Inhaltsverzeichnis Übersichtenverzeichnis 13 Abkürzungsverzeichnis 15 Vorwort 17 1. Grundlagen des Risikomanagements 19 1.1 Das Risiko 19 1.2 Ziele von Organisationen 19 1.3 Wahrscheinlichkeit als Maß für die Unsicherheit 20.,4 Auswirkungen von Risiken auf die Ziele 21 1.5 Risiko als Chance und Gefahr 22 1.6 Definition von Risiko 23 1.7 Ziele des Buches 24 1.8 Vorgehen 25 2. Ziele und Anwendung des Risikomanagements 27 2.1 Management Strategie und Risiken 27 2.1.1 Gestaltung und Lenkung von Organisationen 27 2.1.2 Strategisches Management 28 2.1.3 Risikomanagement 29 2.1.4 Fallbetspiel für das strategische Risikomanagement 31 2.2 Ziele des Risikomanagements 34 2.2.1 Überleben der Organisation sicherstellen 34 2.2.2 Ziele und Strategien mit der Risikofähigkeit abgleichen 34 2.2.3 Wirksamkeit und Effizienz der Führung verbessern 35 2.2.4 Planungssicherheit erhöhen 35 2.2.5 Bedürfnisse von Kunden und Partnern befriedigen 35 2.2.6 Sicherheit der Mitarbeiter, der Umwelt gewährleisten 35 2.2.7 Sicherheit von Infrastrukturen erhalten 36 2.3 Risikomanagement für Investoren 36 2.3.1 Corporate Governance 36 2.3.2 Gesetzliche Bestimmungen für Kapitalgesellschaften 38 2.3.2.1 Schweiz 38 2.3.2.2 Deutschland 39 2.3.2.3 Vereinigte Staaten von Amerika 40 2.3.3. Interessenkonflikte und Kulturunterschiede 42 2.4 Risikomanagement für Konsumenten 43 2.4.1 Der «New Approach» im europäischen Binnenmarkt 43 2.4.1.1 Das politische Konzept 43 2.4.1.2 Anforderungen an die Produkte 43
8 Inhaltsverzeichnis 2.4.13 Anerkennungs- und Zuslassungsverfahren 45 2.4.1.4 Beispiel: Die Maschinenrichtlinie 47 2.4.1.5 Flankierende Maßnahmen der Produktsicherheit 52 2.4.1.6 Flankierende Maßnahmen der Produkthaftung 53 2.4.2 Weitere Anwendungsbereiche für Risikomanagement 56 2.4.2.1 Arbeitssicherheit und Umweltschutz 56 2.4.2.2 Chemikaliengesetzgebung/REACH 59 2.4.2.3 Patientensicherheit 60 2.5 Risikomanagement für ein stabiles Finanzsystem 62 2.5.1 Basel I und II 63 2.5.2 Solvency I und II 64 2.6 Regelwerke im Risikomanagement 65 2.6.1 Quellen: US-MIL-STD 882/Zurich Hazard Analysis 65 2.6.1.1 Anforderungen an die Risikoanalyse 66 2.6.1.2 Definition der Auswirkungen (Mishap Severity) 66 2.6.1.3 Definition der Unfall-Wahrscheinlichkeit 67 2.6.1.4 Risiko-Bewertung (Mishap risk assessment) 67 2.6.1.5 Die Zürich Hazard Analysis 68 2.6.2 COSO Enterprise Risk Management Framework 68 2.6.2.1 Herkunft und Kontext 68 2.6.2.2 Inhaltliches Konzept 69 2.6.2.3 Anwendungen 70 2.6.3 AS/NZS 4360 Risk Management 71 2.6.3.1 Herkunft und Kontext 71 2.6.3.2 Inhaltliches Konzept 71 2.6.3.3 Anwendung 73 2.6.4 ISO Guide 51 und ISO Guide 73 73 2.6.5 FERMA-Risikomanagement-Standard 74 2.6.5.1 Herkunft und Kontext 74 2.6.5.2 Inhaltliches Konzept 74 2.6.5.3 Anwendung 75 2.6.6 ON-Regelwerk 49000 ff. Risikomanagement für Organisationen und Systeme 76 2.6.6.1 Herkunft und Kontext 76 2.6.6.2 Inhaltliches Konzept 78 2.6.6.3 Anwendung 79 2.6.7 ISO 31000 (2009) Risk Management 80 2.6.7.1 Herkunft und Kontext 80 2.6.7.2 Inhaltliches Konzept 80 2.6.7.3 Anwendung 80 2.6.8 Die Standards im Überblick 81 2.6.8.1 Begriffe und Konzepte 81 2.6.8.2 Inhaltliches Spektrum der Risiken 81 2.6.8.3 Risikomanagement-Prozess 81 2.6.8.4 Umsetzung des Risikomanagements 82
