Management of Risk Präsentation für XPUG (70) 13.10.2010 Michael Weber
Was ist ein Risiko? ISO: Kombination der Wahrscheinlichkeit eines Ereignisses und dessen Konsequenz Baseler Ausschuss für Bankenaufsicht: Verlust in Folge mangelhafter oder fehlerhafter interner Prozesse, Menschen und Systemen oder externer Ereignisse MWR: Unvermeidlich M_o_R: Cause, Event, Effect 2
Organisationen haben einen Zweck wollen Geld verdienen haben Chancen auf Erfolg werden von Risiken bedroht 3
Vorgehen Überblick über das Risikomanagement Vorstellen des M_o_R Frameworks Ineinandergreifende Frameworks 4
Vorgehen Überblick über das Risikomanagement Vorstellen des M_o_R Frameworks Ineinandergreifende Frameworks 5
Risikomanagement jede Organisation muss Maßnahmen ergreifen, um Risiko zu managen Identifizierung und Bewertung von Risiken Umgang mit Risiken (Risikoappetit) verfügbare Mittel sind begrenzt Ziel: optimale Reaktion auf Risiken in Übereinstimmung mit der Bewertung 6
Risikomanagementstufen Risikoidentifikation Risikoeigentümeridentifikation Qualitative Bewertung Quantifizierung der Wahrscheinlichkeit Quantifizierung der Auswirkungen (Schwere) Definition des Umgangs mit dem Risiko 7
Reaktion auf Risiken Toleranz Behandlung / Milderung Übertragung Vermeidung Nutzen der Chance 8
Risikomanagement Modell 9
Risikoidentifikation Die zu behandelnden Risiken müssen bekannt sein erstmalige Risikoidentifikation laufende Risikoidentifikation Die identifizierten Risiken müssen ins Verhältnis zu Zielen gebracht werden, um sie zu priorisieren 10
Risikobewertung Klar strukturiertes Verfahren, bei dem Wahrscheinlichkeit und Auswirkung für jedes Risiko betrachtet werden Dokumentation der Bewertung, um Überwachung und Prioritäten von Risiken zu ermöglichen Differenzierung zwischen Systemrisiken und Lebensrisiko 11
Risikotoleranzmatrix Risiko Appetit Auswirkung Toleranzgrenze Wahrscheinlichkeit 12
Risiko Behandlung / Milderung Vorbeugende Eingriffe Korrigierende Eingriffe Steuernde Eingriffe Aufklärende Eingriffe 13
Überprüfen und Berichten Überprüfen, ob sich das Risikoprofil ändert Überprüfen, ob das Risikomanagement wirksam ist Managementreport, welche Risikomanagementziele erreicht wurden, welche nicht 14
Vorgehen Überblick über das Risikomanagement Vorstellen des M_o_R Frameworks Ineinandergreifende Frameworks 15
Risikomanagement Frameworks CAN/CSA Q850 Risk Management: Guideline for Decision-Makers (Kanada 1997) BS-6079-3:2000 Project management. Guide to the management of business related project risk (Großbritannien 2000) JIS Q 2001:2001 Guidelines for development and implementation of a risk management system (Japan 2001) IEC Guide 73:2009 Risk Management Vocabulary - Guidelines for use in standards (international 13. November 2009) COSO ERM Enterprise Risk Management - Integrated Framework (USA 2004) ONR 49000:2004 ff. Risikomanagement für Organisationen und Systeme: Begriffe und Grundlagen (Österreich 2004) AS/NZS 4360:2004 Risk Management (Australien, Neuseeland 2004) ONR 49000:2008 ff. Risikomanagement für Organisationen und Systeme - Begriffe und Grundlagen - Anwendung von ISO/DIS 31000 in der Praxis (Österreich 2008) ISO 31000 Risk Management Guidelines for principles and implementation of risk management (international, 15. November 2009) IEC/ISO 31010 Risk management - Risk assessment techniques (international, 27. November 2009) ISACA Risk IT - IT Risk Management Framework (international, 8. Dezember 2009) IEC/ISO 27005 - Information security risk management (international, 30. Juni 2008) M_o_R Management of Risk Office of Government Commerce (OGC), Groß Britannien 16
M_o_R Framework 17
12 M_o_R Prinzipien Die Grundsätze sollen Organisationen Anleitung geben, Risikomanagement einzuführen. Sie sind: Foundation Organisational context Stakeholder involvement Organisational objectives M_o_R approach Reporting Successive Roles and responsibilities Support structure Early warning indicators Review cycle Overcoming barriers to M_o_R Supportive culture Continual improvement 18
M_o_R Approach Beschreibt, wie Risikomanagement im Unternehmen durchgeführt wird im Rahmen einer lebenden Dokumentationsbasis u. a. aus Risk Management Policy: ganzheitliche Vorgabe zu den Risiken im Unternehmen und dem Risikoappetit Risk Management Process Guide: Schritte, um Risikomanagement im Unternehmen zu implementieren Risk Management Plan: Handlungsanweisungen für die konkrete Umsetzung Risk Register: Instrument zur Sammlung und Pflege der identifizierten Chancen und Risiken Issue Log: Instrument zur Sammlung und Pflege materialisierter Risiken und den notwendigen Aktionen 19
M_o_R Process Identify Context Risks Asses Estimate Evaluate Plan Implement (Communicate) 20
Embed & Review M_o_R Definition wichtiger Erfolgsfaktoren Messung der Leistungen und Erfolge Laufende Unterstützung durch die Geschäftsleitung Aufbau und Entwicklung eines Bewusstseins für Risiken sowie der Bereitschaft zur Änderung Ändern des Verhaltens gegenüber Risikomanagement Aufbau von Rollen und Verantwortlichkeiten 21
Vorgehen Überblick über das Risikomanagement Vorstellen des M_o_R Frameworks Ineinandergreifende Frameworks 22
Best Practice Guidance OGC ITIL (IT Infrastructure Library Service Management) PRINCE2 (PRojects IN Controlled Environment 2 Projekt Management) M_o_R (Management of Risk Risiko Management) MSP (Managing Successful Programmes Programm Management) P3O (Portfolio, Programme and Project Offices Change Management) MoP (Management of Portfolios Portfolio Management) MoV (Management of Value Maximierung des Wertes von Ressourcen) 23
Vorteile von Frameworks Best Practice Nomenklatur Begriffsdefinitionen Modularität Wiederverwendbarkeit Erweiterbarkeit Offene Struktur Lernkurve Effizienz Schnittstellen 24
Vielen Dank für Ihre Aufmerksamkeit! Michael Weber Dipl.-Wirt.-Ing. Michael Weber - Beratender Ingenieur Zertifizierter Projektleiter - Zertifizierter Risikomanager Lindenscheidstraße 23-65936 Frankfurt am Main Telefon: +49 69 17 55 46 48-0 Telefax: +49 69 17 55 46 48-9 Mobiltelefon: +49 177 333 76 86 E-Mail: mw@miwecon.de Internet: http://www.miwecon.de 25