Enterprise Risk Management

Enterprise Risk Management, abgekürzt ERM, ist ein Schlagwort, mit dem ein ganzheitliches und unternehmensweites Risikomanagement als verbesserter Ansatz gegenüber einem als primitiver angesehenen fiktiven „klassischen“ Risikomanagement propagiert wird.

Indem dem „klassischen“ Risikomanagement unterstellt wird, dass es nur in einzelnen Unternehmenseinheiten und Risikokategorien unabhängig voneinander verfolgt werde, dass es nur Risiken und nicht auch Chancen im Blick habe, und dass die Funktion des Risikomanagements nicht ordentlich in die Geschäftsorganisation integriert sei, werden diese Eigenschaften dem ERM zugeschrieben.^[1][2]

Beispielsweise wird die ISO 31000 als ein richtungsweisender Standard für das ERM angesehen.^[3] Allerdings handelt die ganze ISO 31000 vom Risikomanagement allgemein; der Begriff „enterprise risk management“ kommt im Normungsdokument überhaupt nicht vor.^[4]

Der Begriff „Enterprise Risk Management“ wurde 2004 von der privatwirtschaftlichen amerikanischen Organisation Committee of Sponsoring Organizations of the Treadway Commission verwendet. Diese hatte ihr ursprüngliches COSO-Modell von 1992, das hauptsächlich Belange des Internen Kontrollsystems zur Beförderung einer verlässlichen Finanzberichtserstattung beschrieb, 2004 zu einem „COSO ERM – Enterprise Risk Management Framework“, auch kurz COSO II genannt, erweitert. Die Ratingagentur Standard & Poor’s hat 2005 das ERM als eigenständige Kategorie des Finanzstärke-Ratings eingeführt.

1. ↑ Enterprise Risk Management (ERM). A driving force for the insurance industry. SCOR, Oktober 2009, archiviert vom Original (nicht mehr online verfügbar) am 4. November 2015; abgerufen am 25. Dezember 2016 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.scor.com 
2. ↑ Michel Dacorogna: A Change of Paradigm for the Insurance Industry. November 2015, archiviert vom Original (nicht mehr online verfügbar) am 4. November 2015; abgerufen am 25. Dezember 2016 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.scor.com 
3. ↑ Tony Bediako: Enterprise Risk Management – Integrated Framework. In: ISACA’S IT Audit, Information Security & Risk Insights Africa 2014. 2014, abgerufen am 26. Dezember 2016 (englisch). 
4. ↑ ISO 31000:2009(en) Risk management – Principles and guidelines. Abgerufen am 25. Dezember 2016 (englisch).