforderungen
3.1.1 Rahmenbedingungen zum Risikomanagement
3.1.1.1 Risikostrategie, Risikokultur und Risikoziele
3.1.1.2 Aufbau- und Ablauforganisation
3.1.2 Risikomanagementprozess
3.1.2.1 Identifikation
3.1.2.2 Analyse und Bewertung
3.1.2.3 Bewältigung und Steuerung
3.1.2.4 Berichterstattung, Kommunikation, Information
3.1.2.5 Überwachung
3.1.2.6 Ausgewählte Methoden im Risikomanagementprozess
3.1.3 Zusammenfassung zu konzeptionellen, betriebswirtschaftlichen Anforderungen
3.2 Nationale, internationale gesetzliche Vorgaben bzw. Regelungen
3.2.1 Regelungen in Österreich, rechtliche Rahmenbedingungen
3.2.1.1 Österreichisches Aktiengesetz und GmbH-Gesetz
3.2.1.2 Unternehmensrechtliche Rahmenbedingungen
3.2.1.3 Österreichischer Corporate Governance Kodex (ÖCGK)
3.2.2 Internationale Regelungen, rechtliche Rahmenbedingungen
3.2.2.1 Gesetz für Kontrolle und Transparenz in Deutschland (KonTraG)
3.2.2.2 Bilanzrechtsmodernisierungsgesetz (BilMog)
3.2.2.3 Deutscher Corporate Governance Kodex (DCGK)
3.2.2.4 Sarbanes-Oxley Act of 2002
3.2.2.5 Basel III
3.2.2.6 Solvency II
3.2.3 Zusammenfassung zu gesetzlichen Vorgaben und Regelungen
3.3 Normen, Rahmenwerke (Standards)
3.3.1 Risikomanagement nach ISO 31000
3.3.2 Risikomanagement nach ONR 49000ff
3.3.3 Unternehmensweites Risikomanagement nach „COSO - ERM“
3.3.4 Zusammenfassung zu ISO 31000, ONR 49000ff und „COSO - ERM“
3.3.5 Allgemeine Anforderungen an Risikomanagement-Standards
3.4 Zusammenfassung und Erkenntnisse
4 Risikomanagement und das „Three Lines of Defense Model“
4.1 Das „Three Lines of Defense Model“
4.1.1 Beschreibung der drei Verteidigungslinien
4.1.1.1 Einordnung, Abgrenzung des Risikomanagements im TLoD-Modell
4.1.1.2 Einordnung, Abgrenzung der Internen Revision im TLoD-Modell
4.1.2 Kritische Würdigung TLoD-Modell
4.2 Risikomanagement und Interne Revision
4.2.1 Schnittstellen zwischen Risikomanagement und Interner Revision
4.2.2 Interne Revision und Aufgaben externer Prüfer
4.2.3 Prüfung des Risikomanagements durch die Interne Revision
4.2.4 Prüfungsgrundlagen und anzuwendende Prüfungsstandards
4.2.4.1 Internationale Standards zur beruflichen Praxis der Internen Revision
4.2.4.2 DIIR Revisionsstandard Nr. 2
4.2.4.3 Beurteilung des Risikomanagements gemäß Regel 83 ÖCGK
4.2.4.4 Prüfungsstandard IDW PS 340
4.2.4.5 Kritische Würdigung der Prüfungsgrundlagen und Prüfungsstandards
5 Praxisbezug, Fallbeispiel
5.1 Erläuterungen zum Risikomanagement des Unternehmens
5.1.1 Risikomanagement-Rahmenbedingungen, -Fundamente
5.1.2 Risikomanagementprozess
5.1.2.1 Risikoidentifikation
5.1.2.2 Risikobewertung
5.1.2.3 Risikobewältigung
5.1.2.4 Dokumentation
5.1.2.5 Überwachung
5.1.2.6 Information und Kommunikation
5.2 Kritische Betrachtung des Risikomanagements des Unternehmens
5.2.1 Kritische Betrachtung des Geschäftsberichts zum Unternehmen
5.2.2 Kritische Betrachtung auf Basis ausgewählter Prüfungsstandards
5.2.2.1 Österreichischer Corporate Governance Kodex
5.2.2.2 Prüfungsstandard IDW PS 340
5.2.3 Kritische Betrachtung auf Basis DIIR Revisionsstandard Nr. 2
5.2.4 Kritische Betrachtung aus Sicht der Internen Revision
5.3 Erfahrungswerte ausgewählter Studien
5.3.1 Risikomanagement Panel 2015 (Österreich)
5.3.2 IIAA Umfrage 2013 (Deutschland, Österreich, Schweiz)
5.3.3 Erkenntnisse weiterer Studien
5.3.4 Studie zur Risikoberichterstattung nach IFRS 7
5.4 Grenzen des Risikomanagements
6 Fazit
6.1 Kritische Würdigung
6.2 Verifizierung/Falsifizierung der Hypothese
6.3 Zusammenfassung
6.4 Ausblick
Zielsetzung & Themen
Das Hauptziel dieser Master Thesis besteht darin, die Anforderungen an ein wirksames, ganzheitliches Risikomanagement aus verschiedenen Perspektiven (betriebswirtschaftliche Konzepte, nationale und internationale rechtliche Vorgaben, Risikomanagement- und Prüfungsstandards) zu analysieren und den Beitrag der Internen Revision zu einem wirksamen Risikomanagement herauszuarbeiten. Die Forschungsfrage untersucht dabei kritisch, inwieweit Prüfungsstandards die unternehmerische Risikosichtweise einschränken oder eine optimale Ergänzung darstellen.
