Definition, Inhalt, Herkunft
Definition: ERM ist der Prozess der Planung, Organisation, Führung und Kontrolle der Aktivitäten einer Organisation, um Risiken zu minimieren, die den Erfolg und die Ziele der Organisation beeinträchtigen könnten. Es umfasst alle Arten von Risiken (finanziell, strategisch, operativ, rechtlich, etc.), die die Organisation beeinflussen könnten.
Inhalt: ERM umfasst typischerweise Risikoidentifikation, Risikoanalyse und -bewertung, Risikosteuerung, Risikoüberwachung und -berichterstattung sowie die Integration des Risikomanagements in Entscheidungsprozesse.
Herkunft: ERM hat sich aus dem traditionellen Risikomanagement entwickelt, das sich meist auf Versicherungen und finanzielle Risiken konzentrierte. Die Notwendigkeit für ein umfassenderes Risikomanagementmodell wurde in den späten 1990er Jahren deutlich, insbesondere nach einigen hochkarätigen Unternehmensskandalen und -krisen. Das COSO "Enterprise Risk Management – Integrated Framework" von 2004 ist eine der wesentlichen Grundlagen für ERM.
Ziele und Nutzen
Ziele:
-
Sicherstellung, dass die Unternehmensrisiken effektiv verwaltet werden.
-
Förderung einer risikobewussten Kultur innerhalb der Organisation.
-
Unterstützung strategischer Entscheidungsprozesse durch bessere Risikoinformationen.
Nutzen:
-
Verbesserte Fähigkeit, auf Veränderungen und potenzielle Krisen zu reagieren.
-
Reduzierung von Verlusten und unerwarteten Überraschungen.
-
Verbesserung der Ressourcenzuweisung und Steigerung der Effizienz.
-
Stärkung der Stakeholder-Beziehungen durch transparente Risikokommunikation.
Anwendung und Vorgehen
ERM wird in folgenden Schritten umgesetzt:
-
Risikoidentifikation: Erfassung und Dokumentation aller potenziellen Risiken, die die Ziele der Organisation beeinträchtigen könnten.
-
Risikobewertung: Bewertung der Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen.
-
Risikosteuerung: Entwicklung und Implementierung von Strategien zur Steuerung oder Minderung der identifizierten Risiken.
-
Risikoüberwachung: Kontinuierliche Überwachung und Überprüfung der Risiken und der Wirksamkeit der Steuerungsmaßnahmen.
-
Kommunikation und Berichterstattung: Regelmäßige Berichterstattung über den Risikostatus und die Managementaktivitäten an die Stakeholder.
Anwendungsbeispiel
Ausgangslage
Das E-Commerce-Unternehmen erlebt ein rasantes Wachstum auf globalen Märkten. Mit diesem Wachstum sind jedoch neue Risiken verbunden, darunter Wechselkursschwankungen, Compliance mit unterschiedlichen Datenschutzgesetzen und die Sicherheit der IT-Infrastruktur. Die Unternehmensleitung erkennt, dass das bestehende Risikomanagementsystem nicht ausreicht, um diese komplexen, interdependenten Risiken effektiv zu managen.
Vorgehen
Das Unternehmen entscheidet sich für die Implementierung eines ERM-Systems, um einen ganzheitlichen Überblick und eine effektive Steuerung der Risiken zu gewährleisten. Das Vorgehen umfasst mehrere Schlüsselschritte:
-
Risikoidentifikation: Workshops und Brainstorming-Sitzungen werden abgehalten, um Risiken in allen Geschäftsbereichen zu identifizieren, darunter IT, Finanzen, Operations und Recht.
-
Risikobewertung: Die identifizierten Risiken werden hinsichtlich ihrer Wahrscheinlichkeit und potenziellen Auswirkungen bewertet. Besonderes Augenmerk liegt auf Risiken, die das Potenzial haben, kritische Geschäftsziele zu beeinträchtigen.
-
Risikosteuerung: Für jedes Schlüsselrisiko werden Steuerungsmaßnahmen entwickelt. Dazu gehören unter anderem der Aufbau redundanter IT-Systeme, der Abschluss von Währungssicherungsgeschäften und die Implementierung von Datenschutzmaßnahmen in Übereinstimmung mit globalen Standards.
-
Risikoüberwachung: Ein Dashboard wird eingerichtet, um die Risikolage in Echtzeit zu überwachen und schnell auf Veränderungen reagieren zu können. Regelmäßige Risikoberichte werden an das Management und den Vorstand geliefert.
-
Kommunikation: Eine unternehmensweite Kommunikationsstrategie wird umgesetzt, um das Bewusstsein für Risikomanagement zu fördern und eine Kultur der Risikobewältigung zu schaffen.
Resultat
Durch die Implementierung des ERM-Systems konnte das Unternehmen seine Risikoexposition signifikant reduzieren und die Resilienz gegenüber externen Schocks verbessern. Insbesondere wurden folgende Ergebnisse erzielt:
-
Wechselkursrisiken: Durch Währungssicherungsgeschäfte wurden die Auswirkungen von Wechselkursschwankungen minimiert, wodurch die finanzielle Stabilität gestärkt wurde.
-
Datenschutz und Compliance: Ein umfassendes Datenschutzprogramm reduzierte das Risiko von Datenschutzverletzungen und gewährleistete die Einhaltung globaler Datenschutzstandards, was das Vertrauen der Kunden stärkte.
-
IT-Sicherheit: Die Einführung redundanter Systeme und regelmäßiger Sicherheitsaudits verbesserte die IT-Sicherheit und minimierte das Risiko von Systemausfällen.
Referenzen
-
COSO; Enterprise Risk Management – Integrated Framework. 2004, COSO.
-
ISO; ISO 31000:2018, Risk Management – Guidelines. 2018, ISO.
-
ChatGPT: Quality Management Excellence
Diese Methode wurde aufbereitet von
Priska Wobmann
Qualitätsmanagerin