Risiko- und Chancenmanagement

Ähnliche Dokumente
2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme

Begriffe zum Risiko. Quelle: ONR 49000:2008. Risikomanagement 2011 Projekt Ragus / Sojarei Mag. Michael Forstik Unternehmensberatung 7210 Mattersburg

GPP Projekte gemeinsam zum Erfolg führen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Risikomanagement. 1 Gründe, warum Projekte fehlschlagen. 2 Risiken

Toolset-Info. Übersichtsgraph, Verfahrensanweisung, Rechenblätter mit 9 Einzeltools (18 S.)

Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008

DIE UNSTERBLICHE PARTIE

Online-Vorlesung FG-UB-Projektmanagement Teil 1

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

Der kleine Risikomanager 1. Karin Gastinger

Mitarbeiterbefragung als PE- und OE-Instrument

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG


Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Risikomanagement bei PPP Projekten: Erfahrungen aus Deutschland

Risikomanagement und Gesundheitsförderung

SWOT-Analyse. Der BABOK V2.0 (Business Analysis Body Of Knowledge) definiert die SWOT-Analyse wie folgt:

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

Informationssicherheitsmanagement

statuscheck im Unternehmen

ISMS Teil 3 Der Startschuss

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Übungsbeispiele für die mündliche Prüfung


IT-Sicherheitsmanagement bei der Landeshauptstadt München

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Schweizerisches Institut zur Förderung der Sicherheit

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Prozessoptimierung. und. Prozessmanagement

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Softwaretechnologie Wintersemester 2009/2010 Dr. Günter Kniesel, Pascal Bihler

IT-Revision als Chance für das IT- Management

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Der Prozess Risikomanagement. Seine Integration in das Managementsystem

Teil - I Gesetzliche Anforderungen an IT-Sicherheit

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

Risk Manager/-in Senior Risk Manager/-in

Risiko als Chance Der risikobasierte Ansatz in der ISO 9001:2015 und dessen Umsetzung in Managementsystemen

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Einführung Risk Management Konzept

itestra Software Tuning Mehr Leistung. Weniger Kosten. Software Productivity

Agile Enterprise Development. Sind Sie bereit für den nächsten Schritt?

Die PROJEN-GmbH bietet ihren Kunden einheitliche

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Risikomanagement-Studie für Österreich. Status und Trends in Enterprise-Risikomanagement mit Konnex zu IT-Risiken

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Agile Management Einführung in agiles Management

Die wichtigsten Werkzeuge, um UNTERNEHMENSKULTUR BEWUSST zu gestalten.

Fragebogen: Abschlussbefragung

Qualitätsmanagement in kleinen und mittleren Unternehmen

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Managementbewertung Managementbewertung

SWOT Analyse zur Unterstützung des Projektmonitorings

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Leseauszug DGQ-Band 14-26

BASEL. Prof. Dr. Dr. F. J. Radermacher Datenbanken/Künstliche Intelligenz.

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, Antonio Gelardi IT - Sicherheitsbeauftragter

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

9001 weitere (kleinere) Änderungen

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Leo Baumfeld. Risikoanalyse. Begleiter: ÖAR-Regionalberatung GmbH. Fichtegasse 2 A-1010 Wien. Tel. 01/ , Fax DW 10 Mobil: 0664/


Krisenmanagement: Richtig kommunizieren in der Krise

Risikobasierte Bewertung von Hilfsstoffen

POCKET POWER. Projektmanagement. 3. Auflage

Leitfaden zum Erstellen der Projektarbeit

Modul 5: Service Transition Teil 1

KoSSE-Tag 2013 Software-Qualitätssicherung

Checkliste zur qualitativen Nutzenbewertung

Dieter Brunner ISO in der betrieblichen Praxis

Professionelle Seminare im Bereich MS-Office

Risiko- und Vertragsmanagement in KMUs. Deutsch-Türkische Umfrage. Marmara Universität Istanbul / SRH Hochschule Berlin

IT-Sicherheit Risiken erkennen und behandeln. Hanau,

Persönliches Coaching

Mitarbeitergespräche erfolgreich führen

Wir organisieren Ihre Sicherheit

Vgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201.

