Risiko Management System oder die Frage: Was ist wenn? HMP 2009

Transkript

1 Risiko Management System oder die Frage: Was ist wenn? HMP 2009

2 Thema Wenn wir Margen von 30 bis 40 % hätten (was nicht der Fall ist), wäre das Risiko weniger wichtig; aber bei Margen von 3 bis 4 %... müssen Sie schon sehr genau auf Risiken achten. (Leiter der Internen Revision einer Produktionsgesellschaft) Es ist manchmal wahnwitzig, mit welcher Ausrüstung manche versuchen auf vereiste Berggipfel jenseits der 3000er Höhe zu gehen (Mitglied Alpinschule, Salzburg) Wir haben es hier nie mit Fakten zu tun, sondern immer nur mit Meinungen über Fakten (Peter Drucker; BPR, Six Sigma)

3 Termini Sicherheitsmanagement bezeichnet die Planung, Steuerung und Kontrolle der Sicherheit Es besteht aus zwei Aufgabenblöcken Strategische Aufgaben strategische Analysen (Bedrohung ) Planung von Zielen, Strategien, Maßnahmen Erstellung eines Konzeptes Kontrolle Operative Aufgaben operative Analysen (Risikoanalyse) operative Planung von Maßnahmen zur Umsetzung des Sicherheitskonzepts Kontrolle

4 Termini Risikomanagement Definition RM ist ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation Analyse Bewertung Steuerung Dokumentation und Kommunikation von Risiken Überwachung aller definierten Aktivitäten

5 Ziele Grundsätzlich besteht die Idee des Risikomanagements darin, die verschiedenen Teilrisiken eines Prozesses aufzuspüren und zu quantifizieren, um damit das Gesamtrisiko abschätzen zu können. Risikomanagement ist Aufgabe der Führung (des Unternehmens) und trägt zur Leistungssteigerung und zur Effizienzverbesserung einer Organisation bei. Somit können Sicherheitsanforderungen umgesetzt und die Zielerreichung von Organisationen und Systemen abgesichert werden. Risiko beinhaltet Chance und Schadenpotenzial. Es schätzt das Szenario nach Wahrscheinlichkeit und Auswirkung ein. Das Risiko umfasst nicht nur plötzlich eintretende Schadensereignisse, sondern auch unerwartete, sich schleichend einstellende Fehlentwicklungen.

6 Nutzen Verbessern des unternehmerischen Handlungsspielraums Identifikation und Management von unternehmensübergreifenden Risiken und Chancen Früherkennung (Frühwarnsystem), Minimierung und Bewältigung von Gefahren und Risiken Verhinderung von unternehmerischen Überraschungen und Minimierung von Verlusten Langfristige Zukunftssicherung Risikokontrolle Chancen besser wahrnehmen Die Verbesserung der Kommunikation sowie des Umgangs mit Risiken und Chancen

7 Aufgaben Identifizierung der Risiken Feststellen der Risikoverteilung im Unternehmen und Erarbeiten in welchen Bereichen das Unternehmen den höchsten Risikofaktoren unterliegt Antworten auf Fragen geben: Wo wurden Risiken mit ausreichend Maßnahmen abgedeckt und wo ist diese Balance zwischen Risiken und erforderlichen Investitionen nicht gegeben? In welchen Unternehmensbereichen gibt es noch ein Restrisiko, dem entgegengesteuert werden muss? Wie kann eine laufende Kosten / Nutzen Evaluierung zwischen Risiko und den eingesetzten Ressourcen erfolgen?