- Analyse konzeptioneller und betriebswirtschaftlicher Anforderungen an Risikomanagementsysteme.
- Untersuchung rechtlicher Rahmenbedingungen und Standards in Österreich und Deutschland (u.a. KonTraG, ÖCGK, ISO 31000, COSO ERM).
- Positionierung des Risikomanagements im Unternehmen mittels des "Three Lines of Defense"-Modells.
- Rolle und Aufgaben der Internen Revision im Kontext der Prüfung von Risikomanagementsystemen.
- Praxisbezogene Anwendung und kritische Reflexion anhand eines börsennotierten österreichischen Industrieunternehmens.
Auszug aus dem Buch
3.1.2.1 Identifikation
Ein effizientes Risikomanagement setzt die Kenntnis möglichst sämtlicher Risiken aus allen Unternehmensbereichen voraus, welche das Erreichen der Unternehmensziele beeinflussen können. Diese bilden die Basis für alle nachfolgenden Prozessschritte, nur identifizierte Risiken können bewertet und gesteuert werden. In diesem Zusammenhang ist eine unterstützende Risikokategorisierung zielführend (siehe dazu Kapitel 2.2). Risiken lassen sich in einem kombinierten top-down- und bottom-up-Ansatz identifizieren. So wird z.B. eine grobe Risikokategorisierung von der Unternehmensleitung vorgegeben, die von den operativen Einheiten verfeinert und um identifizierte Risiken ergänzt wird. Die Risikoidentifikation selbst zählt vorrangig zu den Aufgaben der operativen Bereiche.
In der Literatur wird z.B. zur Risikoidentifikation die unterstützende Betrachtung eines hierarchisch aufgebauten Prozessmodells eines Unternehmens vorgeschlagen, dies soll die Einbindung wesentlicher Bereiche und Prozesse auf allen Hierarchieebenen sicherstellen.
Zur systematischen Identifikation relevanter Risiken stehen vielfältigste Instrumente bzw. Methoden zur Verfügung, diese werden beispielhaft in Kapitel 3.1.2.6 beschrieben. Vollständigkeit, Aktualität im Sinne einer schnellen und frühzeitigen Erkennung, Wirtschaftlichkeit sowie Akzeptanz und Systematik im Vorgehen sind einige in der Literatur genannte Anforderungen, die an die Risikoidentifikation bzw. den Methodeneinsatz gestellt werden.
Ergebnis der Risikoidentifikation ist eine Risikoinventur, diese beinhaltet eine Auflistung aller identifizierten Risiken. Da Risiken nicht konstant bleiben und sich im Zeitverlauf verändern, ist die Risikoidentifikation eine permanente Aufgabe. Um neu auftretende Risiken rechtzeitig zu identifizieren, ist ein Früherkennungssystem in Form von Indikatoren, Kennzahlen oder qualitativen Informationen notwendig (dies kann z.B. Daten zur Konjunktur, Auslastung, Fluktuation, etc. umfassen).
Im Zuge der Risikoidentifikation kann bereits eine grobe Bewertung (Ersteinschätzung) der Risiken erfolgen.
Kapitelzusammenfassungen
1 Einleitung: Dieses Kapitel führt in die Problemstellung und die wachsende Bedeutung des Risikomanagements ein und definiert die Zielsetzung sowie den Aufbau der Arbeit.