Inhaltsverzeichnis 9 3. Prozess Risikomanagement 83 3.1 Allgemein 83 3.2 Zusammenhang erstellen 84 3.2.1 Internes Umfeld: Ziele und Strategien 85 3.2.1.1 Kunden und interessierte Parteien (Stakeholder) 85 3.2.1.2 Produkte und Dienstleistungen 86 3.2.1.3 Innovationen und Organisationsentwicklung 86 3.2.1.4 Operative Prozesse 87 3.2.1.5 Finanzen 88 32.1.6 Fähigkeiten und Kultur 89 3.2.2 Externes Urnfeld: Compliance und Entwicklungen 90 3.2.2.1 Rechtliche Anforderungen 90 3.2.2.2 Veränderung rechtlicher Rahmenbedingungen 91 3.2.2.3 Veränderung wirtschaftlicher Rahmenbedingungen 92 3.2.2.4 Natürliche Ressourcen und Klimaveränderung.. 92 3.2.3 Definition des Risikomanagernent-Projektes 92 3.2.3.1 Bestimmung von Ziel und Zweck 92 3.2.3.2 Bestimmung der Unsicherheit 93 3.2.3.3 Bestimmung der Komplexität 93 3.2.3.4 Bestimmung der Ressourcen 93 3.2.4 Festlegung von Risikoappetit bzw. Risikotoleranz 93 3.3 Risikobeurteilung 96 3.3.1 Risikoidentifikation 96 3.3.2 Risikoanalyse 98 3.3.2.1 Verständnis des Risikos 98 3.3.2.2 Korrelation von Risiken 98 3.3.2.3 Kombination von Risiken 99 3.3.2.4 Einschätzung der Wahrscheinlichkeit 100 3.3.2.5 Einschätzung der Auswirkungen 101 3.3.3 Risikobewertung 102 3.3.3.1 Nicht akzeptierbare Risiken 102 3.3.3.2 Einzelrisiko oder Gesamtrisiko 102 3.3.3.3 Güterabwägung im Sicherheitsbereich 102 3.3.3.4 Vorsorgeprinzip 104 3.3.3.5 Risikowahrnehmung 105 3.3.3.6 Rendite-Risiko-Abwägung im Finanzbereich 107 3.4 Risikobewältigung 107 3.4.1 Risikoprävention 108 3.4.1.1 Humanfaktoren 109 3.4.1.2 Drei-Stufen-Modell 110 3.4.1.3 Anwendung auf Organisationen 112 3.4.2 Notfall- und Krisenmanagement 113 3.4.3 Business Continuity Management (BCM) 114 3.4.4 Risikofinanzierung/Versicherung 114 3.4.5 Restrisiko akzeptieren 115
10 Inhaltsverzeichnis 3.5 Kommunikation und Informationsaustausch 115 3.5.1 Kommunikation innerhalb der Organisation 116 3.5.1.1 Kommunikation mit den Stakeholdern 116 3.5.1.2 Kommunikation in außerordentlichen Lagen 117 3.5.1.3 Informationsaustausch - aktiver Risikodialog 117 3.6 Risikokontrolle 118 4. Methoden der Risikobeurteilung 121 4.1 Kreativitätstechniken 124 4.1.1 Brainstorming 124 4.1.2 Delphi-Studie als Befragungstechnik 124 4.2 Szenario-Analysen 125 4.2.1 Einzelschadensanalyse (Root Cause Analysis) 125 4.2.2 Credible-Worst-Case-Analysen 127 4.2.2.1 Allgemein 127 4.2.2.2 Risikoidentifikation mit Gefahrenlisten 127 4.2.2.3 Risikobeschreibung mit Worst-Case-Szenarien 128 4.2.2.4 Das Eisbergprinzip 129 4.2.2.5 Auswirkungen auf die