Teamentwicklung und Projektmanagement

WSO de. <work-system-organisation im Internet> Allgemeine Information

Change Management. Hilda Tellioğlu, Hilda Tellioğlu

Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität

Die Fachgruppe sieht ihre Arbeit nicht als Konkurrenz, sondern als Ergänzung zu bestehenden Regelwerken und Normen.

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Was sind Jahres- und Zielvereinbarungsgespräche?

Gedanken zu: Wildbäche und Murgänge eine Herausforderung für Praxis und Forschung

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

Das Handwerkszeug. Teil I

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

CDC Management. Coaching. In Zusammenarbeit mit:

Datensicherung. Beschreibung der Datensicherung

Transkript:

Risiko- und Chancenmanagement Theorie und Praxis PQRST e.u. - Ing. Erich Freitag Version 25.06.2013

Vorstellung Ing. Erich Freitag Ing. für Nachrichtentechnik und Elektronik Langjährige technische Leitung und Entwicklungsleitung Langjährige Managementerfahrung Langjährige Projekterfahrung speziell mit öffentlichen Auftraggebern Zertifizierter Risikomanager Qualitätsexperte der Eisenbahnindustrie Gerichtssachverständiger für Übertragungs- und Informationstechnik Diplomierter Trainer für Erwachsenenbildung http://www.pqrst.at Seite 2

Inhalt Worum geht es bei Risiko- und Chancenmanagement? Wie wird Risiko- und Chancenmanagement angewendet? Was ist der Nutzen von Risiko- und Chancenmanagement? Diskussion, Fragen, Seite 3

1. Worum geht es bei Risiko- und Chancenmanagement? Risiko- und Chancendefinition Externe Anforderungen Themenbereiche des Risiko- und Chancenmanagements Seite 4

Definition des Risikobegriffs Risiko was ist das? Seite 5

Definition des Risikobegriffs the possibility of loss or injury the possibility of loss or damage the possibility of suffering harm or loss Risiko ist ein plötzlich eintretendes Schadensereignis, das ungünstige Einwirkung von äußeren Umständen oder sich allmählich einstellende Fehlentwicklungen umfasst. (einseitige Risiko-Definition) Seite 6

Definition des Risikobegriffs Beispiel einer Risiko-Ursachen-Wirkungskette: Seite 7

Definition des Risikobegriffs Unter Risiko versteht man die Möglichkeit der Chance des Eintritts einer positiven Abweichung von einem erwarteten Wert, wie auch der Gefahr des Eintritts einer negativen Abweichung von einem erwarteten Wert oder einfacher (ONR 49000): Risiko ist die Auswirkung von Unsicherheit auf Ziele (zweiseitige Risiko-Definition) Seite 8

Definition des Risikobegriffs Somit unterscheiden wir (gemäß ONR 49000) zwischen Bedrohung (potentielle Quelle eines Risikos, die zu einer ungünstigen Entwicklung führen kann) und Chance (potentielle Quelle eines Risikos, die zu einer positiven Entwicklung führen kann) Seite 9

Definition des Risikobegriffs Der Begriff Risiko umfasst (gemäß ONR 49000) folgende Aspekte (1): die Auswirkungen können positiv oder negativ sein die Unsicherheit bzw. Ungewissheit wird mit Wahrscheinlichkeiten geschätzt bzw. ermittelt Risiko ist die Kombination von Wahrscheinlichkeit und Auswirkung Seite 10

Definition des Risikobegriffs Der Begriff Risiko umfasst (gemäß ONR 49000) folgende Aspekte (2): die Ziele der Organisation oder des Systems umfassen strategische, operationelle oder finanzielle Ziele Risiko umfasst die Sicherheit von Menschen, Sachen und der Umwelt ( safety, security ) genauso wie andere Ziele Risiko ist eine Folge von Ereignissen (d.h. einem plötzlichen Eintritt einer bestimmten Kombination von Umständen) oder von Entwicklungen (d.h. einer allmählichen Veränderung von Umständen) Seite 11