2 Begriffsabgrenzungen: Hier werden grundlegende Definitionen wie Risikobegriff, Risikokategorisierung und die Rollen innerhalb eines Risikomanagementsystems erörtert.
3 Anforderungen an das Risikomanagement: Dieser Abschnitt beleuchtet betriebswirtschaftliche Konzepte, rechtliche Rahmenbedingungen und diverse internationale Standards wie ISO 31000 oder COSO-ERM.
4 Risikomanagement und das „Three Lines of Defense Model“: Das Kapitel erläutert das Drei-Verteidigungslinien-Modell und analysiert die spezifische Rolle der Internen Revision sowie deren Schnittstellen zum Risikomanagement.
5 Praxisbezug, Fallbeispiel: Ein börsennotiertes österreichisches Industrieunternehmen dient als Beispiel, um die Theorie in der Praxis anzuwenden und kritisch zu hinterfragen.
6 Fazit: Das Fazit fasst die Ergebnisse der Arbeit zusammen, bietet eine kritische Würdigung und führt die Verifizierung bzw. Falsifizierung der aufgestellten Hypothese durch.
Schlüsselwörter
Risikomanagement, Interne Revision, Drei-Verteidigungslinien-Modell, Risikobewertung, Compliance, Corporate Governance, Risikostrategie, Risikokultur, Risikomanagementprozess, Prüfung, Abschlussprüfer, Früherkennungssystem, ISO 31000, COSO ERM, Risikoinventur
Häufig gestellte Fragen
Worum geht es in dieser Master Thesis grundlegend?
Die Arbeit behandelt die Anforderungen an ein modernes Risikomanagement in Unternehmen. Dabei werden sowohl betriebswirtschaftliche Konzepte als auch rechtliche Vorgaben und internationale Standards betrachtet, um ein ganzheitliches Verständnis für die Risikosteuerung zu schaffen.
Was sind die zentralen Themenfelder der Arbeit?
Zentrale Themen sind die Ausgestaltung von Risikomanagementsystemen, die Rolle der Internen Revision, das "Three Lines of Defense Model" sowie die Anwendung von Prüfungsstandards bei börsennotierten Unternehmen.
Welches primäre Ziel verfolgt der Autor?
Das Ziel ist es, Anforderungen aus verschiedenen Blickwinkeln (Management, Gesetzgeber, Prüfer) zu durchleuchten und zu zeigen, wie Unternehmen ein wertorientiertes Risikomanagement gestalten können, das sowohl gesetzliche als auch betriebswirtschaftliche Anforderungen erfüllt.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert primär auf einer umfassenden Literaturanalyse sowie einer kritischen Auseinandersetzung mit gesetzlichen Normen und Prüfungsstandards, ergänzt durch ein Praxisbeispiel (Fallstudie) und empirische Studien.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die theoretische Fundierung (Begriffe, Anforderungen, Normen), die Positionierung im Drei-Verteidigungslinien-Modell und einen ausführlichen Praxisteil, in dem ein österreichisches Unternehmen auf Basis dieser theoretischen Erkenntnisse analysiert wird.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird maßgeblich durch Begriffe wie Risikomanagementprozess, Corporate Governance, Interne Revision, Compliance, Risikokultur und internationale Standards wie ISO 31000 geprägt.
Wie bewertet der Autor die Rolle der Internen Revision im Risikomanagement?
Die Interne Revision wird als essenzielle, unabhängige Instanz gesehen, die durch Prüfungs- und Beratungsleistungen zur Effektivität des Risikomanagements beiträgt und als "Sicherheitsnetz" für das Management fungiert.
Was sagt die Arbeit über die Schnittstelle zum Abschlussprüfer aus?
Der Autor zeigt auf, dass Abschlussprüfer zwar Anforderungen prüfen, deren Fokus jedoch oft auf einer dokumentbezogenen Prozessprüfung liegt. Die Interne Revision kann hier komplementär tätig sein und tiefergehende Wirksamkeitsprüfungen durchführen.
Wie wird das "Three Lines of Defense"-Modell in der Arbeit eingeordnet?
Es dient als Bezugsrahmen, um die Rollen zwischen operativem Management (1. Linie), Risikomanagement/Compliance (2. Linie) und Interner Revision (3. Linie) zu systematisieren und Silo-Denken zu vermeiden.
- Citar trabajo
- Siegfried Paschinger (Autor), 2017, Anforderungen an das Risikomanagement und ergänzende Sichtweisen interner Prüfer, Múnich, GRIN Verlag, https://www.grin.com/document/377582