Organisation 129 4.2.2.6 Einschätzung der Eintrittswahrscheinlichkeit 130 4.2.2.7 Risikoiandschaft im Ist- und im Soll-Zustand 131 4.2.3 Fehlerbaum- und Ablaufanalyse 132 4.3 Critical Incidents Reporting 137 4.3.1 Anwendung in der Luftfahrt 138 4.3.2 Anwendung im öffentlichen Verkehr 139 4.3.3 Anwendung im Gesundheitswesen 141 4.4 Funktionsanalysen 144 4.4.1 Risikoidentifikation mit System- und Funktionsanalysen 144 4.4.2 Anwendungsbeispiel: Arbeitssicherheit 144 4.4.2.1 Risikoanalyse bei Arbeitsprozessen 144 4.4.2.2 Die Bestimmung des Schadenausmaßes 146 4.4.2.3 Die Bestimmung der Eintrittswahrscheinlichkeit 146 4.4.2.4 Risikobewertung 147 4.4.3 FMEA- Failure Mode and Effects Analysis 148 4.4.3.1 Ursprünge der FMEA 148 4.4.3.2 Einsatz und Funktionsweise der FMEA 148 4.4.4 HAZOP 153 4.5 Statistische Methoden 155 4.5.1 Allgemeines 155 4.5.2 Monte-Carlo-Simulation 156 4.5.3 Die Standardabweichung als Maß für das Risiko 156 4.5.4 Der Value at Risk als Maß für das Risiko 159 4.5.4.1 Grundlagen 159 4.5.4.2 Anwendung: Dynamische Planungsrechnung 159 4.5.4.3 Anwendung: Spezielle Modelle 161 4.6 Zusammenfassung: Methodeneinsatz 163
Inhaltsverzeichnis 11 5. Framework Risikomanagement 165 5.1 Ausgangslage 165 5.1.1 Vom Projekt zur dauernden Führungsaufgabe 165 5.1.2 Handlungsspielraum und Entscheidungsfreiheit 166 5.1.3 Rollen und Verantwortlichkeiten 167 5.1.4 Aufteilung der Verantwortlichkeiten 168 5.2 Organisationsspezifische Gegebenheiten 168 5.2.1 Größe und Komplexität der Organisation 169 5.2.2 Risikoexposition der Organisation 169 5.2.3 Vorhandene Elemente im Risikomanagement 169 5.2.3 Vorhandene Führungsinstrumente 170 5.3 Steuerung des Risäkomanagements 170 5.3.1 Risikomanagement-Framework 170 5.3.2 Planung des Risikomanagements 171 5.3.2.1 Verpflichtung und Einsatz der obersten Leitung 172 5.3.2.2 Einführen, dokumentieren, aufrechterhalten, verbessern 172 5.3.2.3 Risikopolitik: Ziele und Strategien im Risikomanagement 173 5.3.2.4 Ressourcen und Fähigkeiten 176 5.3.2.5 Gestaltung der Verantwortung 176 5.3.2.6 Integration und Kommunikation 178 5.3.3 Umsetzung des Risikomanagements 179 5.3.3.1 Umsetzung des Risikomanagement-Prozesses 179 5.3.3.2 Prozessvernetzung im Strategischen Management..., 179 5.3.3.3 Prozessvernetzung im Produktmanagement 182 5.3.3.4 Prozessvernetzung im Projektmanagement 186 5.3.3.5 Notfall- und Krisenmanagement, 189 5.3.3.6 Business Continuity Management (BCM) 192 5.3.3.7 Dokumentation des Risikomanagements 194 5.3.4 Leistungsbewertung des Risikomanagements 196 5.3.4.1 Überlebensrisiken 197 5.3.4.2 Qualitativ messbare Ergebnisse 197 5.3.4.3 Quantitativ messbare Ergebnisse, 197 5.3.4.4 Audit des Risikomanagement-Frameworks 203 5.3.5 Verbesserung des Risikomanagements 204 6. Zusammenfassung und Ausblick 205 Anhang 207 Definitionen 207 Literaturverzeichnis 211 Stichwortverzeichnis 217 Risikobeurteilung 225