Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Risikomanagement
Fortentwicklung des Risikomanagements bei den
Verhandlungen über die ISO 31000
Dr. Klaus Bockslaff
Hannover, den 28. November 2014
© Verismo GmbH 2014 …to keep the company running!2
1. Bedeutung des Risikomanagements
3. Aktueller Status
2. Geschichte des Risikomanagements
5. Fortentwicklung des Risikomanagements
Agenda
7. Zusammenfassung
4. Laufende Verhandlungen in den ISO Gremien
6. Bedeutung für den Sicherheitsmanager
© Verismo GmbH 2014 …to keep the company running!3
RisikoanalyseIdentifizieren
aller Risiken
Risikobewertung
nach Kategorien
Vorgaben des Risk Management-Framework
durch das Management
Reporting/
Kommunikation
finan-zieren
Risiko-
controlling;
Ergebnis-
nachweis
Eskalation/
Entscheidung
Schwache Signale beobachten
Management-Kontrollen zuordnen
Gegenmaßnahmen zuordnen
ver-meiden
Gesam
tris
iko ver-
mindernüber-wälzen
Grundlagen des Risikomanagements
© Verismo GmbH 2014 …to keep the company running!4
Risikomanagement - nichts neues
Das KonTraG konkretisiert Haftungsregelungen, ansonsten:
Jedes unternehmerische Handeln ist mit Risiken verbunden
Risikohandhabung bildet den Kern unternehmerischer Tätigkeit
Deshalb existiert in jedem Unternehmen i. d. R. bereits
eine Vielzahl von Teilsystemen eines RM-Systems, z.B.
- Strategische Planung
- Controlling
- Versicherungsmanagement
- Treasury
- Projektmanagement
- Qualitätsmanagement usw.
Arabische Weisheit:
Vertrau auf Allah
Binde dein Kamel an
© Verismo GmbH 2014 …to keep the company running!
Definition Risiko
Verismo bisher:
Unter Risiko verstehen wir
• die Möglichkeit
• der Nicht-Erfüllung unternehmerischer Ziele
• in Verbindung mit Verlustgefahr und Fehlentscheidung
5
ONR 49000:
Begriff des Risikos: Ausgang eines Ereignisses oder einer Entwicklung, welcher
die Ziele beeinträchtigt.
Auswirkungen können auf unterschiedliche Art und Weise die Ziele beeinträchtigen:
• Ein Ereignis oder eine bestimmte Veränderung von Umständen (Entwicklung) kann zu vielfältigen
Auswirkungen führen.
• Eine Auswirkung kann gewiss oder ungewiss sein und sich positiv (Gewinn, Vorteil, Nutzen) oder
negativ (Verlust, Nachteil, Schaden) auf Ziele einer Organisation auswirken.
• Auswirkungen können quantitativer oder qualitativer Art sein.
• Zu den besonderen Auswirkungen von Risiken zählen Personen-, Sach- und Vermögensschäden,
unabhängig davon, ob und wie sie versichert werden können.
© Verismo GmbH 2014 …to keep the company running!
Definition Risikomanagement
6
Unter Risikomanagement verstehen wir
die Gesamtheit der organisatorischen Regelungen
• zur Erkennung und
• zum Umgang
mit Risiken unternehmerischer Betätigung
mit dem Ziel der Sicherung von
• Unternehmensbestand
• und Unternehmensentwicklung
Unter Risikomanagement versteht die ONR 49000
die Prozesse und Verhaltensweisen, die darauf
ausgerichtet sind, eine Organisation bezüglich
Risiken zu steuern
Die Umsetzung des Risikomanagements führt zu
einer Risikokultur in der Organisation.
© Verismo GmbH 2014 …to keep the company running!7
Die Risiken werden nach „ Eintrittswahrscheinlichkeit“ und „Auswirkung auf
die Unternehmensziele“ bewertet
Das Risikoportfolio stellt einen umfassenden Analyse-
und Handlungsrahmen für das Risikomanagement
bereit
• Definition des Bereiches nicht
akzeptabler Risiken (-> Risikopolitik)
• Visualisierung der identifizierten Risiken im
Risikoportfolio
• Priorisierung der Risiken i.W. anhand der
Erwartungswerte (Auswirkung auf
Unternehmensziele * Eintrittswahrscheinlichkeit)
Au
sw
irku
ng
au
f U
nte
rneh
men
szie
le
Eintrittswahrscheinlichkeit
sehr
gering
gering
hoch
sehr
hoch
sehr
geringgering hoch
sehr
hoch
Bereich nicht
akzeptabler
Risiken
Das Risikoportfolio bildet den Ausgangspunkt für die unternehmensindividuelle
Definition der Risikostrategien
Risikoportfolio
© Verismo GmbH 2014 …to keep the company running!8
1. Bedeutung des Risikomanagements
3. Aktueller Status
2. Geschichte des Risikomanagements
5. Fortentwicklung des Risikomanagements
Agenda Tag 1
7. Zusammenfassung
4. Laufende Verhandlungen in den ISO Gremien
6. Bedeutung für den Sicherheitsmanager
© Verismo GmbH 2014 …to keep the company running!
