Risiko- und Chancenmanagement Theorie und Praxis PQRST e.u. - Ing. Erich Freitag Version 25.06.2013
Vorstellung Ing. Erich Freitag Ing. für Nachrichtentechnik und Elektronik Langjährige technische Leitung und Entwicklungsleitung Langjährige Managementerfahrung Langjährige Projekterfahrung speziell mit öffentlichen Auftraggebern Zertifizierter Risikomanager Qualitätsexperte der Eisenbahnindustrie Gerichtssachverständiger für Übertragungs- und Informationstechnik Diplomierter Trainer für Erwachsenenbildung http://www.pqrst.at Seite 2
Inhalt Worum geht es bei Risiko- und Chancenmanagement? Wie wird Risiko- und Chancenmanagement angewendet? Was ist der Nutzen von Risiko- und Chancenmanagement? Diskussion, Fragen, Seite 3
1. Worum geht es bei Risiko- und Chancenmanagement? Risiko- und Chancendefinition Externe Anforderungen Themenbereiche des Risiko- und Chancenmanagements Seite 4
Definition des Risikobegriffs Risiko was ist das? Seite 5
Definition des Risikobegriffs the possibility of loss or injury the possibility of loss or damage the possibility of suffering harm or loss Risiko ist ein plötzlich eintretendes Schadensereignis, das ungünstige Einwirkung von äußeren Umständen oder sich allmählich einstellende Fehlentwicklungen umfasst. (einseitige Risiko-Definition) Seite 6
Definition des Risikobegriffs Beispiel einer Risiko-Ursachen-Wirkungskette: Seite 7
Definition des Risikobegriffs Unter Risiko versteht man die Möglichkeit der Chance des Eintritts einer positiven Abweichung von einem erwarteten Wert, wie auch der Gefahr des Eintritts einer negativen Abweichung von einem erwarteten Wert oder einfacher (ONR 49000): Risiko ist die Auswirkung von Unsicherheit auf Ziele (zweiseitige Risiko-Definition) Seite 8
Definition des Risikobegriffs Somit unterscheiden wir (gemäß ONR 49000) zwischen Bedrohung (potentielle Quelle eines Risikos, die zu einer ungünstigen Entwicklung führen kann) und Chance (potentielle Quelle eines Risikos, die zu einer positiven Entwicklung führen kann) Seite 9
Definition des Risikobegriffs Der Begriff Risiko umfasst (gemäß ONR 49000) folgende Aspekte (1): die Auswirkungen können positiv oder negativ sein die Unsicherheit bzw. Ungewissheit wird mit Wahrscheinlichkeiten geschätzt bzw. ermittelt Risiko ist die Kombination von Wahrscheinlichkeit und Auswirkung Seite 10
Definition des Risikobegriffs Der Begriff Risiko umfasst (gemäß ONR 49000) folgende Aspekte (2): die Ziele der Organisation oder des Systems umfassen strategische, operationelle oder finanzielle Ziele Risiko umfasst die Sicherheit von Menschen, Sachen und der Umwelt ( safety, security ) genauso wie andere Ziele Risiko ist eine Folge von Ereignissen (d.h. einem plötzlichen Eintritt einer bestimmten Kombination von Umständen) oder von Entwicklungen (d.h. einer allmählichen Veränderung von Umständen) Seite 11
Definition des Risikobegriffs Der Risikobegriff ist nicht einheitlich, siehe z.b. Auszug aus IRIS 7.7.8: Die Organisation muss einen systematischen Prozess festlegen, um Risiken festzustellen, quantitativ und qualitativ zu analysieren und wenn notwendig gemäß der Risikoeinstufung (z.b. Annahme, Minderung, Verlagerung, Vermeidung) Entscheidungen zu treffen. Der Prozess sollte festgelegt werden in einem dokumentierten Verfahren und sollte Methoden wie dokumentiertes Risikomanagement, FMEA und Lenkung von Gegenmaßnahmen beinhalten. Die Risikoeinstufung oder die Chancenverbesserung muss aufgezeichnet und in angemessener Form an alle