Fortentwicklung des Risikomanagements bei den Verhandlungen über die ISO 31000

Risikomanagement Fortentwicklung des Risikomanagements bei den Verhandlungen über die ISO 31000 Dr. Klaus Bockslaff Hannover, den 28. November 2014

Agenda 1. Bedeutung des Risikomanagements 2. Geschichte des Risikomanagements 3. Aktueller Status 4. Laufende Verhandlungen in den ISO Gremien 5. Fortentwicklung des Risikomanagements 6. Bedeutung für den Sicherheitsmanager 7. Zusammenfassung 2

Agenda 1. Bedeutung des Risikomanagements 2. Geschichte des Risikomanagements 3. Aktueller Status 4. Laufende Verhandlungen in den ISO Gremien 5. Fortentwicklung des Risikomanagements 6. Bedeutung für den Sicherheitsmanager 7. Zusammenfassung 3

Gesamtrisiko Grundlagen des Risikomanagements Vorgaben des Risk Management-Framework durch das Management Risikoanalyse Identifizieren aller Risiken Risikobewertung nach Kategorien Schwache Signale beobachten vermeiden vermindern überwälzen Gegenmaßnahmen zuordnen finanzieren Management-Kontrollen zuordnen Risikocontrolling; Ergebnisnachweis Eskalation/ Entscheidung Reporting/ Kommunikation 4

Risikomanagement - nichts neues Das KonTraG konkretisiert Haftungsregelungen, ansonsten: Jedes unternehmerische Handeln ist mit Risiken verbunden Risikohandhabung bildet den Kern unternehmerischer Tätigkeit Deshalb existiert in jedem Unternehmen i. d. R. bereits eine Vielzahl von Teilsystemen eines RM-Systems, z.b. - Strategische Planung - Controlling - Versicherungsmanagement - Treasury - Projektmanagement - Qualitätsmanagement usw. Arabische Weisheit: Vertrau auf Allah Binde dein Kamel an 5

Definition Risiko Verismo bisher: Unter Risiko verstehen wir die Möglichkeit der Nicht-Erfüllung unternehmerischer Ziele in Verbindung mit Verlustgefahr und Fehlentscheidung ONR 49000: Begriff des Risikos: Ausgang eines Ereignisses oder einer Entwicklung, welcher die Ziele beeinträchtigt. Auswirkungen können auf unterschiedliche Art und Weise die Ziele beeinträchtigen: Ein Ereignis oder eine bestimmte Veränderung von Umständen (Entwicklung) kann zu vielfältigen Auswirkungen führen. Eine Auswirkung kann gewiss oder ungewiss sein und sich positiv (Gewinn, Vorteil, Nutzen) oder negativ (Verlust, Nachteil, Schaden) auf Ziele einer Organisation auswirken. Auswirkungen können quantitativer oder qualitativer Art sein. Zu den besonderen Auswirkungen von Risiken zählen Personen-, Sach- und Vermögensschäden, unabhängig davon, ob und wie sie versichert werden können. 6

Definition Risikomanagement Unter Risikomanagement verstehen wir die Gesamtheit der organisatorischen Regelungen zur Erkennung und zum Umgang mit Risiken unternehmerischer Betätigung mit dem Ziel der Sicherung von Unternehmensbestand und Unternehmensentwicklung Unter Risikomanagement versteht die ONR 49000 die Prozesse und Verhaltensweisen, die darauf ausgerichtet sind, eine Organisation bezüglich Risiken zu steuern Die Umsetzung des Risikomanagements führt zu einer Risikokultur in der Organisation. 7

Auswirkung auf Unternehmensziele Risikoportfolio Die Risiken werden nach Eintrittswahrscheinlichkeit und Auswirkung auf die Unternehmensziele bewertet sehr hoch hoch gering Bereich nicht akzeptabler Risiken Das Risikoportfolio stellt einen umfassenden Analyseund Handlungsrahmen für das Risikomanagement bereit Definition des Bereiches nicht akzeptabler Risiken (-> Risikopolitik) Visualisierung der identifizierten Risiken im Risikoportfolio Priorisierung der Risiken i.w. anhand der Erwartungswerte (Auswirkung auf Unternehmensziele * Eintrittswahrscheinlichkeit) sehr gering sehr gering gering hoch Eintrittswahrscheinlichkeit sehr hoch Das Risikoportfolio bildet den Ausgangspunkt für die unternehmensindividuelle Definition der Risikostrategien 8

