CSR und Risikomanagement - Institute for Sustainability
CSR und Risikomanagement - Institute for Sustainability
CSR und Risikomanagement - Institute for Sustainability
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Loew, Clausen, Rohde (2011)<br />
<strong>CSR</strong> <strong>und</strong> <strong>Risikomanagement</strong><br />
dort anwendbaren Methoden (Risc assessment techniques) in der ergänzenden ISO 31010 zusammengestellt.<br />
Risikoidentifizierung: In diesem Schritt sollen alle möglichen Ereignisse oder Entwicklungen<br />
identifiziert werden, die sich negativ oder auch positiv auf das erreichen von Zielen des Unternehmens<br />
auswirken können. „The aim of this step is to generate a comprehensive list of risks<br />
based on those events that might create, enhance, prevent, degrade, accelerate or delay the<br />
achievement of objectives.“ In der Norm wird darauf hingewiesen, dass eine vollständige Identifikation<br />
aller Risiken wichtig ist, da hier nicht aufgenommene Risiken natürlich auch in den Folgeschritten<br />
nicht mehr berücksichtigt werden. „Comprehensive identification is critical, because<br />
a risk that is not identified at this stage will not be included in further analysis.”<br />
Risikoanalyse: Jedes identifizierte Risiko muss gut verstanden werden. Was sind die Quellen<br />
<strong>und</strong> Ursachen des Risikos? Welche Konsequenzen können sich für das Unternehmen insbesondere<br />
seine Ziele ergeben? Wie wahrscheinlich ist es, dass diese Konsequenzen eintreten?<br />
Die Analyse kann je nach Zweck <strong>und</strong> je nach Risiko unterschiedlich detailliert ausfallen.<br />
Risikobewertung: Die Bewertung der Risiken soll Entscheidungen unterstützen. Auf Basis der<br />
vorgenommenen Analyse soll die Relevanz des jeweiligen Risikos eingeschätzt werden. Es ist<br />
zu prüfen, ob die Risiken behandelt also ob Maßnahmen ergriffen werden müssen.<br />
Risikobehandlung: Die Risikobehandlung dient dazu Gefahren zu reduzieren. Die Maßnahmen<br />
können vereinfachend gesagt an den Ursachen für Ereignisse (z.B. durch Senkung des Energieverbrauchs<br />
<strong>und</strong> damit Reduzierung des Energiepreisrisikos) oder an den potentiellen Auswirkungen<br />
(z.B. Reduzierung des Energiepreisrisikos durch Hedging) ansetzen.<br />
Monitoring <strong>und</strong> Review: Schließlich soll der <strong>Risikomanagement</strong>prozess regelmäßig intern<br />
überprüft werden um sicher zu stellen, dass die Abläufe eingehalten wurden, Lernprozesse aus<br />
Risikoereignissen sicherzustellen <strong>und</strong> neue Erkenntnisse z.B. zu neu aufkommenden Risiken<br />
frühzeitig zu erkennen. Dieses Monitoring soll schriftlich dokumentiert <strong>und</strong> sofern angemessen<br />
intern wie extern kommuniziert werden.<br />
3.3 <strong>Risikomanagement</strong> nach ISO 31000<br />
Die ISO 31000 sieht im Kern ein Managementsystem mit klaren Zuständigkeiten (Aufbauorganisation)<br />
<strong>und</strong> Abläufen wie Methoden (Ablau<strong>for</strong>ganisation) vor. Dass mit dem „Framework <strong>for</strong> managing<br />
Risk“ die Aufbauorganisation gemeint ist, lässt sich nicht auf den ersten Blick erkennen,<br />
denn die Norm beschreibt unter „Framework <strong>for</strong> managing Risk“ den Prozess zur Implementation<br />
einer Aufbauorganisation <strong>und</strong> deren kontinuierliche Verbesserung. Nur in dem Abschnitt<br />
„Accountabiliy“ wird die Norm dann deutlich <strong>und</strong> <strong>for</strong>dert, dass Zuständigkeiten <strong>und</strong> Verantwortlichkeiten<br />
für das <strong>Risikomanagement</strong> klar geregelt sind. Diese etwas versteckte Beschreibung<br />
des Managementsystems korrespondiert damit, dass die Norm nicht für Zertifizierungen vorgesehen<br />
ist.<br />
Ein wesentlicher Schwerpunkt der Norm sind der Ablauf <strong>und</strong> die angewandten Methoden/Techniken<br />
(Ablau<strong>for</strong>ganisation). Dies wird in der Norm mit „<strong>Risikomanagement</strong> Prozess“<br />
bezeichnet. Dieser wird in der ISO 31000 skizziert. Die dazu verfügbaren Techniken werden in<br />
ISO 31010 (Risc assessment techniques) vorgestellt.<br />
35