Beteiligten berichtet werden. Die Wirksamkeit des Reaktionsplans muss regelmäßig bewertet werden (z. B. während der Projektbewertungen). Die Ergebnisse der Risikobewertung müssen während der gesamten Projektdurchführung regelmäßig bewertet und aktualisiert werden. Darüber hinaus sollten sie zusammengefasst und zu Lernzwecken überall im Unternehmen kommuniziert werden. Die Organisation muss nachweisen, dass sie - ein angemessenes Bewusstsein zur Kritizität des Produktes und seiner Funktion sowie zum Produktrisiko innerhalb des Systems/Fahrzeuges, von dem es ein Teil ist, hat, - über angemessene Verfahren verfügt, um Maßnahmen zur Risikominderungen abzusichern. Seite 12
Definition des Risikobegriffs Hinter allen Handlungen, Erfolgen und Strategien stecken fast immer Chance und gleichzeitig Bedrohungen, wenn auch in durchaus unterschiedlichem Ausmaß. Erfolge kommen aus der Nutzung von Chancen, Erfolge können bei Nichtbeachtung von Bedrohungen zunichte gemacht oder geschmälert werden. Anders ausgedrückt sind Gewinnchancen somit stets und untrennbar mit Verlustmöglichkeiten verknüpft und umgekehrt. Daher Risiko- (und Chancen)management! Seite 13
Externe Anforderungen Risiko- und Chancenmanagement macht daher nicht nur aus den zuvor getroffenen Überlegungen Sinn, es gibt auch eine Reihe externer Anforderungen, die Risiko- und Chancenmanagement fordern: ISO 9001:2008 Qualitätsnorm mit Risikomanagement-Aspekten IRIS (Risiko- und Chancenmanagement eigener Teil 7.7.8 sowie ständiger Begleiter bei vielen Themen) UGB (Unternehmensgesetzbuch) Basel II Seite 14
Definition des Risikomanagement-Begriffs die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit Risiken unternehmerischer Betätigung. Risikomanagement ist ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Management unternehmerischer Risiken und Chancen umfasst. Seite 15
Definition des Risikomanagement-Begriffs Oder einfacher gemäß ONR 49000: Prozesse und Verhaltensweisen, die darauf ausgerichtet sind, eine Organisation bezüglich Risiken zu steuern. Die Umsetzung des Risikomanagements führt zu einer Risikokultur in der Organisation. Seite 16
Ziele des Risikomanagements Kontrollierter, dokumentierter und effektiver Umgang mit Risiken Rechtzeitige Erkennung und Umsetzung von Chancen damit verbunden Sicherung der Existenz des Unternehmens Sicherung des Unternehmenserfolges Aktive Steuerbarkeit des Unternehmens Reduktion der erforderlichen Korrekturkosten Seite 17
Ziele des Risikomanagements Sicherstellung: (Bestmögliche) Beherrschung (jedoch nicht vollständiger Ausschluss!) der vorhandenen Risiken Gesamtrisiko des Unternehmens muss in einem sinnvollen Verhältnis zum Risikopuffer (z.b. Eigenkapital) stehen Seite 18
Themenbereiche des Risikomanagements Strategische Risiken Erfolgsrisiken, die für den Unternehmensbetrieb eine existenzielle oder zumindest wesentliche Gefährdung darstellen : Management, Image, Ernstfälle, Krisen, Notfälle, Kontinuität, Finanzielle Risiken Finanzierung, Kredite, Liquidität, Zinsänderung, Währungen, Operationale Risiken Sämtliche betriebliche Risiken, die in einem Unternehmen einen Schaden verursachen können : Absatz, Ausführung (Projekte, ), Produkte, Recht, Seite 19
Themenbereiche des Risikomanagements Organisatorische Risiken Personal, Technik, Sicherheit, EDV, Externe Risiken Lieferanten, Umwelt, Länder, Mitbewerb, Systemische Risiken Wenn sich eine Entwicklung in einem System aufgrund der dynamischen Wechselwirkungen zwischen den Elementen des Systems auf das gesamte System (negativ) auswirkt Seite 20