Agenda Tag 1 1. Bedeutung des Risikomanagements 2. Geschichte des Risikomanagements 3. Aktueller Status 4. Laufende Verhandlungen in den ISO Gremien 5. Fortentwicklung des Risikomanagements 6. Bedeutung für den Sicherheitsmanager 7. Zusammenfassung 9

Geschichte des Risikomanagements Lloyd s Coffee House Satzungen der alten Gilden 10

Entwicklung des Risikomanagements Das Risikomanagement wird als Risiko gestaltende Führungsfunktion verstanden 3. Umfassendes Risikomanagement (heutige Sicht) 2. Versicherungsmanagement (nach 1950) Risikostrategie: Risiken vermeiden reduzieren 1. Versicherungseinkauf (vor 1950) abwälzen akzeptieren aktives Risikomanagement (ursachenbezogen) passives Risikomanagement (wirkungsbezogen) Das Risikomanagement ist zunehmend strategisch ausgerichtet. Es werden sämtliche Risiken behandelt, die für den Erhalt und die Wertsteigerung des Unternehmens relevant sind. 11

Agenda 1. Bedeutung des Risikomanagements 2. Geschichte des Risikomanagements 3. Aktueller Status 4. Laufende Verhandlungen in den ISO Gremien 5. Fortentwicklung des Risikomanagements 6. Bedeutung für den Sicherheitsmanager 7. Zusammenfassung 12

years after Einführung des KonTraG Ein paar Gedanken zur Einordnung des Risikomanagements Spektakuläre Fälle haben letztlich zur gesetzlichen Verankerung des Risikomanagements geführt (insbesondere KonTraG, Mai 1998) Im Kern erfordert aber jede unternehmerische Tätigkeit den bewussten Umgang mit Risiken und das Abwägen von Risiko & Chance Risikomanagement ist somit integraler Bestandteil jedes unternehmerischen Handelns Ziel des Risikomanagements kann dann auch nicht die Vermeidung sämtlicher Geschäftsrisiken sein Risikomanagement erfordert jedoch die genaue Kenntnis aller auf das Unternehmen wirkenden Risiken 13

Quo vadis Risikomanagement? Erfahrungen aus Sicht von Prüfern & Beratern: Oft stellen die identifizierten Risiken nur eine retrospektive Abbildung von Erfahrungen aus der Vergangenheit dar (mangelhafte Erfüllung der Frühwarnfunktion) Risikobewusstsein der Mitarbeiter ist häufig nur unzureichend ausgeprägt Die Dokumentation des Risikomanagementsystems und der konkreten Risiken ist in vielen Fällen noch unvollständig Viele junge Unternehmen verfügen über keine oder nur rudimentär ausgeprägte Informations- und Steuerungssysteme (z.b. Controlling) Neben der Erfüllung gesetzlicher Anforderungen (KonTraG) steht zunehmend der Nutzen von Risikomanagement im Mittelpunkt Zum jetzigen Zeitpunkt stellt sich in vielen Unternehmen die Frage nach der Optimierung vorhandener Risikomanagementsysteme 14

Lage des Risikomanagements Untersuchung der OECD im Jahre 2013 über den Status des Risikomanagements Untersuchung in 27 Ländern, durchgeführt 2013 Detaillierte Untersuchung der Situation in Norwegen, Singapur und der Schweiz Wichtigste Ergebnisse für das Risikomanagement: Kosten von Fehlern oder Versäumnissen werden oft deutlich unterschätzt Die meisten Unternehmen der Meinung sind, dass das RM eine ausschliessliche Verantwortung des Linienmanagements Beim RM sollten auch nicht-finanzielle, insbesondere strategische und operationelle Risiken unbedingt berücksichtigt werden Risiken aus dem Oursourcing und Supply-Chain-Risiken verdienen in allen Sektoren mehr Aufmerksamkeit Unternehmensleitung sollte den potentiell "katastrophalen" Risiken ausreichende Aufmerksamkeit schenkt, auch wenn diese unwahrscheinlich sind Staatliche Unternehmen und Einrichtungen sollten ähnliche Risikomanagement-Praktiken verfolgen wie private Unternehmen. 15

