Risikomanagement

Risikomanagement

ISO/IEC 27019 und der IT-Sicherheitskatalog der Bundesnetzagentur - ein Weg zur Zertifizierung

Ein wesentlicher Erfolgsfaktor für die Funktionsfähigkeit unserer modernen Gesellschaft ist die Energieversorgung. Diese umfasst die Versorgung der Gesellschaft mit Strom, Gas, Wasser und Heizverfahren aus unterschiedlichsten Quellen.  Als Quellen können Windkraftanlagen, Kohlekraftwerke, Kernkraftwerke, Wasserkraftwerke, Wärmekopplungsanlagen, Gezeitenanlagen, Biogasanlagen, Solaranlagen, Gaskraftwerke und weitere Anlagen der Energiegewinnung genannt werden.

Risikomanagementsystem – Tool, Dokumentationen, Berichtsvorlagen im Office-Gesamtpaket für kleine und mittelständische Unternehmen

Mit der Frage der Implementierung eines Risikomanagementsystems (RMS) beschäftigen sich derzeit viele Unternehmen. Zunehmende Anforderungen an Compliance und Governance-Systeme stellen Unternehmen vor die Pflicht eine Methodik zu implementieren, um u. a. ihre Risiken angemessen zu identifizieren und zu steuern.

Während große Unternehmen auf ressourcenbindende Lösungen zurückgreifen, haben kleine und mittelständische Unternehmen nicht die Möglichkeiten in eine komplexe und kostenintensive Lösung zu investieren.

Für diese Unternehmen, die eine sehr kostengünstige und ressourcenschonende Lösung suchen, wurde das compliance-net Risk Management Starter Pack entwickelt. Das Paket basiert auf gängigen Office-Produkten und beinhaltet folgende Komponenten, die für ein effektives RMS empfohlen werden können:

Dokumentation der Geschäftsprozesse - Richtlinienmanagement, Policies & Procedures

Dokumentation der Geschäftsprozesse: Mehrwertverbundene Tätigkeit oder lästige Pflichtaufgabe, um interne, aufsichtsrechtliche bzw. gesetzliche Vorgaben zu erfüllen?

Die Meinungen gehen oft auseinander und die Frage ist in Einzelfällen nicht einfach zu beantworten. Die Dokumentation der Aufbau- und Ablauforganisation ist grundsätzlich mit einem Mehrwert verbunden und sollte immer aktuell vorhanden sein. Sie kann jedoch das Ziel verfehlen, wenn in einem Unternehmen ein „Dokumentationswahn“ ohne strukturiertes Vorgehen herrscht und der Durchblick verloren geht bzw. die notwendigen Kapazitäten nicht vorhanden sind um die Anforderungen umzusetzen. Die Begleiterscheinungen sind dann oft die folgenden:

  • Fehlende Aktualisierung in einem sich schnell wandelnden Umfeld:
  • Organisationen erstellen ohne klare Vorgaben Dokumentationen mit unterschiedlicher Struktur und Umfang
  • Fehlende Ordnung und Transparenz, da in den Dokumenten nicht auf Schnittstellenpapiere verwiesen wird
  • Zentrale, wesentliche Punkte verlieren sich in langen und umfangreichen Ausführungen
  • Mitarbeiter werden von der Vielzahl an Dokumenten „erschlagen“, da eine zielgruppengerechte Verteilung nicht stattfindet
  • Fehlende Abgrenzungen zwischen Papieren führen dazu, dass Themen doppelt aufgegriffen werden und mit unterschiedlichen Ständen oder widersprüchlich vorliegen
  • Dokumente können nicht aufgefunden werden bzw. die aktuelle Version ist nicht eindeutig erkennbar

Die Grundlage für die Vermeidung der eben aufgeführten Punkte bildet ein effektives Rahmenwerk für Dokumentenerstellung und –verwaltung (Richtlinienmanagement), welches in einfacher Ausprägung Nachfolgendes berücksichtigt:

Einsatz von IT-Lösungen in Risikomanagement-Systemen

Aufgrund neuer aufsichtsrechtlicher Anforderungen und damit einhergehend einer steigenden Komplexität ist eine ordnungsgemäße und effektive Durchführung von Prozessen in einem Risikomanagement‑System ohne technische Unterstützung schwer umsetzbar. Während kleinere Unternehmen mit Hilfe von Microsoft Excel ihre Risiken noch erfassen können, gelangen große Unternehmen und vor allem Konzerne ohne professionelle IT-Lösungen schnell an die Grenzen des Möglichen. Die größte Gefahr besteht darin, dass durch Standardlösungen (wie MS Excel) und hohem manuellem Aufwand Risiken zwar in irgendeiner Weise dokumentiert werden, aber durch die geringen Auswertungs- und Kontrollmöglichkeiten wichtige Schritte in einem Risikomanagement‑System nur begrenzt durchgeführt werden können und die anvisierte Transparenz nicht in erforderlichem Maße vorliegt. In solchen Fällen ist es nicht unüblich, dass unzählige Dokumentationen angefertigt werden, das Risikomanagement aber als solches nur bedingt gelebt wird.

