Development of a Maturity Model for the Enterprise Risk Management

Abstract

Abweichender Titel laut Übersetzung der Verfasserin/des VerfassersZsfassung in engl. SpracheDie Standortbestimmung vorhandener RM-Fähigkeiten stellt einen wesentlichen Schritt in der Verbesserung und Anwendung des Risikomanagements in Unternehmen dar. Das erste Reifegradmodell im Risikomanagement war das Risk Maturity Model (RMM) von David Hillson aus dem Jahr 1997. Darin werden 4 Reifegrade wachsender RM-Fähigkeiten beschrieben, namentlich -Naive-, -Novice-, -Normalised- und -Natural-. Das Verständnis eines unternehmensweiten Risikomanagements im Sinne des COSO II-Rahmenwerks ist darin jedoch nicht Gegenstand der Betrachtung. Dabei wäre es für eine wertorientierte Unternehmensführung von großer Bedeutung, Synergiepotenziale jener RM-Funktionen im Unternehmen zu nutzen, welche in der einen oder anderen Weise mit für den Umgang mit Risiken verantwortlich sind. Auf Basis des Capability Maturity Model Integration der Carnegie Mellon University wird ein Reifegradmodell für das unternehmensweite Risikomanagement (ERM) entwickelt, in dem alle wesentlichen RM-Funktionen eines Unternehmen berücksichtigt sind. Die Anwendung dieses ERM-Reifegradmodells ermöglicht Unternehmen somit die Beurteilung einzelner RM-Bereiche, wodurch Fehlerquellen gezielter aufgedeckt und entsprechende Verbesserungspotenziale abgeleitet werden können.An essential step in the improvement and application of risk management in companies is to define, if there are already existing risk management capabilities and how they are worked with. The first known maturity model in the field of risk management, the Risk Maturity Model (RMM), was invented by David Hillson in 1997. In this model Hillson describes four levels of maturity which are named -Naive-, -Novice-, -Normalised- and -Natural-. The enterprise-wide risk management based on the COSO II framework is not part of this model. Although it would be of great importance for profit-oriented management to make use of synergetic potential of those areas in a company, where risk is worked with. Based on the Capability Maturity Model Integration (CMMI), developed by the Carnegie Mellon University, an enterprise-wide risk maturity model (ERM) can be generated, where all different areas which are relevant for risk management are included. The application of this ERM-maturity model enables companies to evaluate individual risk management areas. With this approach it is easier to find sources of error and identify potentials of improvement.7