8 Risikoarten Geschäftsprozessrisiken Technische (Trends, technologischer Wandel ) Leistungsbezogene (Termine, Qualität ) Finanzielle (Kreditlinien, Ausfälle ) Soziale (Streik, Fluktuation ) Externe Risiken Natürliche (Erdbeben, Sturm ) Technische (Maschinenschaden, Ausfall ) Soziale (Einbruch, Raub ) Persönliche (Krankheit, Unfall ) Politische (Gesetzgebung ) Marktrisiken (Inflation, Konkurrenz )

9 Umfang Finanzielle Unternehmenssteuerung sicherstellen Absicherung der Kompetenzgetriebenen Strategie Sichere Geschäftsprozesse

10 Regeln Sektorspezifische Ausrichtung ISO Normen Finanzwirtschaftspezifische Regelungen Basel I und II Solvency I und II IKT Regelungen ISO 27001, ISO 27005, COBIT Normen für börsennotierte Unternehmen Sarbanes Oxley Kontroll- und Transparenzgesetz (KonTraG) Themenspezifische Ausrichtung z.b. Projektmanagement Risiko Management Regelkreis

11 Vorgehen Kontext Definition Risiko Analyse Risiko Kommunikation Risiko Identifikation Risiko Einschätzung Risiko Bewertung Risiko Bewältigung Risiko Strategie Maßnahmen Definition & Umsetzung Risiko Kontrolle und Reporting Untergeordnete Untergeordnete Risiko Untergeordnete Management Risiko Management Risiko Prozesse Management Prozesse Prozesse Kriterien für Prozess Wiederholung

12 Vorgehen der Analyse RISIKOMATRIX Risikoidentifikation auf Basis von Checklisten (Wissensbasis) oder auch Gefahrenlisten (Ursache, bekannte Fehlfunktionen) Risikoeinschätzung auf Basis eines Worst Case Szenarios zur Erstellung einer Risikolandschaft Wahrscheinlichkeit Auswirkungen Risikobewertung Kontext Definition Risiko Analyse Risiko Kommunikation Risiko Identifikation Risiko Einschätzung Risiko Bewertung Risiko Bewältigung Risiko Strategie Maßnahmen Definition & Umsetzung Risiko Kontrolle und Reporting Kriterien für Prozess Wiederholung

13 Vorgehen der Analyse Risiko Kommunikation FMEA (Failure Mode and Effects Analysis) = Ausgangsbasis sind definierte Systemfunktionen wobei Fehlfunktionen bewertet werden (Produzierende Bereiche, medizinische und andere technische Geräte) Risiko Analyse Risikoidentifikation auf Basis von Systemkomponenten und deren Funktionen (Wissensbasis bzw. Erfahrung nicht vorrangig) Risikobewertung an Hand einer Risikoprioritätszahl mit Toleranzgrenzen Risikoeinschätzung erfolgt nach drei Kriterien: Wahrscheinlichkeit Auswirkungen Entdeckbarkeit Kontext Definition Risiko Identifikation Risiko Einschätzung Risiko Bewertung Risiko Bewältigung Risiko Strategie Maßnahmen Definition & Umsetzung Risiko Kontrolle und Reporting Kriterien für Prozess Wiederholung

14 Vorgehen der Analyse PAAG (Prognose, Auffinden, Abschätzen, Gegenmaßnahmen) oder HAZOP Analyse = Ziel gefährliche Zustände / Vorgänge zu erkennen und Abhilfe schaffen (chemische Industrie für Brand, Explosion, Personenrisiken etc.) Risiko Kommunikation Kontext Definition Risiko Analyse Risiko Identifikation Risiko Einschätzung Risiko Bewertung Risiko Bewältigung Risiko Strategie Maßnahmen Definition & Umsetzung Risiko Kontrolle und Reporting - Risikoidentifikation auf Basis möglicher Fehlfunktionen in Anlagenkomponenten - Risikoeinschätzung erfolgt nach vier Kriterien - Risikobewertung an Hand einer Risikolandschaft Umschlagplatz mit Anlieferbehältern Puffertank ab Einlassventil bis zu Bodenventil Transferleitung ab Bodenventil bis Ventil Kollektor Kollektor Kriterien für Prozess Wiederholung

