Dipl.-Ing.(TH), Dipl.Wirt.-Ing.(FH), Jochen Link Risikomanagement Betrachtungsweisen und Beispiele Wir optimieren Prozesse zur Reduzierung von Risiken und Kosten 2/11/04 1
Inhaltsübersicht 1. Allgemeine Einführung (gesetzliche Grundlagen, wofür) 2. Risikobereiche (Risikobereiche, Beispiele, Was wird wie umgesetzt) 3. Risikoverminderung / -Vermeidung (Vorteile, Auswirkungen, Zusammenhänge, ) 2/11/04 2
Was ist ein Risiko? Möglichkeit, dass unerwünschte Ereignisse eintreten --> Vermögensverlust Möglichkeit, dass gewünschte Ereignisse nicht eintreten --> nicht realisierte Chance 2/11/04 3
Gefährliche Lücken Nach einer Studie der Universität Kaiserslautern, so berichtet Dr. Reiner Hagemann, Vorstandsvorsitzender der Allianz Versicherungs-AG bei der Industrie-Pressekonferenz seines Hauses in München, weist das Risikomanagement in 60% der deutschen Unternehmen Mängel auf. Das sei nicht zuletzt auch im direkten Eigeninteresse der Versicherungsnehmer sehr bedenklich. Denn aus einer britischen Untersuchung bei vier Unternehmen habe sich ergeben, daß die nicht durch eine Versicherung abgedeckten Kosten eines Schadens die versicherten Kosten um das 8- bis 36-fache überstiegen hätten. Eine US-Studie belegt außerdem, daß 43% der untersuchten, von einem Großbrand betroffenen Unternehmen trotz ausreichender Versicherung unmittelbar aufgeben mußten, weil sie durch den Zeitverlust bis zur Wiedereröffnung den Anschluß an ihre Märkte verloren hatten. Weitere 28% gaben innerhalb von 3 Jahren auf. 2/11/04 4
Risikomanagement nach KonTraG Allgemeine externe Risiken: Gesetzliche Vorschriften / Vertragliche Risiken Technologiesprünge Naturgewalten Politische Verhältnisse Leistungswirtschaftliche Risiken: Beschaffung Absatz Produktion Forschung und Entwicklung Finanzwirtschaftliche Risiken: Marktpreise Schuldnerbonität Liquidität / Kapitalmarkt Risiken aus Corporate Governance: Organisation Führungsstil Kommunikation Unternehmenskultur Wie werden technische Risiken behandelt? Beispielsweise IT, Feuer und Umweltrisiken 2/11/04 5
Ermittlung der Einflüsse auf ein Unternehmen (Geschäftsmodelle) PEST - Analysis (Influence: Political, Economics, Social, Technology) SWOT - Analysis (Influence: Strength, Weaknesses, Opportunities, Threats Porters 5 Forces (Influence: Bargaining power of suppliers, Bargaining power of buyers, Threat of product substitution, Threat of new entrants Rivalry among existing companies) 2/11/04 6
Schwerpunkt der Risikobetrachtung von Risikomanagement-Systemen (KonTraG) auf wirtschaftlicher Basis Unternehmensprozesse Unternehmens Ziele Abstimmung Allgemeine externe Risiken Gesetze, Techno-Sprünge, Naturgefahren, Politik Information Leistungswirtschafliche Risiken Beschaffung, Absatz, Produktion, F+E Markpreise, Schuldnerbonität, Liquidität / Kapitalmarkt Überwachung Lieferung & Einführung Finanzwirtschaftliche Risiken Unternehmens Resourcen Schwerpunkt Versicherung (Risikotechnisch / -organisatorisch) Planung & Organisation Beschaffung Organisation, Führungsstil, Kommunikation, Unternehmenskultur Risiken aus Corporate Governance 2/11/04 7
Interne und externe Risikotreiber Interne Risiko-Treiber Unternehmens-Leistung Externe Risiko-Treiber Konzept + Fokus + Aktualität Ressourcen + Finanzen + Kompetenzen Prozesse + Führung + Leistung Organisation + Kultur + Kommunikation Mit Änderungen von K.Bockslaff, Verismo GmbH F + E Kunden Mitarbeiter Stakeholder Value Gesellschafter Produktion Banken Markt + Bevölkerung Wettbewerb + Struktur + Regularien Gesellschaft + Image + Akzeptanz Issues + Politik + Medien 2/11/04 8