Definition des Risikobegriffs Der Risikobegriff ist nicht einheitlich, siehe z.b. Auszug aus IRIS 7.7.8: Die Organisation muss einen systematischen Prozess festlegen, um Risiken festzustellen, quantitativ und qualitativ zu analysieren und wenn notwendig gemäß der Risikoeinstufung (z.b. Annahme, Minderung, Verlagerung, Vermeidung) Entscheidungen zu treffen. Der Prozess sollte festgelegt werden in einem dokumentierten Verfahren und sollte Methoden wie dokumentiertes Risikomanagement, FMEA und Lenkung von Gegenmaßnahmen beinhalten. Die Risikoeinstufung oder die Chancenverbesserung muss aufgezeichnet und in angemessener Form an alle Beteiligten berichtet werden. Die Wirksamkeit des Reaktionsplans muss regelmäßig bewertet werden (z. B. während der Projektbewertungen). Die Ergebnisse der Risikobewertung müssen während der gesamten Projektdurchführung regelmäßig bewertet und aktualisiert werden. Darüber hinaus sollten sie zusammengefasst und zu Lernzwecken überall im Unternehmen kommuniziert werden. Die Organisation muss nachweisen, dass sie - ein angemessenes Bewusstsein zur Kritizität des Produktes und seiner Funktion sowie zum Produktrisiko innerhalb des Systems/Fahrzeuges, von dem es ein Teil ist, hat, - über angemessene Verfahren verfügt, um Maßnahmen zur Risikominderungen abzusichern. Seite 12

Definition des Risikobegriffs Hinter allen Handlungen, Erfolgen und Strategien stecken fast immer Chance und gleichzeitig Bedrohungen, wenn auch in durchaus unterschiedlichem Ausmaß. Erfolge kommen aus der Nutzung von Chancen, Erfolge können bei Nichtbeachtung von Bedrohungen zunichte gemacht oder geschmälert werden. Anders ausgedrückt sind Gewinnchancen somit stets und untrennbar mit Verlustmöglichkeiten verknüpft und umgekehrt. Daher Risiko- (und Chancen)management! Seite 13

Externe Anforderungen Risiko- und Chancenmanagement macht daher nicht nur aus den zuvor getroffenen Überlegungen Sinn, es gibt auch eine Reihe externer Anforderungen, die Risiko- und Chancenmanagement fordern: ISO 9001:2008 Qualitätsnorm mit Risikomanagement-Aspekten IRIS (Risiko- und Chancenmanagement eigener Teil 7.7.8 sowie ständiger Begleiter bei vielen Themen) UGB (Unternehmensgesetzbuch) Basel II Seite 14

Definition des Risikomanagement-Begriffs die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit Risiken unternehmerischer Betätigung. Risikomanagement ist ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Management unternehmerischer Risiken und Chancen umfasst. Seite 15

Definition des Risikomanagement-Begriffs Oder einfacher gemäß ONR 49000: Prozesse und Verhaltensweisen, die darauf ausgerichtet sind, eine Organisation bezüglich Risiken zu steuern. Die Umsetzung des Risikomanagements führt zu einer Risikokultur in der Organisation. Seite 16

Ziele des Risikomanagements Kontrollierter, dokumentierter und effektiver Umgang mit Risiken Rechtzeitige Erkennung und Umsetzung von Chancen damit verbunden Sicherung der Existenz des Unternehmens Sicherung des Unternehmenserfolges Aktive Steuerbarkeit des Unternehmens Reduktion der erforderlichen Korrekturkosten Seite 17

Ziele des Risikomanagements Sicherstellung: (Bestmögliche) Beherrschung (jedoch nicht vollständiger Ausschluss!) der vorhandenen Risiken Gesamtrisiko des Unternehmens muss in einem sinnvollen Verhältnis zum Risikopuffer (z.b. Eigenkapital) stehen Seite 18

Themenbereiche des Risikomanagements Strategische Risiken Erfolgsrisiken, die für den Unternehmensbetrieb eine existenzielle oder zumindest wesentliche Gefährdung darstellen : Management, Image, Ernstfälle, Krisen, Notfälle, Kontinuität, Finanzielle Risiken Finanzierung, Kredite, Liquidität, Zinsänderung, Währungen, Operationale Risiken Sämtliche betriebliche Risiken, die in einem Unternehmen einen Schaden verursachen können : Absatz, Ausführung (Projekte, ), Produkte, Recht, Seite 19

