WIRTSCHAFTSINFORMATIK

, Volume 50, Issue 5, pp 346–356 | Cite as

Modellierung und Management von Risiken. Ein prozessorientierter Risikomanagement-Ansatz zur Identifikation und Behandlung von Risiken in Geschäftsprozessen

WI – Schwerpunktaufsatz

Zusammenfassung

Die Anzahl der gesetzlichen Vorschriften zum Identifizieren und Protokollieren von Risiken hat sich in den letzten Jahren vergrößert. Zahlreiche Gesetze zwingen die Unternehmen zu einem sorgfältigen Umgang mit Prozessrisiken. Die Verwendung von Prozessmodellen zur Dokumentation von Risiken sowohl in der Corporate Governance als auch im Speziellen in der IT-Governance ist als Nachweis-, Verifikations- und Prognosemöglichkeit sinnvoll, da Risiken im prozessualen Kontext leicht ersichtlich präsentiert und in das Risikomanagementhandbuch aufgenommen werden können.

Der vorliegende Beitrag setzt sich mit dem State of the Art der prozessorientierten Risikomodellierung auseinander und spezifiziert eine Methode zur Modellierung der Risiken auf Basis der Ereignisgesteuerten Prozesskette (EPK). Ziel der Methode ist eine Visualisierung und somit Dokumentation und Veranschaulichung von Risiken. Da es sich um eine Erweiterung der EPK-Methode handelt, kann der Ansatz mit bestehenden Modellierungswerkzeugen für Auditverfahren und zur Erreichung und Erhaltung der Compliance im Unternehmen eingesetzt werden. Die Konstruktion entsprechender risikobehafteter Geschäftsprozesse unter Verwendung der hierfür entwickelten Modellierungstechnik wird anhand von Beispielen erläutert. Dabei wird die risikoorientierte EPK zusätzlich in das Konzept der adaptiven Informationsmodellierung eingebettet, um basierend auf einem Gesamtprozessmodell Modellvarianten zu generieren, die durch ihre fokussierte Darstellung und geringere Komplexität beispielsweise zur Identifizierung von IT-Einzelrisiken innerhalb des Unternehmens genutzt werden können.

Schlüsselwörter]

Basel II Corporate Governance Corporate Governance Kodex EPK Fachkonzeption IT-Governance KonTraG Metamodellierung Multiperspektivität Risiko Risikomodellierung Sarbanes-Oxley Act Solvency II 

Risk Modelling and Management: A Process-Oriented Approach for Risk Identification and Treatment in Business Processes

Abstract

The number of legal regulations in the field of risk identification and documentation has heavily increased in the last years. This situation forces various companies to take care of risk aspects within their processes. The use of conceptual models for risk documentation in the field of corporate governance as well as IT-governance leads to better risk verification, certification and prediction. Risks will become much more apparent within their process contexts. These conceptual models can even be used for the preparation of risk handbooks.

The article deals with the state of the art of process-oriented risk modelling and proposes a risk modelling approach developed on the basis of the entity driven process chain (EPC). The method aims at improved visualization and documentation mechanisms of process-oriented risks. Due to its EPC-foundation this approach can be integrated in existing modelling tools for auditing purposes to reach and maintain compliance with risk regulations. The construction of risk-inherent process models with the proposed modelling approach will be depicted with some examples. Additionally, this approach is integrated in the concept of adaptive conceptual modelling to generate distinct views on the set of existing models. This leads to a focused presentation and a lower model complexity and enables herewith a more efficient risk identification and treatment.

