Upload
others
View
25
Download
0
Embed Size (px)
Citation preview
„Enterprise Risikomanagement
nach ISO 31000“
MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria
Basis des „operativen“ Risikomanagement
Was ist unter dem Begriff „Risiko“ zu verstehen?
GEFAHR ?
Begutachtung nach ISO 31000
Begutachtung nach ISO 31000 (Teil 1)
Begutachtung nach ISO 31000 (Teil 2)
Risiko identifiziert
PosiTiV CHANCE - GEWINN
NEGATiV GEFAHR - VERLUST
Risiko
Unter Risiken werden alle zukünftigen Ereignisse (finanzielle
und nicht finanzielle) und möglichen Entwicklungen innerhalb
und außerhalb des Unternehmens verstanden, die sich
(negativ/positiv) auf die Erreichung von Unternehmenszielen
auswirken können.
Aufgaben des Risikomanagements
Das Risikomanagementsystem liefert einen strukturierten
Überblick über die bestehende Risikosituation eines
Unternehmens und dessen Umfeld.
Damit unterstützt es die Entscheidung über einzuleitende
Maßnahmen zur Nutzung von Chancen und Steuerung von
Risiken.
Risikomanagement - Strategie
Um am Markt erfolgreich agieren zu können, gibt es 4 Optionen zum Umgang mit Risiken:
Risiken vermeiden
Risiken vermindern
Risiken überwälzen
Risiken selbst tragen
Chance Gefahr
Risiko
Organisation des Risikomanagements
Risikomanagement erfolgt unternehmensweit und ist
ausgerichtet auf Geschäftsprozesse beginnend beim
Unternehmens-Strategieprozess bis hin zum Tagesgeschäft
(strategische und operative Ebene).
ISO 31000
Kommunikation und
Konsultation
Erstellung des Zusammenhangs
Risikoidentifikation
Risikoanalyse
Risikobewertung
Risikobewältigung
Überwachung und
Überprüfung
Risiko- beurteilung
Kritische Erfolgsfaktoren
Kommunikationund
Konsultation
Erstellung des Zusammenhangs
Risikoidentifikation
Risikoanalyse
Risikobewertung
Risikobewältigung
Überwachung und
Überprüfung
Risiko-beurteilung
JEDEs ERkANNTE Risiko
isT EiNE CHANCE
ZUR VERBEssERUNG !
Eine Strukturierung der Risiken durch Zerlegung des Gesamtrisikos.
Ziel ist eine möglichst vollständige Erfassung aller Gefahrenquellen, Störpotenziale und Schadensursachen des Unternehmens. Externe Risiken: Durch die Entwicklung der Umwelt, des Unternehmens und
durch die Fluktuation können Risiken in verschiedenen Bereichen auftreten.
Interne Risiken: Interne Risiken, die von einem Managementsystem erfasst
werden.
Identifikation von Risikofeldern
Alle Experten stammen aus einem Fachgebiet bzw. Unternehmen
Mangel an Pluralität
Individualisten und Querdenker ausschließen
Teilbetrachtung anstelle einer gesamtheitlichen Betrachtung
Kein systematischen Vorgehen
Vorgefertigte Meinungen
Ungenaue Daten und Informationsquellen – Gerüchte statt ZDF
Gefahrenpotential
Systematische Identifikation von Risikofeldern Risikokategorien Risikobereiche
R 01 Marktbezogene Risiken Betriebsspionage, schlechtes Image durch Datenverlust, etc.
R 02 Personenbezogene Risiken Arbeitsschutz, Know-how-Abhängigkeit, etc.
R 03 Kommerzielle (wirtschaftliche) Risiken Abhängigkeit von Software / Entwicklern /Administratoren, etc.
R 04 Technische Risiken Technik und Arbeitsvorbereitung, etc.
R 05 Rechtsrisiken (Rechtskonformität) Datenschutzgesetz, Telekommunikationsgesetz, etc.
R 06 Security-Risiko Infrastrukturbereiche, Schutzzonen, etc.
R 07 Administrative Risiken Unternehmensführung und verantwortliche Beauftragte, QM
R 08 Gesellschaftsbezogene Risiken Anlassgesetzgebung, Image, etc.
R 09 Naturbezogene Risiken Rechenzentren in Hochwassergebieten, etc.
R 10 DV/IT-Risiken werden in der ISO-27000-Normenfamilie detailliert behandelt
Risikomatrix als Werkzeug
Verknüpfungen zu Managementsystemen
Management heißt Leitung und Lenkung einer Organisation, eines Systems mit Menschen.
Das Handeln eines Einzelnen, die Fähigkeit, Gefahren abzuwenden und Chancen zu nutzen, hängt im Wesentlichen von zwei Faktoren ab: vom Wissen und der Motivation.
Management ist die Nutzung von Wissen und Motivation von mehreren, manchmal von sehr vielen Menschen, um Ziele der Organisation zu erreichen:
ISO 9001 Die ISO 9001 ist ein Qualitätsmanagementsystem für
Organisationen aller Branchen und Größen.
Die ISO 9001 bietet die Basis für ein erfolgreiches Enterprise-RM-System durch spezielle Vorgaben der Dokumenten- und Aufzeichnungslenkung, sowie…. • Korrekturmaßnahmen/Verbesserungsmaßnahmen • Ständige Verbesserung • Korrekturmaßnahmen • Vorbeugemaßnahmen • Interne Audits
ISO 27001 Die Bedeutung eines funktionierenden ISMS liegt sicher darin,
dass die Risiken durch mangelhafte Informationssicherheit (das heißt nicht nur IT/EDV) identifiziert und bewertet sind. Kernthemen sind: • Awareness der Mitarbeiter • Compliance des Managements • Sicherheit beim Umgang mit Dritten • Business Continuity Management • Klassifizierung von Informationen • Physische Sicherheit • Incident Management
Warum haben wir eigentlich nie Zeit, die Sache richtig zu machen, aber immer Zeit, sie nochmal zu machen?
Weinberg