Lage des Risikomanagements Untersuchung der OECD im Jahre 2013 über den Status des Risikomanagements Wichtigste Fehler im Risikomanagement: Risiken werden nicht auf der Ebene des Gesamtunternehmens behandelt und nicht mit der Unternehmensstrategie abgestimmt waren. Die Regulatoren und die normenschaffenden Gremien haben nicht wirklich verstanden, dass Risikoübernahme zwar eine treibende Kraft des Geschäfts darstellt. Wirksames RM verlangt einen unternehmensweiten Ansatz und nicht nur eine Betrachtung innerhalb einer einzelnen Geschäftseinheit. Unternehmensstrategie, Risikoappetit und interne Risikomanagement-Strukturen sind aufeinander abzustimmen. Der Chief Risk Officer bzw. der Risikomanager muss direkt und unabhängig der obersten Leitung berichten können. Der Risikomanagement-Prozess und die Ergebnisse von Risikobeurteilungen sind angemessen offenzulegen. Risikofaktoren sind transparent und verständlich zu kommunizieren. 16

Lage des Risikomanagements Untersuchung der OECD im Jahre 2013 über den Status des Risikomanagements Beurteilung von ISO 31000 Es gibt ein globales Interesse in diesem internationalen Standard Laut OECD ist: ISO 31000 de-facto der «Weltstandard» für Risikomanagement geworden Begriffe und Definitionen sind noch nicht genug harmonisiert Es gibt zu viele SILOS für ähnliche Zwecke Visionen und Konzepte müssen zusammengebracht werden Verbindungslinien und Brücken müssen gebaut werden ISO 22301 ISO Guide 73 Begriffe Notfall- und Krisenmanagement ISO 27001 ISO 31000 principles, framework and process ISO 9001 weitere ISO 31010 17

Agenda 1. Bedeutung des Risikomanagements 2. Geschichte des Risikomanagements 3. Aktueller Status 4. Laufende Verhandlungen in den ISO Gremien 5. Fortentwicklung des Risikomanagements 6. Bedeutung für den Sicherheitsmanager 7. Zusammenfassung 18

Stammbau der aktuellen Risikomanagementstandards Quelle: nach Dr. Peter Winter, Zürich 2009 ONR 4900x 2014 2015 ff Weitere ISO Normen Weitere ISO Normen Weitere ISO Normen Weitere ISO Normen 19

Auswahl internationaler Risikomanagementstandards COSO ERM AS / NZS 4360 Risk Management ONR 49000 Auswahl weiterer Standards zum Risikomanagement 20

Risikomanagement nach ISO 31000 Risikomanagement nach ISO 31000 fokussiert nicht nur die strategischen Risiken (Produkte, Technologien, Märkte, Kunden und die Veränderungen der Umfeldfaktoren), es schließt auch alle nachgelagerten Risiken auf operationeller und prozessualer Führungsebene ein. 21

ISO 31000 Überblick über den Zusammenhang zwischen Risikomanagement Prinzipien, dem Framework und dem Prozess 22

Methoden der Risikobewertung vertieft in ISO 31010 Klassische Methoden zur Bewertung (1/2) Risikolandschaft Critical Incidents Reporting FMEA Anwendung Organisationen und Systeme (Produkte, Projekte, Prozesse, etc.) Luftfahrt, Arbeitssicherheit (Chemie), Gesundheitswesen Risikobegriff R = f (W;A) Fehler, Ereignis, Schaden Komplexe technische Systeme, Analyse von Design / Prozess, Autoindustrie RPZ = f (W;A;E) RPZ (Risikoprioritätszahl) Ansatzpunkt Credible Worst Case Szenario Freiwillige Meldung, Straffreiheit Funktion, Fehlfunktion Identifikation Generische Gefahrenliste Effektive Wahrnehmung Systemelemente (Design und Prozess) Bewertung Risiko-Toleranzgrenze Häufigkeitsauswertung Punktebewertung durch RPZ Aufwand Je nach Tiefe der Analyse mittel bis hoch Hoch, braucht Vertrauensatmosphäre Je nach Tiefe der Analyse mittel bis hoch 23

