ERM-System Design : konzeptionelle und institutionelle Integration von Risikomanagementmethoden

Abstract

Die Implementierung eines integrierten Enterprise Risk Management Systems (ERM-System) stellt eine große Herausforderung für Organisationen dar. In den meisten Fällen müssen bereits isoliert implementierte Teilbereiche (interne Kontrollsysteme, Controlling, etc.) in der Planung und Umsetzung berücksichtigt werden. Durch die Identifikation von überlappenden Aktivitäten können Synergien genützt und somit, innerhalb der Gesamtorganisation, Ressourcen optimal eingesetzt werden. Es müssen demnach sowohl Lösungen für die konzeptionelle Integration der identifizierten, zu integrierenden Teilbereiche in ein Risikomanagementsystem, als auch für die institutionelle Integration in die Abläufe der Organisation gefunden werden. Die vorliegende Arbeit gibt dem für das Design und die Implementierung des ERM-Systems Verantwortlichen (ERM-System Designer) eine Übersicht über die zur erfolgreichen Implementierung erforderlichen Kenntnisse und stellt im Speziellen Methoden zur Risikoidentifikation, Risikoanalyse, Risikobewertung, Risikobewältigung, Risikokontrolle und Überwachung für die konzeptionelle Integration vor. Ferner wird dargelegt, wie die vorgestellten Werkzeuge, unter Verwendung der DIN ISO 31000 als Überbau, zu einem Risikomanagementprozess (Risikomanagementsystem) verknüpft werden können. Hierbei wird besonders auf die Notwendigkeit einer strukturierten Erhebung in den jeweiligen Methoden hingewiesen, wodurch es den unterschiedlichen ERM-Stakeholdern (IKS, Compliance, BCM, etc.) ermöglicht wird, auf einer gemeinsamen Datenbasis aufbauend, Entscheidungen zu treffen. Dies hilft darüber hinaus ein gegliedertes, von Dateninkonsistenzen freies Meldewesen zu etablieren. Zur institutionellen Integration des Risikomanagementrahmens in der Organisation wird im Rahmen dieser Diplomarbeit die Implementierung analog zur Durchführung eines innovativen Projekts erläutert. Dieser Ansatz fördert den Informationsaustausch zwischen den verschiedenen "Teildisziplinen" in der Designphase. Abschließend wird die Verankerung des Risikomanagementrahmens in der Aufbau- und Ablauforganisation (Berichtslinien) dargelegt.

Implementing an integrated Enterprise Risk Management System (ERM-System) presents a great challenge to organisations. In most cases, isolated sections that have already been implemented have to be considered in the process of planning and realisation. By identifying overlapping activities, synergies can be used and resources can be deployed optimally within the overall organisation. Thus, solutions have to be found to both the conceptional integration of the identified sections into a risk management system and the institutional integration into the organisation's procedures. The objective of this thesis is to give the ERM-System-Designer (responsible for design and implementation of the ERM system) an overview on the skills necessary for a successful implementation and, more particularly, to suggest methods for the conceptual integration, risk identification, risk analysis, risk evaluation, risk treatment, control and monitoring. Furthermore, I will elaborate on how the implements introduced can be combined into one risk management process (risk management system), using DIN ISO 31000 as superstructure. In doing so, I will emphasise the need to conduct structured ascertainment's within each method, which should enable the various ERM stakeholders (IKS, compliance, BCM, etc.) to make decisions based on a shared database. Moreover, this procedure will help establish a structured notification system free of data inconsistencies. As to the institutional integration of the risk management framework in an organization, I will exemplify it analogous to the implementation of an innovative project within the scope of this thesis. This approach promotes an exchange of information among the various "sub disciplines" in the design phase. In conclusion, I will demonstrate the embedding of the risk management framework into the operational and organizational structure (reporting lines).