Themenbereiche des Risikomanagements Risikomanagement auf Unternehmensebene Strategische, finanzielle und operationale Risiken Risikomanagement in Projekten Finanzielle und operationale Risiken Krisen- und Notfallmanagement Management von drohenden oder bereits eingetretenen Krisen oder Notfällen Kontinuitätsmanagement Herstellung der operationalen Betriebsfunktionen bei Unterbrechung oder Verlust Seite 21
Exkurs: Risikomanagement in der EDV Risiken in der EDV Lebenszyklus-Modell Projekt-Risiken Operative Risiken Informations-Sicherheits-Management Seite 22
Exkurs: Risikomanagement in der EDV Wo begegnen uns Risiken in der EDV? In allen Phasen des Lebenszyklus In Bezug auf alle EDV-Elemente und deren Schnittstellen Bei der Durchführung von Projekten (Entwicklung und Infrastruktur) Strategische Risiken Operative Risiken Technologische Risiken Seite 23
Exkurs: Risikomanagement in der EDV Typische Risiken in der EDV: Verfügbarkeit von Informationen und Systemen (Service Management) Missbrauch von Informationen (Datenschutz) Verlust von Informationen (Datensicherheit) Seite 24
Exkurs: Risikomanagement in der EDV Auszug möglicher Risiken und Ursachen: Seite 25
Exkurs: Risikomanagement in der EDV Explosion eines Akkus: Seite 26
2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme Seite 27
Der Risikomanagement-Prozess Im Vorfeld: (Erst-)Definition der Risikopolitik Seite 28
Die Risiko-Identifikation (1) In diesem Schritt werden Risiken identifiziert und festgehalten. Wie alle Aktivitäten des gesamten Prozesses, wird auch diese permanent während des gesamten Verlaufs durchgeführt. Bei Projekten soll die Risikoidentifikation zusätzlich vor dem Projektstart durchgeführt werden, um im Vorfeld die Risikogefährdung des Projektes abschätzen zu können (im Idealfall schon in der Angebotsphase) Seite 29
Die Risiko-Identifikation (1) In der Praxis existieren unterschiedliche Methoden, um Risiken zu identifizieren, wie beispielsweise: Strukturierte Analyse von Dokumenten, FTA, FMEA, HAZOP, Durchführung von moderierten Risiko-Workshops mithilfe von Brainstorming, SWOT-Analyse, Mind-Mapping, Clustering, Führen von Interviews mit Betroffenen (Kunden, Lieferanten, etc.) und Mitarbeitern gleicher und verschiedener Hierarchieebenen Ausfüllen von Fragebogen und Checklisten von ausgewählten Mitarbeitern Einsehen/Verwenden einer zentralen Risikodatenbank Stakeholder-Analysen, Szenario-Analysen, Monte-Carlo-Simulation etc. Seite 30
Die Risiko-Analyse und Bewertung (2) Die Risikoanalyse und Bewertung dient der Quantifizierung und (möglichst) korrekten Einschätzung der Risiken. Dabei werden die im vorigen Schritt identifizierten Risiken nach Eintrittswahrscheinlichkeit und Ausmaß bewertet und anschließend priorisiert. Dafür ist es erforderlich, jedes einzelne Risiko nach seinen Auswirkungen hinsichtlich Kosten, Termin, Funktionalität und/oder Qualität einzuordnen und entsprechende Eintritts-Indikatoren festzulegen. Seite 31
Die Risiko-Analyse und Bewertung (2) Um die Quantifizierung der Risiken zu ermöglichen, müssen vorher pro Bereich entsprechende Skalenwerte festgelegt werden, z.b.: Seite 32
Die Risiko-Analyse und Bewertung (2) Wurden die Risiken nach Eintrittswahrscheinlichkeit und Auswirkung bewertet, wird nun pro Risiko die Risikokennzahl (RKZ) berechnet und ein Eintrittsindikator ermittelt, wobei gilt: Risikokennzahl = Eintrittswahrscheinlichkeit x Auswirkung Dabei ist die Auswirkung üblicherweise die Summe aus finanzieller, terminlicher und qualitativer Auswirkung, also Risikokennzahl = W x (A F + A T + A Q ) Seite 33