Geschichte des Risikomanagements
Lloyd´s Coffee House Satzungen der alten Gilden
9
© Verismo GmbH 2014 …to keep the company running!10
Entwicklung des Risikomanagements
Risiken
reduzierenvermeiden
abwälzen
akzeptieren
aktives
Risikomanagement
(ursachenbezogen)
passives
Risikomanagement
(wirkungsbezogen)
Risikostrategie:
Das Risikomanagement ist zunehmend strategisch ausgerichtet. Es werden
sämtliche Risiken behandelt, die für den Erhalt und die Wertsteigerung des
Unternehmens relevant sind.
3. Umfassendes Risikomanagement (heutige Sicht)
1. Versicherungs-
einkauf (vor 1950)
2. Versicherungs-
management (nach 1950)
Das Risikomanagement wird als Risiko gestaltende Führungsfunktion
verstanden
© Verismo GmbH 2014 …to keep the company running!11
1. Bedeutung des Risikomanagements
3. Aktueller Status
2. Geschichte des Risikomanagements
5. Fortentwicklung des Risikomanagements
Agenda
7. Zusammenfassung
4. Laufende Verhandlungen in den ISO Gremien
6. Bedeutung für den Sicherheitsmanager
© Verismo GmbH 2014 …to keep the company running!12
„years after“ Einführung des KonTraG
Ein paar Gedanken zur Einordnung des Risikomanagements
• Spektakuläre Fälle haben letztlich zur gesetzlichen Verankerung des
Risikomanagements geführt (insbesondere KonTraG, Mai 1998)
• Im Kern erfordert aber jede unternehmerische Tätigkeit den bewussten
Umgang mit Risiken und das Abwägen von Risiko & Chance
• Risikomanagement ist somit integraler Bestandteil jedes
unternehmerischen Handelns
• Ziel des Risikomanagements kann dann auch nicht die Vermeidung
sämtlicher Geschäftsrisiken sein
• Risikomanagement erfordert jedoch die genaue Kenntnis aller auf das
Unternehmen wirkenden Risiken
© Verismo GmbH 2014 …to keep the company running!13
Quo vadis Risikomanagement?
Erfahrungen aus Sicht von Prüfern & Beratern:
• Oft stellen die identifizierten Risiken nur eine retrospektive Abbildung von
Erfahrungen aus der Vergangenheit dar (mangelhafte Erfüllung der
Frühwarnfunktion)
• Risikobewusstsein der Mitarbeiter ist häufig nur unzureichend ausgeprägt
• Die Dokumentation des Risikomanagementsystems und der konkreten
Risiken ist in vielen Fällen noch unvollständig
• Viele junge Unternehmen verfügen über keine oder nur rudimentär
ausgeprägte Informations- und Steuerungssysteme (z.B. Controlling)
• Neben der Erfüllung gesetzlicher Anforderungen (KonTraG) steht
zunehmend der Nutzen von Risikomanagement im Mittelpunkt
• Zum jetzigen Zeitpunkt stellt sich in vielen Unternehmen die Frage nach der
Optimierung vorhandener Risikomanagementsysteme
© Verismo GmbH 2014 …to keep the company running!
Lage des Risikomanagements
Untersuchung in 27 Ländern, durchgeführt 2013
Detaillierte Untersuchung der Situation in Norwegen, Singapur und der Schweiz
Wichtigste Ergebnisse für das Risikomanagement:
• Kosten von Fehlern oder Versäumnissen werden oft deutlich unterschätzt
• Die meisten Unternehmen der Meinung sind, dass das RM eine ausschliessliche
Verantwortung des Linienmanagements
• Beim RM sollten auch nicht-finanzielle, insbesondere strategische und operationelle
Risiken unbedingt berücksichtigt werden
• Risiken aus dem Oursourcing und Supply-Chain-Risiken verdienen in allen Sektoren mehr
Aufmerksamkeit
• Unternehmensleitung sollte den potentiell "katastrophalen" Risiken ausreichende
Aufmerksamkeit schenkt, auch wenn diese unwahrscheinlich sind
• Staatliche Unternehmen und Einrichtungen sollten ähnliche Risikomanagement-Praktiken
verfolgen wie private Unternehmen.