Themenbereiche des Risikomanagements Organisatorische Risiken Personal, Technik, Sicherheit, EDV, Externe Risiken Lieferanten, Umwelt, Länder, Mitbewerb, Systemische Risiken Wenn sich eine Entwicklung in einem System aufgrund der dynamischen Wechselwirkungen zwischen den Elementen des Systems auf das gesamte System (negativ) auswirkt Seite 20

Themenbereiche des Risikomanagements Risikomanagement auf Unternehmensebene Strategische, finanzielle und operationale Risiken Risikomanagement in Projekten Finanzielle und operationale Risiken Krisen- und Notfallmanagement Management von drohenden oder bereits eingetretenen Krisen oder Notfällen Kontinuitätsmanagement Herstellung der operationalen Betriebsfunktionen bei Unterbrechung oder Verlust Seite 21

Exkurs: Risikomanagement in der EDV Risiken in der EDV Lebenszyklus-Modell Projekt-Risiken Operative Risiken Informations-Sicherheits-Management Seite 22

Exkurs: Risikomanagement in der EDV Wo begegnen uns Risiken in der EDV? In allen Phasen des Lebenszyklus In Bezug auf alle EDV-Elemente und deren Schnittstellen Bei der Durchführung von Projekten (Entwicklung und Infrastruktur) Strategische Risiken Operative Risiken Technologische Risiken Seite 23

Exkurs: Risikomanagement in der EDV Typische Risiken in der EDV: Verfügbarkeit von Informationen und Systemen (Service Management) Missbrauch von Informationen (Datenschutz) Verlust von Informationen (Datensicherheit) Seite 24

Exkurs: Risikomanagement in der EDV Auszug möglicher Risiken und Ursachen: Seite 25

Exkurs: Risikomanagement in der EDV Explosion eines Akkus: Seite 26

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme Seite 27

Der Risikomanagement-Prozess Im Vorfeld: (Erst-)Definition der Risikopolitik Seite 28

Die Risiko-Identifikation (1) In diesem Schritt werden Risiken identifiziert und festgehalten. Wie alle Aktivitäten des gesamten Prozesses, wird auch diese permanent während des gesamten Verlaufs durchgeführt. Bei Projekten soll die Risikoidentifikation zusätzlich vor dem Projektstart durchgeführt werden, um im Vorfeld die Risikogefährdung des Projektes abschätzen zu können (im Idealfall schon in der Angebotsphase) Seite 29

Die Risiko-Identifikation (1) In der Praxis existieren unterschiedliche Methoden, um Risiken zu identifizieren, wie beispielsweise: Strukturierte Analyse von Dokumenten, FTA, FMEA, HAZOP, Durchführung von moderierten Risiko-Workshops mithilfe von Brainstorming, SWOT-Analyse, Mind-Mapping, Clustering, Führen von Interviews mit Betroffenen (Kunden, Lieferanten, etc.) und Mitarbeitern gleicher und verschiedener Hierarchieebenen Ausfüllen von Fragebogen und Checklisten von ausgewählten Mitarbeitern Einsehen/Verwenden einer zentralen Risikodatenbank Stakeholder-Analysen, Szenario-Analysen, Monte-Carlo-Simulation etc. Seite 30

Die Risiko-Analyse und Bewertung (2) Die Risikoanalyse und Bewertung dient der Quantifizierung und (möglichst) korrekten Einschätzung der Risiken. Dabei werden die im vorigen Schritt identifizierten Risiken nach Eintrittswahrscheinlichkeit und Ausmaß bewertet und anschließend priorisiert. Dafür ist es erforderlich, jedes einzelne Risiko nach seinen Auswirkungen hinsichtlich Kosten, Termin, Funktionalität und/oder Qualität einzuordnen und entsprechende Eintritts-Indikatoren festzulegen. Seite 31

Die Risiko-Analyse und Bewertung (2) Um die Quantifizierung der Risiken zu ermöglichen, müssen vorher pro Bereich entsprechende Skalenwerte festgelegt werden, z.b.: Seite 32

Die Risiko-Analyse und Bewertung (2) Wurden die Risiken nach Eintrittswahrscheinlichkeit und Auswirkung bewertet, wird nun pro Risiko die Risikokennzahl (RKZ) berechnet und ein Eintrittsindikator ermittelt, wobei gilt: Risikokennzahl = Eintrittswahrscheinlichkeit x Auswirkung Dabei ist die Auswirkung üblicherweise die Summe aus finanzieller, terminlicher und qualitativer Auswirkung, also Risikokennzahl = W x (A F + A T + A Q ) Seite 33

