CONTROLLER Magazin 2/2020

74 den Konnex zum COSO-ERM-Framework her, welches die diesbezüglichen Spezifikationen enthält. Die sich auf das Risikomanagementsystem be- ziehende Dimension B) bietet eine gute Mög- lichkeit für den gedanklichen Einstieg in das in Abbildung 2 dargestellte Schema zur Klassi- fizierung der ERM-Systemausgestaltungen. Als Ausgangspunkt wird exemplarisch der Risiko- management-Prozess gewählt. Im einfachsten Fall (Reifegrad 1, kurz: RG 1) werden in einem solchen Prozess Risiken identifiziert (1. Indika- tor), gemessen (2. Indikator) und in isolierten Systemen gesteuert (3. Indikator). Die in Klam- mern gesetzten Hinweise zeigen an, dass mit der Beschreibung des Dimension-/Reifegrad- Konstrukts explizit benannte Indikatoren ein- hergehen, mit welchen die Konstrukte gemes- sen werden. Zur Erfüllung des zweiten Reife- grads (RG 2) wird zusätzlich gefordert, dass der Risikomanagement-Prozess selbst auch gema- nagt wird, indem er einer Überwachung/Moni- toring inkl. Anpassung (4. Indikator) und einer Überprüfung/Review (5. Indikator) unterzogen wird. Die fünf, in den ersten beiden Reifegraden verwendeten Indikatoren decken sich weit- gehend mit dem ISO-Standard zugrundeliegen- den Verständnis von einem gemanagten Risiko- management-Prozess. als konzeptioneller Ausgangspunkt. Stattdes- sen wird die 3-dimensionale Grundstruktur, welche sich aus dem Risikomanagement- standard ISO 31000 (2011) und dem COSO- ERM-Framework (2017) ergibt, als Aus- gangspunkt für die Messung der Reifegrade hinsichtlich der Ausgestaltungen von ERM- Systemen verwendet. Die 3-dimensionale Grundstruktur, welche als „ISO/COSO-ERM-Systemmodell“ bezeichnet wird, ist in Abbildung 1 zu sehen. Dabei zeigt sich der Konnex zum Risikomanagementstan- dard ISO 31000 insofern, als dass sich das Ri- siko-Managementsystem (linke Säule in Abbil- dung 1) weitestgehend mit dem ISO-Verständ- nis vom Risikomanagement-Prozess deckt. Folglich bezieht es neben der Generierung von Risikoinformationen auch die isolierte Steue- rung einzelner Risiken seitens operativ tätiger Risikoeigner ein. Die rechte Säule des ERM- Systems steht für die risikobasierte Unterneh- menssteuerung, d. h. Planung und Steuerungs- systeme, wobei die Risikosteuerung durch be- reichsverantwortliche Manager als Risikoeigner erfolgt, indem die im Risikomanagement-Pro- zess generierten Risikoinformationen in die von ihnen zu verantworten den Managementsys- teme integriert werden. Diese Säule sowie das auf die beiden Säulen gesetzte „Dach“ in Form der ERM-Governance („Master Mind“) stellt betrachtet, speziell im Hinblick auf (1) Erfül- lung gesetzlicher Anforderungen und (2) erreichter ökonomischer Nutzen (2016, S. 31). Dieses Reifegradmodell ist für Selbsttests konzipiert, und es ordnet die Reifegrade nach 1) kein Risikomanagement, 2) Schadensmanagement, 3) regulatori- sches Risikomanagement, 4) ökonomisches Risikomanagement (entscheidungsunter- stützend), 5) integriertes wertorientiertes Risikomanagement und 6) embedded Risi- komanagement (holistisch). Für die Durch- führung des Selbsttests sind Fragen zur Messung der Reifegrade formuliert. Wie im RiskMIMM-Modell werden aber die hinter den Fragen stehenden Indikatoren nicht ex- plizit spezifiziert. ERMMA-Messmodell: Klassifikationsschema und Online-Fragebogen Im von der Funk-Stiftung geförderten „ERMMA- Projekt“ wird ebenfalls auf dem CMMI- und dem Hillson-Modell aufbauend ein Reifegrad- modell entwickelt. Im Unterschied zum RiskMIMM geht es dabei aber nicht um die In- tegration von Controlling und Risikomanage- ment. Wie beim 6-stufigen Reifegradmodell wird die Reifegradmessung hinsichtlich der „Risikomanagementfähigkeit“ bis zur risiko- orientierten (Gleißner 2015) bzw. zur finanz- wirtschaftlich basierten Unternehmenssteue- rung (Schwaiger 2001) ausgelegt. Dabei wer- den Risikoinformationen nicht nur generiert, sondern auch in die jeweiligen Management- systeme einbezogen. Im Unterschied zum 6-stufigen Modell dienen aber nicht prototypi- sche Ausprägungen des Risikomanagements Abb. 1: ISO/COSO-ERM-Systemmodell – 3-dimensionale Grundstruktur Abb. 2: ERMMA-Klassifikationsschema – Beschreibung der Reifegrad-Konstrukte ERM-Systeme