14
Untersuchung der OECD im Jahre 2013
über den Status des Risikomanagements
© Verismo GmbH 2014 …to keep the company running!
Lage des Risikomanagements
• Risiken werden nicht auf der Ebene des Gesamtunternehmens behandelt und nicht mit
der Unternehmensstrategie abgestimmt waren.
• Die Regulatoren und die normenschaffenden Gremien haben nicht wirklich verstanden,
dass Risikoübernahme zwar eine treibende Kraft des Geschäfts darstellt.
• Wirksames RM verlangt einen unternehmensweiten Ansatz und nicht nur eine
Betrachtung innerhalb einer einzelnen Geschäftseinheit.
• Unternehmensstrategie, Risikoappetit und interne Risikomanagement-Strukturen sind
aufeinander abzustimmen.
• Der Chief Risk Officer bzw. der Risikomanager muss direkt und unabhängig der obersten
Leitung berichten können.
• Der Risikomanagement-Prozess und die Ergebnisse von Risikobeurteilungen sind
angemessen offenzulegen. Risikofaktoren sind transparent und verständlich zu
kommunizieren.
15
Untersuchung der OECD im Jahre 2013
über den Status des Risikomanagements
Wichtigste Fehler im Risikomanagement:
© Verismo GmbH 2014 …to keep the company running!
Lage des Risikomanagements
• Es gibt ein globales Interesse in diesem
internationalen Standard
• Laut OECD ist: ISO 31000 de-facto der
«Weltstandard» für Risikomanagement
geworden
• Begriffe und Definitionen sind noch
nicht genug harmonisiert
• Es gibt zu viele SILOS für ähnliche
Zwecke
• Visionen und Konzepte müssen
zusammengebracht werden
• Verbindungslinien und Brücken müssen
gebaut werden
16
Untersuchung der OECD im Jahre 2013
über den Status des Risikomanagements
Beurteilung von ISO 31000
ISO 31000
principles,
framework
and process
ISO Guide
73 Begriffe
ISO 27001
ISO 22301
Notfall- und
Krisen-
managementISO 9001
ISO 31010
weitere
© Verismo GmbH 2014 …to keep the company running!17
1. Bedeutung des Risikomanagements
3. Aktueller Status
2. Geschichte des Risikomanagements
5. Fortentwicklung des Risikomanagements
Agenda
7. Zusammenfassung
4. Laufende Verhandlungen in den ISO Gremien
6. Bedeutung für den Sicherheitsmanager
© Verismo GmbH 2014 …to keep the company running!
Stammbau der aktuellen Risikomanagementstandards
18
ONR 4900x
2014
Quelle: nach Dr. Peter Winter, Zürich 2009
Weitere ISO
Normen
Weitere ISO
Normen
Weitere ISO
Normen
Weitere ISO
Normen2015 ff
© Verismo GmbH 2014 …to keep the company running!19
Auswahl weiterer Standards zum
Risikomanagement
COSO ERMAS / NZS 4360
Risk Management
ONR 49000
Auswahl internationaler Risikomanagementstandards
© Verismo GmbH 2014 …to keep the company running!
Risikomanagement nach ISO 31000
• Risikomanagement nach ISO 31000 fokussiert nicht nur die strategischen Risiken
(Produkte, Technologien, Märkte, Kunden und die Veränderungen der Umfeldfaktoren),
es schließt auch alle nachgelagerten Risiken auf operationeller und prozessualer
Führungsebene ein.
20
© Verismo GmbH 2014 …to keep the company running!
ISO 31000 – Überblick über den Zusammenhang zwischen
Risikomanagement Prinzipien, dem Framework und dem Prozess
21
© Verismo GmbH 2014 …to keep the company running!22
Methoden der Risikobewertung – vertieft in ISO 31010
Risikolandschaft Critical Incidents Reporting FMEA
Anwendung
Organisationen und Systeme
(Produkte, Projekte, Prozesse,
etc.)