Die Risiko-Analyse und Bewertung (2) Beispiel einer Risikobewertung: Seite 34
Die Risiko-Analyse und Bewertung (2) Das Ergebnis der Bewertung ist eine so genannte Risiko-Matrix. Diese kann entweder als Auflistung aller vorhandenen Risiken nach Risikokennzahl oder in Form einer Matrix mit den Achsen Wahrscheinlichkeit und Ausmaß dargestellt werden: Seite 35
Die Risiko-Analyse und Bewertung (2) Neben der Analyse von Risiken kann nun auch ein eventueller Zusammenhang mit verbundenen Chancen analysiert werden. Falls durch ein vermeintliches Risiko auch Chancen entstehen oder beeinflusst werden, werden diese ebenfalls bewertet und mit dem Risiko abgewogen. Der gleiche Prozess gilt ebenso umgekehrt, nämlich für die Analyse und Bewertung von Chancen und die Bestimmung von Abhängigkeiten dazugehöriger Risiken. Seite 36
Die Risiko-Handhabung (3) Im Anschluss an die Risikobewertung gilt es nun, Risiken zu handhaben und Maßnahmen festzulegen, um die Risiken zu bekämpfen. Hierfür stehen insgesamt fünf Strategien zur Verfügung: 1. Risikoverminderung oder reduzierung (Minderung der Eintrittswahrscheinlichkeit und / oder des Schadensausmaßes Schutzmaßnahmen, Absicherung, ) 2. Risikovermeidung (Alternativlösungen, Weitergabe an Sublieferanten; Extremfall der Risikovermeidung: eliminieren oder umgehen des Risikos beispielsweise durch Abbruch eines Projekts oder Abschaffung eines Systems) Seite 37
Die Risiko-Handhabung (3) 3. Risikoüberwälzung oder verlagerung (Übertragung des Risikos auf Dritte, beispielsweise Outsourcing oder Lieferanten) 4. Risikostreuung oder versicherung 5. Risikoselbsttragung oder -reserve (bewusstes Eingehen des Risikos = Akzeptanz, da dessen Vermeidung nicht möglich ist evtl. Bildung von Rückstellung zum Schadensausgleich) das Management muss das Restrisiko verantworten können und wollen! Seite 38
Die Risiko-Handhabung (3) Allen Maßnahmen gemeinsam ist, dass sie zunächst Geld und/oder Zeit kosten daher ist die Wirksamkeit der Maßnahmen zu bewerten und regelmäßig zu prüfen! Allerdings kostet der Eintritt einer Bedrohung (oder sogar eines Notfalls oder eine Krise) oft wesentlich mehr Geld und Zeit als eine gezielte Prävention. Seite 39
Die Risiko-Handhabung (3) Es ist daher empfehlenswert, die Reihenfolge der Maßnahmen gemäß der Priorisierung der Risiken (bedrohlichstes Risiko zuerst) festzulegen. Dabei sollte versucht werden, zu jedem bedeutenden Risiko einen Maßnahmenkatalog aufzustellen, und die unterschiedlichen Maßnahmenalternativen im Bezug auf Ihre Wirkung zu bewerten (z.b. Reduzierung der Eintrittswahrscheinlichkeit um 10%). Seite 40
Die Risiko-Handhabung (3) Das Ergebnis ist eine Wirksamkeitsmatrix der unterschiedlichen Maßnahmen, die wie folgt aussehen kann: Seite 41
Die Risiko-Handhabung (3) Es empfiehlt sich ferner, als Vergleichszahl die Risikowirkung und den ROI (Return Of Invest) der Maßnahme zu berechnen, wobei gilt: Risikowirkung = Risikofaktor vor Maßnahme Risikofaktor nach Maßnahme Hebelwirkung (ROI) = Risikowirkung / Aufwand Also: je mehr Risiken mit einer Maßnahme reduziert werden können und je geringer der Aufwand dafür ist, desto effektiver ist die Maßnahme Seite 42