Die Risiko-Analyse und Bewertung (2) Beispiel einer Risikobewertung: Seite 34

Die Risiko-Analyse und Bewertung (2) Das Ergebnis der Bewertung ist eine so genannte Risiko-Matrix. Diese kann entweder als Auflistung aller vorhandenen Risiken nach Risikokennzahl oder in Form einer Matrix mit den Achsen Wahrscheinlichkeit und Ausmaß dargestellt werden: Seite 35

Die Risiko-Analyse und Bewertung (2) Neben der Analyse von Risiken kann nun auch ein eventueller Zusammenhang mit verbundenen Chancen analysiert werden. Falls durch ein vermeintliches Risiko auch Chancen entstehen oder beeinflusst werden, werden diese ebenfalls bewertet und mit dem Risiko abgewogen. Der gleiche Prozess gilt ebenso umgekehrt, nämlich für die Analyse und Bewertung von Chancen und die Bestimmung von Abhängigkeiten dazugehöriger Risiken. Seite 36

Die Risiko-Handhabung (3) Im Anschluss an die Risikobewertung gilt es nun, Risiken zu handhaben und Maßnahmen festzulegen, um die Risiken zu bekämpfen. Hierfür stehen insgesamt fünf Strategien zur Verfügung: 1. Risikoverminderung oder reduzierung (Minderung der Eintrittswahrscheinlichkeit und / oder des Schadensausmaßes Schutzmaßnahmen, Absicherung, ) 2. Risikovermeidung (Alternativlösungen, Weitergabe an Sublieferanten; Extremfall der Risikovermeidung: eliminieren oder umgehen des Risikos beispielsweise durch Abbruch eines Projekts oder Abschaffung eines Systems) Seite 37

Die Risiko-Handhabung (3) 3. Risikoüberwälzung oder verlagerung (Übertragung des Risikos auf Dritte, beispielsweise Outsourcing oder Lieferanten) 4. Risikostreuung oder versicherung 5. Risikoselbsttragung oder -reserve (bewusstes Eingehen des Risikos = Akzeptanz, da dessen Vermeidung nicht möglich ist evtl. Bildung von Rückstellung zum Schadensausgleich) das Management muss das Restrisiko verantworten können und wollen! Seite 38

Die Risiko-Handhabung (3) Allen Maßnahmen gemeinsam ist, dass sie zunächst Geld und/oder Zeit kosten daher ist die Wirksamkeit der Maßnahmen zu bewerten und regelmäßig zu prüfen! Allerdings kostet der Eintritt einer Bedrohung (oder sogar eines Notfalls oder eine Krise) oft wesentlich mehr Geld und Zeit als eine gezielte Prävention. Seite 39

Die Risiko-Handhabung (3) Es ist daher empfehlenswert, die Reihenfolge der Maßnahmen gemäß der Priorisierung der Risiken (bedrohlichstes Risiko zuerst) festzulegen. Dabei sollte versucht werden, zu jedem bedeutenden Risiko einen Maßnahmenkatalog aufzustellen, und die unterschiedlichen Maßnahmenalternativen im Bezug auf Ihre Wirkung zu bewerten (z.b. Reduzierung der Eintrittswahrscheinlichkeit um 10%). Seite 40

Die Risiko-Handhabung (3) Das Ergebnis ist eine Wirksamkeitsmatrix der unterschiedlichen Maßnahmen, die wie folgt aussehen kann: Seite 41

Die Risiko-Handhabung (3) Es empfiehlt sich ferner, als Vergleichszahl die Risikowirkung und den ROI (Return Of Invest) der Maßnahme zu berechnen, wobei gilt: Risikowirkung = Risikofaktor vor Maßnahme Risikofaktor nach Maßnahme Hebelwirkung (ROI) = Risikowirkung / Aufwand Also: je mehr Risiken mit einer Maßnahme reduziert werden können und je geringer der Aufwand dafür ist, desto effektiver ist die Maßnahme Seite 42