Vorgehensweise Risikoermittlung Risikobewertung Kost ensenkung Kostensenkung durch: Schadenvermeidung Optimierte Abläufe Prämienreduzierung Bewertung Sicherheitsmaßanhmen Risikooptimierung Absicherungslösung 2/11/04 9
Risikoidentifizierung Risikobereiche eines Unternehmens Ebenen der Risikoidentifizierung Konzer n Kern-/ Unterstüzungs- Prozesse Teilprozesse Risikofelder Risikoarten Externe Risiken Leistungswirtschaftliche Risiken F&E Strategischer Managementprozeß Unterstützungsprozesse z.b. Finanzen Finanzwirtschaftliche Risiken Kernprozesse Vertrieb Produkterstellung Kundendienst Beschaffung Produktion... Corporate Governance Personal Organisation Kom munikation Integrität Frage 1 Frage 1 Frage 1 Frage 1 Segment e Gesel l schaft en Pr ofi t Cent er 2/11/04 10
2/11/04 11
Risikoermittlung - Risikobereiche IT Feuer Umwelt Haftpflicht Betriebsunterbrechung (Ausfall von Unterstützungsprozessen) Organisatorische Risiken Sabotage / Fraud 2/11/04 12
IT-Risiken für das Unternehmen im Netzwerk RemoteAccess Interne t Legale Modems AOL Illegale Modems Trusted (?) Third Partys 2/11/04 13
Krisenszenarien: Überschwemmung Hauptwasserleitung am Wochenende geborsten Überschwemmung im Erdgeschoss, Hochwasser im Keller Auswirkungen: Versorgung, die durch den Keller verläuft, während der Aufräumarbeiten unterbrochen. Erschwerter Zugang zum Gebäude an diesem Tag 2/11/04 14
Ursachen für Produkt Haftungsschäden Rahmenbedingungen Kürzere Entwicklungszeiten kürzere Testphasen viele Zulieferteile (ohne Eingangskontrolle, Lieferantenaudit?) komplexere umfangreichere Komponenten Kostendruck (Kosten für QM-Doku, Eing.-Kontrolle,... westliche Kosten) Organisation komplexe Organisationsstrukturen bedingt auch durch Produkte Ursachen Systematische Fehler (Nichtbeachtung von Richtlinien, falsche Materialauswahl) Mangelnde Produktbeobachtung, Information (Gebr.-Anleitung) Kommunikationsprobleme (Mängel intern verschweigen) Zuständigkeiten?, Rückrufplan vorhanden?, 2/11/04 15
Beispiel mit Folgen Kabelbrand in einer Produktionshalle für Fahrzeuge Ertragsausfallschäden durch: - Rauchgasbeaufschlagung der im Produktionsprozess befindlichen Fahrzeuge - Produktionsstillstand - Mehraufwendungen zur Beseitigung des entstandenen Sachschadens (z.b. Selbstbehalt, Verwaltungskosten) - Mehraufwand zur Beseitigung der Lieferschwierigkeiten (z.b. Überstunden) Schadenhöhe > 500 TEuro 2/11/04 16
Risiko Verfahrensabläufe Unterstützungsprozess Abteilung / Bereich Tätigkeit A Tätigkeit B Tätigkeit C Tätigkeit D Tätigkeit E Tätigkeit F Tätigkeit... Tätigkeit... Tätigkeit... Tätigkeit... Abteilung 1 X Abteilung 2 X X X X Abteilung 3 Abteilung 4 X X Abteilung 5 X Abteilung 6 X X Abteilung 7 mögliche Fehlerquelle Überwachungsmaßnahme 2/11/04 17
Lösung: Prozessaufnahme Input Abt./Tätigkeit Output X Aktivität 1 Beschreibung der einzelnen Tätigkeiten mit Kontrollen Aktivität 2 Aktivität 3 Aktivität x Y K Kontrolle Kx Bestimmung von: - Prozesszielen - Risiken - KPI s (Kennzahlen) -CSF s (Kritische Erfolgsfaktoren) 2/11/04 18
Vermeiden von Schäden durch lernen aus Schäden 2/11/04 19
Informationsbedarf nach Zwischenfall Informationsumfang Datenverlauf Informationswunsch der Öffentlichkeit Informationszunahme in Betrieb nach Schadenfall Schadeneintritt Zeit nach Schaden schematisch 2/11/04 20