Methoden der Risikobewertung vertieft in ISO 31010 Klassische Methoden zur Bewertung (2/2) HAZOP Value at Risk Fehlerbaum, Auswirkung Anwendung Komplexe technische Systeme (Chemieanlagen) Unternehmen, Finanzindustrie (Banken und Versicherung) Komplexe technische Systeme, Störfallvorsorge Risikobegriff R = f (W;A) Wahrscheinlichkeitsverteilung Wahrscheinlichkeit des TOP- Events Ansatzpunkt Funktion, Fehlfunktion, Leitworte Konfidenzintervalle TOP Event Identifikation Systemelemente (Design) Nicht unterstützt Ursache-Wirkungs-Kette Bewertung Risiko-Toleranzgrenze i.d.r. 95 / 99 % Risiko-Toleranzgrenze Aufwand hoch Sehr hoch Sehr hoch Weitere Einzelheiten werden in der ISO 31010 diskutiert Nach: Bruno Brühwiler 24

Agenda 1. Bedeutung des Risikomanagements 2. Geschichte des Risikomanagements 3. Aktueller Status 4. Laufende Verhandlungen in den ISO Gremien 5. Fortentwicklung des Risikomanagements 6. Bedeutung für den Sicherheitsmanager 7. Zusammenfassung 25

Weiterentwicklung des Risikomanagements nach ISO 31000 Ansatzpunkte und Aktivitäten Weiterentwicklung des formalen Risikomanagements Kontinuierliche, schrittweise Verbesserung von Effizienz und Aussagekraft des bestehenden RM-Instrumentariums Funktionales, flexibles Risikomanagement EDV-Unterstützung des Risikomanagements Erhöhung der Aussagekraft, verbesserte Zukunftsorientierung Nutzung der ISO 31000 Familie für die Ausgestaltung des RM in Managementsysteme Integrierte Unternehmenssteuerung und Chancen-/ Risiko-Optimierung Entwicklung spezialisierter Instrumente für kritische Funktionen und Prozesse (z.b. Treasury, Personal, Sicherheits-, Kontinuitäts- und Krisenmanagement) Implementierung von Tools zur Unterstützung des gesamten RM-Prozesses von der Risikoidentifikation bis zum Risikoreporting Implementierung echter Frühwarnsysteme zur Prognose zukünftiger Ereignisse/ Entwicklungen, die nachhaltigen Einfluss auf den Unternehmenserfolg haben können????????????? Integration der vorhandenen Führungssysteme durch eine ganzheitliche, strategieorientierte Sichtweise auf Basis der Balanced Scorecard 26

Beispiel: Supply Chain Security Vorschlag für ein new work item proposal 27

Beispiel ISO Guide 73 Begriffe ISO 27001 ISO 22301 Notfall- und Krisenmanagement ISO 9001 ISO 31000 principles, framework and process ISO 31010 Security Management Supply Chain Security 28

Agenda 1. Bedeutung des Risikomanagements 2. Geschichte des Risikomanagements 3. Aktueller Status 4. Laufende Verhandlungen in den ISO Gremien 5. Fortentwicklung des Risikomanagements 6. Bedeutung für den Sicherheitsmanager 7. Zusammenfassung 29