15 Vorgehen der Analyse Fehlerbaum- und Auswirkungsanalyse (für komplexe, risikoreiche technische Systeme; AKW) w Ursache 1 w Ursache 2 Ursache 1 Ursache 2 Fehlerbaum Ereignisbaum Ja Anfangsereignis I Ja Folgeereignis 1 Folgeereignis 2 w I1 / A 1 w I2 / A 2 w Ursache 3 w Ursache k Ursache Ursache k W I Nein Nein Ja Folgeereignis J w Ik / A J Logische UND Verknüpfung im Fehlerbaum (Eingangswahrscheinlichkeiten werden multipliziert) Kontext Definition Logische ODER Verknüpfung im Fehlerbaum (Eingangswahrscheinlichkeiten werden addiert) Frage bzw. Verzweigung im Ereignisbaum (Summe der Verzweigungswahrscheinlichkeiten Ja/Nein immer gleich 1 Risiko Kommunikation Risiko Analyse Risiko Identifikation Risiko Einschätzung Risiko Bewertung Risiko Bewältigung Risiko Strategie Maßnahmen Definition & Umsetzung Risiko Kontrolle und Reporting w Ik A J Eintrittswahrscheinlichkeit des Folgeereignisses J aufgrund des Ausgangsereignisses I Schadensausmaß des Folgeereignisses J aufgrund des Ausgangsereignisses I Critical Incidents Report = laufende Datensammlungen, die anschließend strukturiert, analysiert und ausgewertet werden und auf Basis dessen Maßnahmen gesetzt werden (Gesundheitsbereich) Kriterien für Prozess Wiederholung

16 Vorgehen der Analyse Value at Risk Methode = Basis hierfür ist eine Wahrscheinlichkeitsverteilung von gleichen Ereignissen über eine Periode VaR Methode stellt die Schadenshöhe dar, die in einem bestimmte Zeitraum (z.b. Bilanzierungsjahr) mit einer bestimmten Wahrscheinlichkeit (so groß wie möglich) nicht überschritten wird Kontext Definition Risiko Analyse Risiko Kommunikation Risiko Identifikation Risiko Einschätzung Risiko Bewertung Risiko Bewältigung Risiko Strategie Maßnahmen Definition & Umsetzung Kriterien für Prozess Wiederholung Risiko Kontrolle und Reporting Darstellung vor/nach Umsetzen von Maßnahmen (Risikoeintritt zu 95% - Grenze 80; danach Risiko nur mehr 40)

17 das System heute Aus der Politik einer Organisation leitet sich die Risikopolitik ab Als Basis dienen u. a. Managementsysteme, welche nach dem ISO 9000er- Modell aufgebaut sind Das Risikomanagement muss möglichst nahtlos und damit kostengünstig in das Managementsystem z.b. ISO Norm eingeordnet werden Chancen & Risiken aus Strategie, operativer Tätigkeit, Finanzen und Management Kundenforderungen Risikoanalyse Ressourcen Management Input Risikoiden tifikation Verantwortung der Führung Gefahrenliste Produkte & Dienstleistungs Erstellung Risikoiden tifikation Risikobewältigung Maßnahmenplan Messung, Analyse, Verbesserung Output Anforderungen von Gesetzen, Normen, Werten, Medien, Eigentümern, Mitarbeitern, Partnern, Interessengruppen Kundenzufriedenheit

18 Einbettung Risikomanagement ist heute hauptsächlich in Managementsysteme eingebettet, die immer folgende Grundsätze beinhalten: Grundsätze und Strategie Führung Aufbau- & Ablauforganisation Führung & Organisation Bewertung & Entwicklung Personal & Ressourcen Prozesse Anforderungen berücksichtigen QM System ISO 9001:2000 Reihe EN Bzw. ISO QS 9000 VDA 6.1 ISO/TS EU Richtlinien HACCP UM System ISO EMAS 1836/93 AM System ILO Guidelines Nationaler Leitfaden AMS LASI Leitfaden LV 21 OHRIS BS 8800 SCC Risikomanagement KonTraG