Die Risiko-Handhabung (3) Als Indikator, welche Maßnahme am zielführendsten ist, dient ferner der Vergleich zwischen korrektiven Kosten (d.h. Aufwänden, die zu tätigen sind, wenn das Risiko eintritt) und präventiven Kosten (d.h. Aufwänden, die für die Umsetzung einer Maßnahme anfallen) Weiterhin erfolgt in diesem Schritt eine Neubewertung der Risiken unter Einbeziehung der beschlossenen Maßnahmen. Daraus resultiert eine aktualisierte Risiko-Matrix. Seite 43
Die Risiko-Handhabung (3) Seite 44
Die Risiko-Überwachung (4) In diesem Schritt ist es wichtig, neben den identifizierten Risiken auch die Vorgänge (z.b. in einem Projekt) permanent zu überwachen. Nur so kann im Falle einer Änderung von bereits identifizierten bzw. bei neuen Risiken schnell reagiert werden. Außerdem sind die Eintrittsindikatoren regelmäßig zu prüfen. Auch die getroffenen Maßnahmen sind stetig auf ihre Wirksamkeit zu überprüfen. Hier kann die bereits im letzten Prozessschritt erläuterte Aufwands-Wirksamkeitsanalyse zum Einsatz kommen Seite 45
Die Risiko-Archivierung (5) Die Aktivität Archivierung versteht sich nicht als eigener Prozessschritt. Vielmehr ist sie eine abschließende Tätigkeit und stellt die Schnittstelle zu anderen Risikobewertungen her. Wenn ein Risiko eliminiert, bzw. bereits eingetreten und somit nicht mehr aktuell ist, sollte es zusammen mit den zugehörigen Maßnahmen archiviert werden Seite 46
Die Risiko-Archivierung (5) Dabei sollte eine abschließende Bewertung durchgeführt werden, in der u. a. folgende Fragen beantwortet werden (kontinuierliche Verbesserung): Wie hoch waren die tatsächliche Eintrittswahrscheinlichkeit und das tatsächliche Ausmaß im Gegensatz zum geschätzten Wert? Wie hoch war die tatsächliche Wirkung der Maßnahmen im Vergleich zum geschätzten Wert? Welche Maßnahmen haben sich in Bezug auf das Risiko als besonders wirksam herausgestellt? Welcher Aufwand war schlussendlich für die Durchführung der Maßnahme erforderlich? Seite 47
Die Einbettung in Managementsysteme Risikomanagement ist eine Aufgabe der obersten Leitung und der Führungskräfte. Primäre Aufgabe des Risikomanagements ist es, zur Zielerreichung der Organisation beizutragen. Dazu gehören strategische, operationelle, finanzielle Ziele genauso wie Ziele im Bereich der Sicherheit von Menschen und der Umwelt. Gesamtrisikosteuerung Management Informationssicherheit, Managementsystem etc. Projekte, Service/Dienstleistung, Produkte, Fachlich Operativ Seite 48
Die Einbettung in Managementsysteme Ein integriertes Risikomanagement verbindet und koordiniert den Top-down- Ansatz und den Bottom-up-Ansatz: (aus ONR 49000) Seite 49
Die Einbettung in Managementsysteme Managementsysteme ordnen die Steuerungs- und Kontrollmechanismen. Sie betreffen entweder einzelne Teilgebiete, z.b. das Qualitäts-Managementsystem (ISO 900x) das Umwelt-Managementsystem (ISO 1400x) das Sicherheits- bzw. Arbeitsschutz-Managementsystem (OHSAS 18001) das Informationstechnologie-Managementsystem (ISO 27001) oder sie haben die Aufgabe, als integriertes Managementsystem alle Aspekte der Führung ganzheitlich zu betrachten und die verschiedenen Anforderungen in einer gemeinsamen Struktur zusammenzufassen, um Synergien zu nutzen und Ressourcen zu bündeln. Seite 50
Exkurs: Risikomanagement in der Software-Entwicklung Typische Risiken in der Software-Entwicklung sind Risiko SCHEDFLAW TURNOVER INFLATION SPECFLAW PRODUCTIVITY Beschreibung Error in original sizing (fehlerhafter Zeitplan) Effect of employee turnover (Mitarbeiter-Fluktuation) Requirements function growth (Änderung der Anforderungen) Failure to reach consensus (Fatal Spezifikations-Kollaps ) Effect of productivity variance (Mangelnde Arbeitsleistung) Seite 51