Beispiele für die Fortentwicklung des Risikomanagements: Grundstrukturen der Konzernsicherheit Vernetzung mit dem Risikomanagementprozess des Unternehmens Personelle Sicherheit Anforderungen aus den Geschäftsprozesse des Unternehmens Konzernsicherheit Sicherheitspolitik Organisation Kernprozesse Physische Sicherheit Schutz der Infrastruktur Informationssicherheit Sicherheit bei Produkten und Dienstleistungen Markenschutz Sicherstellung der Handlungsfähigkeit bei krisenhaften Situationen Optimierung der Umsetzungsprozesse Aktive Steuerung der Schadenverhütung Aktive Kooperation mit dem Versicherer 30

Bedeutung des Risikomanagements für den Sicherheitsmanager Thesen: 1. Die Aufgabe des Sicherheitsmanagers wird zunehmend in dem Aufbau von Sicherheitsmanagementsystemen bestehen 2. Für Sicherheitsmanagementsysteme gibt es derzeit keine ISO Norm 3. In der Projektpraxis haben wir solche Systeme entwickelt, die sich an dem Plan Do Check Act Muster ausrichten 4. Die ISO 31000 ist der Ausgangspunkt für den Aufbau dieser Systeme 5. Das Verständnis der grundlegenden Aussagen des Risikomanagements und der entsprechenden ISO Normen ist Voraussetzung für eine erfolgreiche Betätigung in diesem Feld 6. In aktuellen Ausschreibungen für Stellen in diesem Gebiet werden Kenntnisse in diesem Gebiet sehr klar gefordert Sicherheitsverbesserung 25% 25% Act Plan Check Do 25% 25% Sicherheitsprüfung Projektbeispiele Sicherheitsplanung Sicherheitslenkung 31

Agenda 1. Bedeutung des Risikomanagements 2. Geschichte des Risikomanagements 3. Aktueller Status 4. Laufende Verhandlungen in den ISO Gremien 5. Fortentwicklung des Risikomanagements 6. Bedeutung für den Sicherheitsmanager 7. Zusammenfassung 32

Zusammenfassung 1. Die Bedeutung des Risikomanagements hat sich in den vergangenen Jahren seit Einführung des KonTraG in Deutschland gefestigt. 2. Es gibt zunehmend Haftungsfälle, bei denen die Geschäftsleitung wegen Verletzung der Sorgfalt eines ordentlichen Kaufmanns in Anspruch genommen wird. 3. Die Akzeptanz der ISO 31000 hat in den letzten Jahren international zugenommen. 4. Die ISO 31000 Familie wird ständig, fast inflationär, um weitere Themen erweitern. Kontinuitätsmanagement Disruption related Risks Sicherheitsmanagement Supply Chain Security 5. Für den Sicherheitsmanager ist es auch für die innerbetriebliche Akzeptanz erforderlich, die Grundlagen des Risikomanagements und der aktuellen Standards zu verstehen. 6. Diese Anforderungen gelten insbesondere im internationalen Geschäft, da Risikomanagement nach ISO 31000 insbesondere außerhalb Europas zunehmende Bedeutung hat 33

Wir über uns Unternehmensdarstellung Die Verismo GmbH ist eine schweizerische Beratungsgesellschaft auf dem Gebiet des ganzheitlichen Risikomanagements mit Firmensitz in Küsnacht/Schweiz und bei Mannheim. Ihr Geschäftszweck ist die Beratung von Unternehmen auf dem Gebiet der betrieblichen Risiken. Ihre Schwerpunkte liegen in den Bereichen der integrierten Managementsysteme, des unternehmensweiten Risikomanagements, des Kontinuitäts- und Krisenmanagements, der Informationssicherheit, der Internen Revision, der Mediation, der Kommunikation, sowie der Fortentwicklung der erforderlichen Methodik. Gründer und Geschäftsführer ist Dr. jur. Klaus Bockslaff. Er ist erfahrener Risikomanager und war vor seiner Selbständigkeit u.a. Leiter der Abteilung Risikomanagement der R+V Versicherung und Senior Manager bei Arthur Andersen bzw. Ernst & Young AG. Weitere Hinweise, auch zu unserem ergänzenden Seminarprogramm in unserem Seminarzentrum finden Sie unter: www.verismo.ch 34

Ausbildung zum Risikomanagement Beauftragten 35

Publikationen zum Thema 36

WWW..CH 37