Luftfahrt, Arbeitssicherheit
(Chemie), Gesundheitswesen
Komplexe technische
Systeme, Analyse
von Design / Prozess,
Autoindustrie
Risikobegriff R = f (W;A) Fehler, Ereignis, SchadenRPZ = f (W;A;E)
RPZ (Risikoprioritätszahl)
Ansatzpunkt Credible Worst Case SzenarioFreiwillige Meldung,
StraffreiheitFunktion, Fehlfunktion
Identifikation Generische Gefahrenliste Effektive WahrnehmungSystemelemente
(Design und Prozess)
Bewertung Risiko-Toleranzgrenze Häufigkeitsauswertung Punktebewertung durch RPZ
AufwandJe nach Tiefe der Analyse
mittel bis hoch
Hoch, braucht
Vertrauensatmosphäre
Je nach Tiefe der Analyse
mittel bis hoch
Klassische Methoden zur Bewertung (1/2)
© Verismo GmbH 2014 …to keep the company running!23
Klassische Methoden zur Bewertung (2/2)
HAZOP Value at Risk Fehlerbaum, Auswirkung
AnwendungKomplexe technische Systeme
(Chemieanlagen)
Unternehmen, Finanzindustrie
(Banken und Versicherung)
Komplexe technische
Systeme, Störfallvorsorge
Risikobegriff R = f (W;A) WahrscheinlichkeitsverteilungWahrscheinlichkeit des TOP-
Events
AnsatzpunktFunktion, Fehlfunktion,
LeitworteKonfidenzintervalle TOP Event
Identifikation Systemelemente (Design) Nicht unterstützt Ursache-Wirkungs-Kette
Bewertung Risiko-Toleranzgrenze i.d.R. 95 / 99 % Risiko-Toleranzgrenze
Aufwand hoch Sehr hoch Sehr hoch
Nach: Bruno BrühwilerWeitere Einzelheiten werden in der ISO 31010 diskutiert
Methoden der Risikobewertung – vertieft in ISO 31010
© Verismo GmbH 2014 …to keep the company running!24
1. Bedeutung des Risikomanagements
3. Aktueller Status
2. Geschichte des Risikomanagements
5. Fortentwicklung des Risikomanagements
Agenda
7. Zusammenfassung
4. Laufende Verhandlungen in den ISO Gremien
6. Bedeutung für den Sicherheitsmanager
© Verismo GmbH 2014 …to keep the company running!25
Weiterentwicklung des Risikomanagements nach ISO 31000Ansatzpunkte und Aktivitäten
Weiterentwicklung des formalen
Risikomanagements
Kontinuierliche, schrittweise Verbesserung von Effizienz und
Aussagekraft des bestehenden RM-Instrumentariums
Funktionales, flexibles
Risikomanagement
Entwicklung spezialisierter Instrumente für kritische
Funktionen und Prozesse (z.B. Treasury, Personal,
Sicherheits- , Kontinuitäts- und Krisenmanagement)
EDV-Unterstützung des
Risikomanagements
Implementierung von Tools zur Unterstützung des gesamten
RM-Prozesses von der Risikoidentifikation bis zum
Risikoreporting
Erhöhung der Aussagekraft,
verbesserte Zukunftsorientierung
Implementierung „echter“ Frühwarnsysteme zur Prognose
zukünftiger Ereignisse/ Entwicklungen, die nachhaltigen
Einfluss auf den Unternehmenserfolg haben können
Nutzung der ISO 31000 Familie für
die Ausgestaltung des RM in
Managementsysteme
?????????????
Integrierte Unternehmenssteuerung
und Chancen-/ Risiko-Optimierung
Integration der vorhandenen Führungssysteme durch eine
ganzheitliche, strategieorientierte Sichtweise auf Basis der
Balanced Scorecard
© Verismo GmbH 2014 …to keep the company running!
Beispiel: Supply Chain Security
26
Vorschlag für ein „new work item proposal“
© Verismo GmbH 2014 …to keep the company running!
Beispiel
27
ISO 31000
principles,
framework
and process
ISO Guide
73 Begriffe ISO 27001
ISO 22301
Notfall- und
Krisen-
management
ISO 9001ISO 31010
Supply Chain
Security
Security
Management
© Verismo GmbH 2014 …to keep the company running!28
1. Bedeutung des Risikomanagements
3. Aktueller Status
2. Geschichte des Risikomanagements
5. Fortentwicklung des Risikomanagements
Agenda
7. Zusammenfassung
4. Laufende Verhandlungen in den ISO Gremien
6. Bedeutung für den Sicherheitsmanager
© Verismo GmbH 2014 …to keep the company running!29
Beispiele für die Fortentwicklung des Risikomanagements:
Grundstrukturen der Konzernsicherheit
Anforderungen
aus den
Geschäftsprozesse
des Unternehmens
Konzernsicherheit
•Sicherheitspolitik
•Organisation
•Kernprozesse
Personelle Sicherheit
Physische Sicherheit
Schutz der Infrastruktur
Informationssicherheit
Markenschutz
Sicherheit bei
Produkten und
Dienstleistungen
Vernetzung mit dem Risikomanagementprozess des Unternehmens
Sicherstellung der Handlungsfähigkeit bei krisenhaften Situationen
Optimierung der Umsetzungsprozesse
Aktive Steuerung der Schadenverhütung
Aktive Kooperation mit dem Versicherer
© Verismo GmbH 2014 …to keep the company running!