19 das System Die Systemdefinition dient der Vorbereitung. Klare Unternehmensziele müssen im Rahmen der Organisation vom Management festgelegt werden. Die Risikobeurteilung ist die Grundlage für die Erkennung von potenziellen Risiken und Chancen auf dem Weg zu den Unternehmenszielen. Bei der Risikoidentifikation werden alle möglichen Risiken in Form von Szenarien aufgelistet. Die Risikoanalyse/-beurteilung umfasst die Bewertung der Szenarien nach den Kriterien Eintrittswahrscheinlichkeit und Schadenpotenzial. Bei der Risikobewältigung geht es darum, mit Hilfe der gewonnenen Informationen Maßnahmen einzuleiten, die das Risiko vermeiden oder verringern. Aufgabe der Risikoüberwachung ist es, dafür zu sorgen, dass die Maßnahmen der Risikobewältigung korrekt umgesetzt werden. Die Überwachung kann auf zwei Arten erfolgen: als fortlaufende Tätigkeit oder als periodische Prüfung Risikomanagement Regelkreis

20 Zusammenfassung Bisher stellte das Risikomanagement den (einzelnen) Prozess der Risikobeurteilung usw. in den Vordergrund natürlich unter Einbindung der Führung ISO Struktur: Rahmenbedingungen definieren ABER: Risiko Reporting Risiko Analyse Risiko Identifikation Risiko Einschätzung Risiken priorisieren Risikobewertung zufrieden stellend? ja Risiko Behandlung nein Risiko Überwachung Risiken akzeptabel? ja nein Risiko akzeptieren

21 Entwicklung Künftig wird Risikomanagement als systemischer und operativer Ansatz betrachtet Die Wirksamkeit des Risikomanagement wird durch die Integration aller Unternehmensprozesse wesentlich erhöht Risikomanagement, im heutigen Sinn wie Qualitätsmanagement, ist zu integrieren und zu einer Führungsaufgabe zu machen Die Führung muss die Risikostrategie und politik bestimmen Es liegt in deren Verantwortung, im Rahmen des unternehmerischen Plan Do Check Act Zyklus, Vorgaben für die Durchführung zu machen

22 Entwicklung D.h. das Risikomanagement muss als Führungsprozess in die Prozesslandschaft eines Unternehmens aufgenommen werden Prozess Risikomanagement Kunden &andere interessiert Parteien Führungsprozesse Strategie Entwicklung & Umsetzung Ressourcenprozesse Management Informationssystem Risiko Management Mitarbeitende Infrastruktur Supply Chain Kapital Produkt & Dienstleistungs Realisierungsprozess Marktforschung Entwicklung Fabrikation Vertrieb Service Projektmanagement Prozess Projektdefinition Unterstützungsprozesse Kommunikation Intern/extern Planung IT Management Qualitätsmanagement Ausführungs Vorbereitung Controlling Ausführung Abschluss Kunden &andere interessiert Parteien

23 Entwicklung Der Zusammenhang des Gesamtansatzes mit der unternehmerischen Entscheidungsfindung und dem RM Prozess lässt sich wie folgt darstellen System des Risikomanagements: Politik der Organisation Auftrag & Verpflichtung Risikomanagement Prozess Start Zusammenhang erstellen Risikomanagement System Risiken kommunizieren Informationen austauschen Risiken identifizieren Risiken analysieren Risiken bewerten Tragbar Risiken überwachen/überprüfen Risiken bewältigen Ende

24 ISO Die neue ISO umfasst drei wesentliche Merkmale: Es handelt sich dabei um einen Top-down Ansatz Risikomanagement wird als Führungsaufgabe (und nicht nur als Prozess) dargestellt Es handelt sich um eine allgemein gehaltene Basis Norm Die angesprochenen Teilgebiete werden nicht ersetzt, sondern sollen in dem Rahmen der ISO eingebunden werden Es werden weiters auch nachgelagerte Risiken auf operationeller und prozessualer Führungsebene eingeschlossen Das Regelwerk ist grundsätzlich fertig gestellt und soll im Herbst 2009 veröffentlicht werden