Exkurs: Risikomanagement in der Software-Entwicklung Verlauf der Wahrscheinlichkeit der Fertigstellung: Seite 52
Exkurs: Risikomanagement in der Software-Entwicklung Übliche Maßnahmen zur Risiko-Reduzierung: Bestmögliches Requirements-Engineering Methodische Aufwands-Schätzungen Agile Software-Entwicklungs-Methoden (wenn angebracht) Begleitendes Qualitäts-, Risiko- und Projektmanagement Konsequentes testen von Software Ausbildung und Bewusstsein der Mitarbeiter Seite 53
3. Was ist der Nutzen von Risiko- und Chancenmanagement? Vorteile und Gefahren Nutzen für das Unternehmen Nutzen für Projekte Nutzen für den Einzelnen Seite 54
Vorteile und Gefahren von Risikomanagement Seite 55
Einführung von Risikomanagement Geeignete Sichtweisen und Bewusstsein schaffen Bestandserhebung auf breiter Basis durchführen Risiken geeignet analysieren Risikoanalyse in Teams durchführen Risiken bewusst und angemessen darstellen Risikokatalog-/datenbank erstellen Risiken geeignet managen Regelmäßige Prüfung + Reporting einführen Steuerungskreise definieren Maßnahmen und Risikopolitik regelmäßig prüfen Seite 56
Nutzen von Risikomanagement für Unternehmen Mit der systematischen Risikobeurteilung werden Schwachstellen und Gefahren im Unternehmen ermittelt und nach zu bestimmenden Standards bewertet. Dies ist unter anderem Grundlage für ein erfolgreiches Krisenmanagement. Die Früherkennung hilft Risiken zu mindern und Kosten zu sparen, was sich positiv auf das Betriebsergebnis auswirken wird. Ein positives Betriebsergebnis erhöht die Wahrscheinlichkeit die Unternehmensziele zu erreichen und sichert die Investitionschancen. Seite 57
Nutzen von Risikomanagement für Unternehmen Der Nutzen eines Risikomanagements ist eine bessere Planungs- und Steuerungsmöglichkeit, eine bessere Kontrolle und bei guter Vorbereitung ein besseres Rating und somit z.b. günstigere Konditionen bei der Bank. Es kann also ein direkter positiver monetärer Erfolg resultieren. Risikomanagement ist demnach kein kostspieliger Hygienefaktor. Es kann der Beginn einer nachhaltigen Wertsteigerungsstrategie des Unternehmens werden. Seite 58
Nutzen von Risikomanagement für Projekte Bessere Abwicklung more in time, more in budget Bessere Vermeidung von typischen Problemen Weniger Stress bei Eintritt von Risiken Wahrnehmung von Chancen Zufriedenere Kunden Professionelles Image nach außen Umwandeln von Gefährdungen in Chancen, z.b. durch Kreativitätstechniken Seite 59
Nutzen von Risikomanagement für den Einzelnen Weniger Stress bei Eintritt von Risiken Schaffung von Zeitressourcen für andere Aufgaben Bessere Work-Life-Balance Guter Ruf Bessere Zielerreichung Beitrag zur nachhaltigen Sicherung des Unternehmens Seite 60
Die Realität des Risikomanagements Welche Erfahrungen konnten Sie bereits mit Risikomanagement machen? Gibt es durchgängige Risikomanagement-Prozesse? Werden die Risiken korrekt dargestellt und regelmäßig reportet? Welchen Stellenwert hat das Risikomanagement im Unternehmen? Wie gehen Mitarbeiter und Management mit aufgezeigten Risiken um? Seite 61
4. Diskussion, Fragen, Danke für Ihre Aufmerksamkeit! Seite 62
A. Anhang IT-System Internet Standleitung VoIP-Server Firewall Bandsicherung VoIP-Telefone Router File- und Domainserver Printserver VCS-Server VPN-Server Drucker Drucker/Scanner Arbeitsplatz-PCs Laptops USB-Stick Seite 63
A. Anhang IT-System Seite 64
A. Anhang IT-System -- Ende -- Seite 65