Auslöser für Großschäden Schweißen ohne Erlaubnis indirekt beitragend direkt beitragend Kein Test- u. Freigabe Verfahren Keine Doku von Programmtests Entwickler stellt Programm in Produktion Fehlerhafte Datenverarbeitung Umfeld nicht beachtet Falsche Einschätzung Unterschätzung brandauswirkung Pfad der Ereignisentstehung Selbstüberschätzung Veralterte Technik Barrieren Keine Sicherheitsorganisation Fehlendes Sicherheitsbewußtsein Mangelhaftes Benutzerberechtigungskonzept Keine Geheimhaltung Paßwörter Keine Log-Files Mehrere Benutzer mit übergeordneten Berechtigungen 2/11/04 21
Aufwand für Sicherheit 2/11/04 22
Klassifikation von Kontrollen Funktion Beispiel Präventive Kontrollen: Probleme vor Auftreten entdecken Qualifiziertes Personal Monitoring Aktionen u. Inputs Trennung von Aufgaben Zugangskontrolle Übersichtliche Abläufe Plausibilitäts-Checks Entdeckende Kontrollen: Einsatz von Kontrollen die einen Kontrollpunkte in Produktion Fehler oder fehlerhafte Operation Fehlermeldungen entdecken und melden / reporten Reporting von Abweichungen Interne Audits Korrektive Kontrollen: Minimiert die Auswirkungen einer Gefahr, Identifiziert die Ursache eines Problems, Korrigiert Fehler durch ein Problem, Modifiziert einen Prozess um einen zukünftigen Fehler zu vermeiden 2/11/04 23
Kosten in Abhängigkeit der Reaktionszeit Schaden / Kosten Illiquidität? Ausfall- kosten Imageschaden? Wiederherstellkosten Notfall kritische Ausfallzeit Reaktionszeit 2/11/04 24
Aufgabe Notfall-Management Aufgabe des Notfall-Managements ist es den Prozess einer Notfallsituation aufzuhalten und mit geeigneten Maßnahmen auf die Normalsituation zurückzuführen. Entscheidende Faktoren bei der Notfallplanung: Gewinn an Zeit, die man benötigt, um in einem schnell eskalierenden Prozess die richtigen Maßnahmen zu ergreifen. Umsatz Krise bewältigt Umsatzausfall Kundenverlust Liquidität Insolvenz Ereignis Notfallsituation 2/11/04 25 Zeit
Entscheidungsprozess Risikomanagement Risikoanalyse Identifizierte Identifizierte Risiken Identifizierte Risiken Risiken Risikobeeinflussung Risikobewertung Risikofinanzierung Possible Maximum Loss Risikooptimierung Technisch + organisatorisch Schadenhöhe Von: - Wesentlichen und unwesentlichen - Beeinflußbaren und nicht beeinflußbaren Risiken Selbstbehalt + Finanz.-Lösung Versicherung Risikosteuerung / Kontrolle Eintrittswahrscheinlichkeit Risikoreduzierung Beeinflußt 2/11/04 26
Risiko-Absicherung Verlusthöhe Versichern Akzeptieren Selbsttragen Vermeiden Kontrollieren Reduzieren Häufigkeit Netz Technische und organisatorische Maßnahmen helfen Risiken zu vermeiden und führen zu einer angepassten Risikoabsicherung Ermittlung der: - Kritischen Bereiche - Verfügbarkeitsanforderungen - Erforderlichen Maßnahmen / Ausweichmöglichkeiten -... Versicherung: Betriebs- + Produkthaftpflicht Feuer + -BU Elektronik-Versicherung Maschinen-Versicherung Inhalts-Versicherung D & O... Start normalerweise bei Versicherungen Informationen gut für: - Festlegung SB s - Verhandlungen mit VR - Kontrolle Start: Analyse Ziel: Risiko-Absicherung 2/11/04 27
Vielen Dank für Ihre Aufmerksamkeit 2/11/04 28
Wenn Sie weitere Details über unsere Dienstleistungen kennen lernen möchten, an einem Termin oder einem konkreten Angebot interessiert sind, dann erreichen Sie uns unter: Jochen Link Spraulache 14 68782 Brühl Tel.: (06202) 920302 Fax: (06202) 920303 Mail: jlink@risklink.de 2/11/04 29