Keywords]

Basel II corporate governance corporate governance codex EPC conceptual modeling IT-governance KonTraG meta modeling multi-purpose risk risk modeling Sarbanes-Oxley Act Solvency II 

Literatur

  1. Basel Committee on Banking Supervision (BCBS): International Convergence of Capital Measurement and Capital Standards (2004): Bank for International Settlements 2004. http://www.bundesbank.de/download/bankenaufsicht/pdf/eigenkapitalempfehlung.pdf, Abruf am 2007-02-02.Google Scholar
  2. Becker, J.; Delfmann, P.; Knackstedt, R. (2004): Konstruktion von Referenzmodellierungssprachen. Ein Ordnungsrahmen zur Spezifikation von Adaptionsmechanismen für Informationsmodelle. In: WIRTSCHAFTSINFORMATIK 46 (4), S. 251–264.Google Scholar
  3. Becker, J.; Delfmann, P.; Knackstedt, R. (2007a): Adaptive Reference Modeling. In: Becker, J.; Delfmann, P. (Hrsg.): Reference Modeling. Efficient Information Systems Design Through Reuse of Information Models. Physica, Heidelberg, New York.Google Scholar
  4. Becker, J.; Delfmann, P.; Knackstedt, R. (2007b): Konfigurierbare Handelsinformationssysteme – Referenzmodelle als Beitrag zur Sicherung des Softwarestandorts Deutschland? In: WIRTSCHAFTSINFORMATIK 49 (Sonderheft), S. 17–27.Google Scholar
  5. Becker, J.; Rieke, T. (2005): Adaptive Risikoreferenzmodellierung. In: Keuper, F.; Roesing, D.; Schomann, M. (Hrsg.): Integriertes Risiko- und Ertragsmanagement. Gabler, Wiesbaden, S. 267–293.Google Scholar
  6. Becker, J.; Winkelmann, A. (2004): IV-Controlling. In: WIRTSCHAFTSINFORMATIK 46 (3), S. 213–221.Google Scholar
  7. Becker, J.; Winkelmann, A. (2008): Handelscontrolling. Optimale Informationsversorgung mit Kennzahlen. 2. Aufl., Springer, Berlin, Heidelberg.Google Scholar
  8. Brabänder, E.; Ochs, H. (2002): Analyse und Gestaltung prozessorientierter Risikomanagementsysteme mit Ereignisgesteuerten Prozessketten. In: Nüttgens, M.; Rump, F. J. (Hrsg.): Proceedings der EPK 2002. Geschäftsprozessmanagement mit Ereignisgesteuerten Prozessketten. Trier, 21.–22. Nov. 2002. GI-Arbeitskreis Geschäftsprozessmanagement mit Ereignisgesteuerten Prozessketten.Google Scholar
  9. Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2004): Enterprise Risk Management – Integrated Framework 2004. Band 2, Application Techniques, Jersey City, NJ, USA: COSO.Google Scholar
  10. Darke, P.; Shanks, G. (1996): Stakeholder Viewpoints in Requirements Definition. In: Requirements Engineering 1 (1), S. 88–105.Google Scholar
  11. Diederichs, M. (2004): Risikomanagement und Risikocontrolling. Vahlen, München.Google Scholar
  12. Dörner, D. (1998): Ändert das KonTraG die Anforderungen an den Abschlußprüfer? In: Der Betrieb 51 (1/2), S. 1–8.Google Scholar
  13. Frank, U. (1994): Multiperspektivische Unternehmensmodellierung. Theoretischer Hintergrund und Entwurf einer objektorientierten Entwicklungsumgebung. Vahlen, München.Google Scholar
  14. Hengmith, L. (2005): Geschäftsprozessmodellierung und -simulation als Hilfsmittel zum Management operationeller Risiken. In: Banking and Information Technology 6 (2), S. 17–29.Google Scholar
  15. Horváth, P. (2006): Controlling. 10. Aufl., Vahlen, München.Google Scholar
  16. IDW: Hauptfachausschuß des Instituts der Wirtschaftsprüfer (1999): IDW Prüfungsstandards: Die Prüfung der Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340). In: Die Wirtschaftsprüfung 52 (16), S. 658–662.Google Scholar