IT–Grundschutzkatalog des BSI: Eine Basis für das Risikomanagement zur Erhebung von IT–Risiken in der IT und in den Fachbereichen

 

Im Rahmen der Risikoidentifizierung ist das Thema IT ein wesentlicher Bestandteil. Dabei werden IT–Risiken nicht immer nur mit der IT–Abteilung besprochen. Auch Fachbereiche, deren Prozesse elektronisch unterstützt werden, sind von dieser Art von Risiken betroffen und sollten daher eine individuelle Beurteilung vornehmen.

Eine solide Basis und gute Hilfestellung für das Risikomanagement zur Vorbereitung auf die Risikoanalysegespräche mit den Fachbereichen und der IT–Abteilung bietet der IT–Grundschutzkatalog des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Der IT–Grundschutzkatalog enthält für verschiedene Themengebiete mögliche Gefährdungen und Beispiele von Maßnahmen aus denen typische IT–Risiken abgeleitet werden können.

Outsourcing: Berücksichtigung der Risiken und Kontrollen ausgelagerter Funktionen und Dienstleistungen im eigenen Governance – System

Governance – System in Versicherungsunternehmen gemäß Solvency II

Outsourcing: Berücksichtigung der Risiken und Kontrollen ausgelagerter Funktionen und Dienstleistungen im eigenen Governance – System

 

Ausgelagerte Funktionen und Dienstleistungen sind gängige Praxis und umfassen beispielsweise Archivierungsprozesse, Inkasso oder die IT. Dabei verlässt sich das auslagernde Unternehmen in der Regel darauf, dass die Prozesse ordnungsgemäß durchgeführt werden. In der Regel werden das Endergebnis bzw. die vereinbarten Service Level Agreements geprüft und auf Basis dessen der Dienstleister beurteilt. Aber die Sicherheit, dass hinter den verschlossenen Türen des Dienstleisters eine ordnungsmäßige Verarbeitung stattfindet, kann ohne weiteren Aufwand nicht erlangt werden.

Einbindung der Compliance-Funktion in das Interne Kontrollsystem gemäß Solvency II

Governance – System in Versicherungsunternehmen

Einbindung der Compliance–Funktion in das Interne Kontrollsystem gemäß Solvency II

Die Compliance–Funktion als Bestandteil des Internen Kontrollsystems hat gemäß Artikel 46 der Solvency-II–Richtlinie (2009/38/EG) die Aufgaben:

  • den Vorstand in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die mit dem Betrieb des Versicherungsgeschäfts in Zusammenhang stehen, zu beraten und
  • Änderungen im Rechtsumfeld und die daraus resultierenden Konsequenzen für das Unternehmen zu beurteilen und
  • das Compliance-Risiko zu identifizieren und zu beurteilen, welches mit der Verletzung rechtlicher Aspekte in Zusammenhang steht.

Governance-System der Versicherungsunternehmen gemäß Solvency II

Elemente eines Governance-Systems

Die Anforderungen an ein Governance-System in Versicherungsunternehmen sind ein wesentlicher Bestandteil von Solvency II. Konkretisiert werden diese Anforderungen in den Artikeln 41 bis 50 der EU-Richtlinie 2009/138/EG vom 25.11.2009, welche auch in die nationale Gesetzgebung einfließen werden. Angelehnt an die Richtlinie sollte ein wirksames Governance-System folgende Elemente umfassen:

Risikomanagement "leicht gemacht"? (Teil 2/2)

Inhalte:

  • Linienfunktion schaffen
  • Rechtliche Aspekte
  • Zusammenfassung
  • Quickcheck - Liste
  • Literaturhinweise

Risikomanagement "leicht gemacht"? (Teil 1/2) finden Sie hier.

 

Linienfunktion schaffen 

Um eine Aufgabe einer Linienfunktion zuordnen zu können, ist es Sinnvoll einen entsprechenden Prozess zu gestalten. In der Literatur wird dieser hinreichend als Risikomanagementprozess bezeichnet.

Seiten