Bedeutung des Risikomanagements für den
Sicherheitsmanager
Thesen:
1. Die Aufgabe des Sicherheitsmanagers wird
zunehmend in dem Aufbau von Sicherheits-
managementsystemen bestehen
2. Für Sicherheitsmanagementsysteme gibt es
derzeit keine ISO Norm
3. In der Projektpraxis haben wir solche
Systeme entwickelt, die sich an dem Plan –
Do – Check – Act Muster ausrichten
4. Die ISO 31000 ist der Ausgangspunkt für den
Aufbau dieser Systeme
5. Das Verständnis der grundlegenden
Aussagen des Risikomanagements und der
entsprechenden ISO Normen ist
Voraussetzung für eine erfolgreiche
Betätigung in diesem Feld
6. In aktuellen Ausschreibungen für Stellen in
diesem Gebiet werden Kenntnisse in diesem
Gebiet sehr klar gefordert
30
25%25%
25% 25%Plan
DoCheck
Act
Sicherheitsplanung
Sicherheitslenkung
Sicherheitsverbesserung
Sicherheitsprüfung
Projektbeispiele
© Verismo GmbH 2014 …to keep the company running!31
1. Bedeutung des Risikomanagements
3. Aktueller Status
2. Geschichte des Risikomanagements
5. Fortentwicklung des Risikomanagements
Agenda
7. Zusammenfassung
4. Laufende Verhandlungen in den ISO Gremien
6. Bedeutung für den Sicherheitsmanager
© Verismo GmbH 2014 …to keep the company running!
Zusammenfassung
1. Die Bedeutung des Risikomanagements hat sich in den vergangenen Jahren seit
Einführung des KonTraG in Deutschland gefestigt.
2. Es gibt zunehmend Haftungsfälle, bei denen die Geschäftsleitung wegen „Verletzung
der Sorgfalt eines ordentlichen Kaufmanns“ in Anspruch genommen wird.
3. Die Akzeptanz der ISO 31000 hat in den letzten Jahren international zugenommen.
4. Die ISO 31000 Familie wird ständig, fast inflationär, um weitere Themen erweitern.
• Kontinuitätsmanagement
• Disruption related Risks
• Sicherheitsmanagement
• Supply Chain Security
5. Für den Sicherheitsmanager ist es auch für die innerbetriebliche Akzeptanz erforderlich,
die Grundlagen des Risikomanagements und der aktuellen Standards zu verstehen.
6. Diese Anforderungen gelten insbesondere im internationalen Geschäft, da
Risikomanagement nach ISO 31000 insbesondere außerhalb Europas zunehmende
Bedeutung hat
32
© Verismo GmbH 2014 …to keep the company running!33
Wir über uns – Unternehmensdarstellung
Die Verismo GmbH ist eine schweizerische Beratungsgesellschaft auf dem Gebiet des ganzheitlichen Risikomanagements mit Firmensitz in Küsnacht/Schweiz und bei Mannheim.
Ihr Geschäftszweck ist die Beratung von Unternehmen auf dem Gebiet der betrieblichen Risiken. Ihre Schwerpunkte liegen in den Bereichen der integrierten Managementsysteme, des unternehmensweiten Risikomanagements, des Kontinuitäts- und Krisenmanagements, der Informationssicherheit, der Internen Revision, der Mediation, der Kommunikation, sowie der Fortentwicklung der erforderlichen Methodik.
Gründer und Geschäftsführer ist Dr. jur. Klaus Bockslaff. Er ist erfahrener Risikomanager und war vor seiner Selbständigkeit u.a. Leiter der Abteilung Risikomanagement der R+V Versicherung und Senior Manager bei Arthur Andersen bzw. Ernst & Young AG.
Weitere Hinweise, auch zu unserem ergänzenden Seminarprogramm in unserem Seminarzentrum finden Sie unter: www.verismo.ch
© Verismo GmbH 2014 …to keep the company running!34
Ausbildung zum Risikomanagement Beauftragten
© Verismo GmbH 2014 …to keep the company running!35
Publikationen zum Thema
© Verismo GmbH 2014 …to keep the company running!36
WWW. .CH