Die Risiko-Handhabung (3) Als Indikator, welche Maßnahme am zielführendsten ist, dient ferner der Vergleich zwischen korrektiven Kosten (d.h. Aufwänden, die zu tätigen sind, wenn das Risiko eintritt) und präventiven Kosten (d.h. Aufwänden, die für die Umsetzung einer Maßnahme anfallen) Weiterhin erfolgt in diesem Schritt eine Neubewertung der Risiken unter Einbeziehung der beschlossenen Maßnahmen. Daraus resultiert eine aktualisierte Risiko-Matrix. Seite 43

Die Risiko-Handhabung (3) Seite 44

Die Risiko-Überwachung (4) In diesem Schritt ist es wichtig, neben den identifizierten Risiken auch die Vorgänge (z.b. in einem Projekt) permanent zu überwachen. Nur so kann im Falle einer Änderung von bereits identifizierten bzw. bei neuen Risiken schnell reagiert werden. Außerdem sind die Eintrittsindikatoren regelmäßig zu prüfen. Auch die getroffenen Maßnahmen sind stetig auf ihre Wirksamkeit zu überprüfen. Hier kann die bereits im letzten Prozessschritt erläuterte Aufwands-Wirksamkeitsanalyse zum Einsatz kommen Seite 45

Die Risiko-Archivierung (5) Die Aktivität Archivierung versteht sich nicht als eigener Prozessschritt. Vielmehr ist sie eine abschließende Tätigkeit und stellt die Schnittstelle zu anderen Risikobewertungen her. Wenn ein Risiko eliminiert, bzw. bereits eingetreten und somit nicht mehr aktuell ist, sollte es zusammen mit den zugehörigen Maßnahmen archiviert werden Seite 46

Die Risiko-Archivierung (5) Dabei sollte eine abschließende Bewertung durchgeführt werden, in der u. a. folgende Fragen beantwortet werden (kontinuierliche Verbesserung): Wie hoch waren die tatsächliche Eintrittswahrscheinlichkeit und das tatsächliche Ausmaß im Gegensatz zum geschätzten Wert? Wie hoch war die tatsächliche Wirkung der Maßnahmen im Vergleich zum geschätzten Wert? Welche Maßnahmen haben sich in Bezug auf das Risiko als besonders wirksam herausgestellt? Welcher Aufwand war schlussendlich für die Durchführung der Maßnahme erforderlich? Seite 47

Die Einbettung in Managementsysteme Risikomanagement ist eine Aufgabe der obersten Leitung und der Führungskräfte. Primäre Aufgabe des Risikomanagements ist es, zur Zielerreichung der Organisation beizutragen. Dazu gehören strategische, operationelle, finanzielle Ziele genauso wie Ziele im Bereich der Sicherheit von Menschen und der Umwelt. Gesamtrisikosteuerung Management Informationssicherheit, Managementsystem etc. Projekte, Service/Dienstleistung, Produkte, Fachlich Operativ Seite 48

Die Einbettung in Managementsysteme Ein integriertes Risikomanagement verbindet und koordiniert den Top-down- Ansatz und den Bottom-up-Ansatz: (aus ONR 49000) Seite 49

Die Einbettung in Managementsysteme Managementsysteme ordnen die Steuerungs- und Kontrollmechanismen. Sie betreffen entweder einzelne Teilgebiete, z.b. das Qualitäts-Managementsystem (ISO 900x) das Umwelt-Managementsystem (ISO 1400x) das Sicherheits- bzw. Arbeitsschutz-Managementsystem (OHSAS 18001) das Informationstechnologie-Managementsystem (ISO 27001) oder sie haben die Aufgabe, als integriertes Managementsystem alle Aspekte der Führung ganzheitlich zu betrachten und die verschiedenen Anforderungen in einer gemeinsamen Struktur zusammenzufassen, um Synergien zu nutzen und Ressourcen zu bündeln. Seite 50

Exkurs: Risikomanagement in der Software-Entwicklung Typische Risiken in der Software-Entwicklung sind Risiko SCHEDFLAW TURNOVER INFLATION SPECFLAW PRODUCTIVITY Beschreibung Error in original sizing (fehlerhafter Zeitplan) Effect of employee turnover (Mitarbeiter-Fluktuation) Requirements function growth (Änderung der Anforderungen) Failure to reach consensus (Fatal Spezifikations-Kollaps ) Effect of productivity variance (Mangelnde Arbeitsleistung) Seite 51