  17. Imboden, C. (1983): Risikohandhabung. Ein entscheidungsbezogenes Verfahren. Haupt, Bern, Stuttgart.Google Scholar
  18. Kupsch, P. (1973): Das Risiko im Entscheidungsprozeß. Gabler, Wiesbaden.Google Scholar
  19. Langner, P.; Schneider, C.; Wehler, J. (1997): Prozeßmodellierung mit ereignisgesteuerten Prozeßketten und Petri-Netzen. In: WIRTSCHAFTSINFORMATIK 39 (5), S. 479–489.Google Scholar
  20. Levine, R. (2004): RiskManagement Systems: Understanding the Need. In: Information Systems Management 21 (2), S. 31–37.Google Scholar
  21. Lohmann, M.; Hau, M.; Mertens, P. (2002): Anforderungsanalyse auf der Basis von Unternehmensmerkmalen. In: Becker, J.; Knackstedt, R. (Hrsg.): Wissensmanagement mit Referenzmodellen. Physica, Heidelberg, S. 279–289.Google Scholar
  22. March, J. G.; Shapira, Z. (1987): Managerial perspectives on risk and risk taking. In: Management Science 33 (11), S. 1404–1418.Google Scholar
  23. Mertens, P.; Bissantz, N.; Geyer, H.; Hagedorn, J.; Holzner, J.; Ludwig, M. (1996): IV-Anwendungsarchitekturen für Branchen und Betriebstypen – erörtert am Beispiel der Ergebnisrechnung. In: WIRTSCHAFTSINFORMATIK 38 (5), S. 485–495.Google Scholar
  24. Menzies, C. (Hrsg.) (2004): Sarbanes-Oxley Act. Professionelles Management interner Kontrollen. Schäffer-Poeschel, Stuttgart.Google Scholar
  25. Muehlen, M. zur; Rosemann, M. (2005): Integrating Risks in Business Process Models. In: Proceedings of the 2005 Australasian Conference on Information Systems (ACIS 2005). 29. Nov.–2. Dez. 2005. Manly, Sydney, Australia.Google Scholar
  26. Orth, T. M. (1999): Überlegungen zu einem prozeßorientierten Prüfungsansatz. In: Die Wirtschaftsprüfung 52 (15), S. 573–585.Google Scholar
  27. Reichmann, T. (2006): Controlling mit Kennzahlen und Managementberichten, 7. Aufl., Vahlen, München.Google Scholar
  28. Rosemann, M. (1998): Die Grundsätze ordnungsmäßiger Modellierung. Intention, Entwicklung, Architektur und Multiperspektivität. In: Maicher, M.; Scheruhn, H.-J. (Hrsg.): Informationsmodellierung. Referenzmodelle und Werkzeuge. Gabler, Wiesbaden, S. 1–21.Google Scholar
  29. Schulze, D. (2001): Die Berichterstattung über Risiken der künftigen Entwicklung im Lagebericht nach dem KonTraG. Shaker, Aachen.Google Scholar
  30. Wehrmann, A.; Heinrich, B.; Seifert, F. (2006): Quantitatives IT-Portfoliomanagement. Risiken von IT-Investitionen wertorientiert steuern. In: WIRTSCHAFTSINFORMATIK 48 (4), S. 234–245.Google Scholar
  31. Wiedmann, H. (1998): Ansätze zur Fortentwicklung der Abschlussprüfung. In: Die Wirtschaftsprüfung 51 (7), S. 338–350.Google Scholar
  32. Wolf, K. (2003): Risikomanagement im Kontext der wertorientierten Unternehmensführung. Deutscher Universitäts-Verlag, Wiesbaden.Google Scholar
  33. Wolf, K.; Runzheimer, B. (2003): Risikomanagement und KonTraG. 4. Aufl., Gabler, Wiesbaden.Google Scholar
  34. Wollnik, M. (1986): Implementierung computergestützter Informationssysteme. Springer, Berlin, New York.Google Scholar

Copyright information

© Springer-Verlag 2008

Authors and Affiliations

  1. 1.PICTURE GmbHMünsterDeutschland
  2. 2.European Research Center for Information Systems (ERCIS), Institut für WirtschaftsinformatikWestfälische Wilhelms-Universität MünsterMünsterDeutschland

Personalised recommendations