25 ISO Die neue ISO wird im Wesentlichen wie folgt aufgebaut sein: Begriffe und Definitionen Prinzipen und Grundsätze des Risikomanagements Das Risikomanagement-Framework Der Risikomanagementprozess Die Begriffe und Definitionen werden aus dem ISO Guide 73 kommen ISO ist eine generische Norm und regelt nur die Grundsätze und die generellen Anforderungen an den Risikomanagementprozess Die Anleitungen für die Umsetzung und Implementierung sowie die Anwendung verschiedener Risikoanalysenmethoden ist den sektorspezifischen Normen, beispielsweise für Medizinprodukte, Sicherheit etc. vorbehalten. ISO wird daher nur durch eine Bibliografie mit den Verweisen auf diese sektorspezifischen Normen ergänzt.

26 das System Beispiel eines organisatorischen Aufbaus Risikomanagement System Mess / Kenngrößen (Risikokennzahlen) Risikostrategie der Führung Frühwarnsystem Externe/Interne Indikatoren Identifizierung, Analyse, Bewältigung Überwachung Internes Überwachungssystem Controlling (Steuerung mittels Kennzahlen) Balanced Riskcard Interne Revision Kontrollen Planung Steuerung Organisationale Sicherheitsmassnhmen Informationsversorgung Wirkgrößen (Risiko faktoren) Zielwerte (Risikolimits)

27 weitere Themen IKS = Internes Kontrollsystem Die Geschäftsführer einer GmbH bzw. der Vorstand einer AG sind gemäß Gesetz dazu verpflichtet, ein den Anforderungen des Unternehmens entsprechendes Internes Kontrollsystem (IKS) einzurichten. Als IKS wird die Gesamtheit der Methoden und Maßnahmen zur Systematisierung einer ständigen, umfassenden Kontrolle und Information bezeichnet. IKS dient insbesondere dazu die vorhandenen Vermögenswerte zu sichern, die betriebliche Leistungsfähigkeit zu steigern, die Vollständigkeit und Richtigkeit der geschäftlichen Aufzeichnungen zu gewährleisten die Geschäftsführung bei ihrer Überwachungs- Aufgabe zu unterstützen. Somit ist das Risikomanagementsystem ein Teilbereich des internen Kontrollsystems.

28 weitere Themen IKS am Beispiel COSO COSO hat 1992 einen heute anerkannten Standard für interne Kontrollen, das COSO - Modell, publiziert. Dieses Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems, beschränkt sich allerdings stark auf die Finanzberichterstattung. Im Jahr 2004 hat COSO eine Ergänzung zu seinem ursprünglichen Modell, das COSO ERM - Enterprise Risk Management Framework veröffentlicht. Insgesamt sieht das Modell folgende Bestandteile vor: Internes Kontrollumfeld Zielsetzung Ereignisidentifikation Risikobeurteilung Risikoreaktion Kontrollaktivitäten Information und Kommunikation Überwachung

29 weitere Themen ERM = Enterprise Risk Management unternehmensweiter, ganzheitlicher Ansatz zur Unternehmenssteuerung Ziel ist die Steigerung des Unternehmenswertes durch das planmäßige Eingehen erwünschter Risiken und das Absichern der Unternehmensziele gegen störende Ereignisse Die wesentliche Abgrenzung zum traditionellen RM besteht darin, dass nicht mehr die einzelnen Risiko-Kategorien oder auch einzelne Geschäftsbereiche unabhängig voneinander betrachtet und behandelt werden. Beispiel: eine Kapitalanlage-Richtlinie kann als Risikomanagement- Instrument gelten In einem ERM wird auch der Zusammenhang mit den bestehenden Verbindlichkeiten hergestellt.

30 These Einerseits - die neue ISO als systemischer und operativer Ansatz: Andererseits - ERM als unternehmensweiter, ganzheitlichen Ansatz zur Unternehmenssteuerung ISO als Rahmen für ERM einzusetzen, wobei die erforderlichen Details aus bestehenden Normen, Methoden etc. eingebunden werden

31 HMP GF Prozesse Strategie Prozesse Risikomanagement Regelkreis Telefonie IT

32