Exkurs: Risikomanagement in der Software-Entwicklung Verlauf der Wahrscheinlichkeit der Fertigstellung: Seite 52

Exkurs: Risikomanagement in der Software-Entwicklung Übliche Maßnahmen zur Risiko-Reduzierung: Bestmögliches Requirements-Engineering Methodische Aufwands-Schätzungen Agile Software-Entwicklungs-Methoden (wenn angebracht) Begleitendes Qualitäts-, Risiko- und Projektmanagement Konsequentes testen von Software Ausbildung und Bewusstsein der Mitarbeiter Seite 53

3. Was ist der Nutzen von Risiko- und Chancenmanagement? Vorteile und Gefahren Nutzen für das Unternehmen Nutzen für Projekte Nutzen für den Einzelnen Seite 54

Vorteile und Gefahren von Risikomanagement Seite 55

Einführung von Risikomanagement Geeignete Sichtweisen und Bewusstsein schaffen Bestandserhebung auf breiter Basis durchführen Risiken geeignet analysieren Risikoanalyse in Teams durchführen Risiken bewusst und angemessen darstellen Risikokatalog-/datenbank erstellen Risiken geeignet managen Regelmäßige Prüfung + Reporting einführen Steuerungskreise definieren Maßnahmen und Risikopolitik regelmäßig prüfen Seite 56

Nutzen von Risikomanagement für Unternehmen Mit der systematischen Risikobeurteilung werden Schwachstellen und Gefahren im Unternehmen ermittelt und nach zu bestimmenden Standards bewertet. Dies ist unter anderem Grundlage für ein erfolgreiches Krisenmanagement. Die Früherkennung hilft Risiken zu mindern und Kosten zu sparen, was sich positiv auf das Betriebsergebnis auswirken wird. Ein positives Betriebsergebnis erhöht die Wahrscheinlichkeit die Unternehmensziele zu erreichen und sichert die Investitionschancen. Seite 57

Nutzen von Risikomanagement für Unternehmen Der Nutzen eines Risikomanagements ist eine bessere Planungs- und Steuerungsmöglichkeit, eine bessere Kontrolle und bei guter Vorbereitung ein besseres Rating und somit z.b. günstigere Konditionen bei der Bank. Es kann also ein direkter positiver monetärer Erfolg resultieren. Risikomanagement ist demnach kein kostspieliger Hygienefaktor. Es kann der Beginn einer nachhaltigen Wertsteigerungsstrategie des Unternehmens werden. Seite 58

Nutzen von Risikomanagement für Projekte Bessere Abwicklung more in time, more in budget Bessere Vermeidung von typischen Problemen Weniger Stress bei Eintritt von Risiken Wahrnehmung von Chancen Zufriedenere Kunden Professionelles Image nach außen Umwandeln von Gefährdungen in Chancen, z.b. durch Kreativitätstechniken Seite 59

Nutzen von Risikomanagement für den Einzelnen Weniger Stress bei Eintritt von Risiken Schaffung von Zeitressourcen für andere Aufgaben Bessere Work-Life-Balance Guter Ruf Bessere Zielerreichung Beitrag zur nachhaltigen Sicherung des Unternehmens Seite 60

Die Realität des Risikomanagements Welche Erfahrungen konnten Sie bereits mit Risikomanagement machen? Gibt es durchgängige Risikomanagement-Prozesse? Werden die Risiken korrekt dargestellt und regelmäßig reportet? Welchen Stellenwert hat das Risikomanagement im Unternehmen? Wie gehen Mitarbeiter und Management mit aufgezeigten Risiken um? Seite 61

4. Diskussion, Fragen, Danke für Ihre Aufmerksamkeit! Seite 62

A. Anhang IT-System Internet Standleitung VoIP-Server Firewall Bandsicherung VoIP-Telefone Router File- und Domainserver Printserver VCS-Server VPN-Server Drucker Drucker/Scanner Arbeitsplatz-PCs Laptops USB-Stick Seite 63

A. Anhang IT-System Seite 64

A. Anhang IT-System -- Ende -- Seite 65

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback