Fortentwicklung des Risikomanagements bei den ... · Die ISO 31000 ist der Ausgangspunkt für den Aufbau dieser Systeme 5. Das Verständnis der grundlegenden Aussagen des Risikomanagements

Risikomanagement

Fortentwicklung des Risikomanagements bei den

Verhandlungen über die ISO 31000

Dr. Klaus Bockslaff

Hannover, den 28. November 2014

© Verismo GmbH 2014 …to keep the company running!2

1. Bedeutung des Risikomanagements

3. Aktueller Status

2. Geschichte des Risikomanagements

5. Fortentwicklung des Risikomanagements

Agenda

7. Zusammenfassung

4. Laufende Verhandlungen in den ISO Gremien

6. Bedeutung für den Sicherheitsmanager


RisikoanalyseIdentifizieren

aller Risiken

Risikobewertung

nach Kategorien

Vorgaben des Risk Management-Framework

durch das Management

Reporting/

Kommunikation

finan-zieren

Risiko-

controlling;

Ergebnis-

nachweis

Eskalation/

Entscheidung

Schwache Signale beobachten

Management-Kontrollen zuordnen

Gegenmaßnahmen zuordnen

ver-meiden

Gesam

tris

iko ver-

mindernüber-wälzen

Grundlagen des Risikomanagements


Risikomanagement - nichts neues

Das KonTraG konkretisiert Haftungsregelungen, ansonsten:

Jedes unternehmerische Handeln ist mit Risiken verbunden

Risikohandhabung bildet den Kern unternehmerischer Tätigkeit

Deshalb existiert in jedem Unternehmen i. d. R. bereits

eine Vielzahl von Teilsystemen eines RM-Systems, z.B.

- Strategische Planung

- Controlling

- Versicherungsmanagement

- Treasury

- Projektmanagement

- Qualitätsmanagement usw.

Arabische Weisheit:

Vertrau auf Allah

Binde dein Kamel an

© Verismo GmbH 2014 …to keep the company running!

Definition Risiko

Verismo bisher:

Unter Risiko verstehen wir

• die Möglichkeit

• der Nicht-Erfüllung unternehmerischer Ziele

• in Verbindung mit Verlustgefahr und Fehlentscheidung

5

ONR 49000:

Begriff des Risikos: Ausgang eines Ereignisses oder einer Entwicklung, welcher

die Ziele beeinträchtigt.

Auswirkungen können auf unterschiedliche Art und Weise die Ziele beeinträchtigen:

• Ein Ereignis oder eine bestimmte Veränderung von Umständen (Entwicklung) kann zu vielfältigen

Auswirkungen führen.

• Eine Auswirkung kann gewiss oder ungewiss sein und sich positiv (Gewinn, Vorteil, Nutzen) oder

negativ (Verlust, Nachteil, Schaden) auf Ziele einer Organisation auswirken.

• Auswirkungen können quantitativer oder qualitativer Art sein.

• Zu den besonderen Auswirkungen von Risiken zählen Personen-, Sach- und Vermögensschäden,

unabhängig davon, ob und wie sie versichert werden können.


Definition Risikomanagement

6

Unter Risikomanagement verstehen wir

die Gesamtheit der organisatorischen Regelungen

• zur Erkennung und

• zum Umgang

mit Risiken unternehmerischer Betätigung

mit dem Ziel der Sicherung von

• Unternehmensbestand

• und Unternehmensentwicklung

Unter Risikomanagement versteht die ONR 49000

die Prozesse und Verhaltensweisen, die darauf

ausgerichtet sind, eine Organisation bezüglich

Risiken zu steuern

Die Umsetzung des Risikomanagements führt zu

einer Risikokultur in der Organisation.


Die Risiken werden nach „ Eintrittswahrscheinlichkeit“ und „Auswirkung auf

die Unternehmensziele“ bewertet

Das Risikoportfolio stellt einen umfassenden Analyse-

und Handlungsrahmen für das Risikomanagement

bereit

• Definition des Bereiches nicht

akzeptabler Risiken (-> Risikopolitik)

• Visualisierung der identifizierten Risiken im

Risikoportfolio

• Priorisierung der Risiken i.W. anhand der

Erwartungswerte (Auswirkung auf

Unternehmensziele * Eintrittswahrscheinlichkeit)

Au

sw

irku

ng

au

f U

nte

rneh

men

szie

le

Eintrittswahrscheinlichkeit

sehr

gering

gering

hoch

sehr

hoch

sehr

geringgering hoch

sehr

hoch

Bereich nicht

akzeptabler

Risiken

Das Risikoportfolio bildet den Ausgangspunkt für die unternehmensindividuelle

Definition der Risikostrategien

Risikoportfolio



3. Aktueller Status



Agenda Tag 1

7. Zusammenfassung




Geschichte des Risikomanagements

Lloyd´s Coffee House Satzungen der alten Gilden

9


Entwicklung des Risikomanagements

Risiken

reduzierenvermeiden

abwälzen

akzeptieren

aktives

Risikomanagement

(ursachenbezogen)

passives

Risikomanagement

(wirkungsbezogen)

Risikostrategie:

Das Risikomanagement ist zunehmend strategisch ausgerichtet. Es werden

sämtliche Risiken behandelt, die für den Erhalt und die Wertsteigerung des

Unternehmens relevant sind.

3. Umfassendes Risikomanagement (heutige Sicht)

1. Versicherungs-

einkauf (vor 1950)

2. Versicherungs-

management (nach 1950)

Das Risikomanagement wird als Risiko gestaltende Führungsfunktion

verstanden



3. Aktueller Status



Agenda

7. Zusammenfassung




„years after“ Einführung des KonTraG

Ein paar Gedanken zur Einordnung des Risikomanagements

• Spektakuläre Fälle haben letztlich zur gesetzlichen Verankerung des

Risikomanagements geführt (insbesondere KonTraG, Mai 1998)

• Im Kern erfordert aber jede unternehmerische Tätigkeit den bewussten

Umgang mit Risiken und das Abwägen von Risiko & Chance

• Risikomanagement ist somit integraler Bestandteil jedes

unternehmerischen Handelns

• Ziel des Risikomanagements kann dann auch nicht die Vermeidung

sämtlicher Geschäftsrisiken sein

• Risikomanagement erfordert jedoch die genaue Kenntnis aller auf das

Unternehmen wirkenden Risiken


Quo vadis Risikomanagement?

Erfahrungen aus Sicht von Prüfern & Beratern:

• Oft stellen die identifizierten Risiken nur eine retrospektive Abbildung von

Erfahrungen aus der Vergangenheit dar (mangelhafte Erfüllung der

Frühwarnfunktion)

• Risikobewusstsein der Mitarbeiter ist häufig nur unzureichend ausgeprägt

• Die Dokumentation des Risikomanagementsystems und der konkreten

Risiken ist in vielen Fällen noch unvollständig

• Viele junge Unternehmen verfügen über keine oder nur rudimentär

ausgeprägte Informations- und Steuerungssysteme (z.B. Controlling)

• Neben der Erfüllung gesetzlicher Anforderungen (KonTraG) steht

zunehmend der Nutzen von Risikomanagement im Mittelpunkt

• Zum jetzigen Zeitpunkt stellt sich in vielen Unternehmen die Frage nach der

Optimierung vorhandener Risikomanagementsysteme


Lage des Risikomanagements

Untersuchung in 27 Ländern, durchgeführt 2013

Detaillierte Untersuchung der Situation in Norwegen, Singapur und der Schweiz

Wichtigste Ergebnisse für das Risikomanagement:

• Kosten von Fehlern oder Versäumnissen werden oft deutlich unterschätzt

• Die meisten Unternehmen der Meinung sind, dass das RM eine ausschliessliche

Verantwortung des Linienmanagements

• Beim RM sollten auch nicht-finanzielle, insbesondere strategische und operationelle

Risiken unbedingt berücksichtigt werden

• Risiken aus dem Oursourcing und Supply-Chain-Risiken verdienen in allen Sektoren mehr

Aufmerksamkeit

• Unternehmensleitung sollte den potentiell "katastrophalen" Risiken ausreichende

Aufmerksamkeit schenkt, auch wenn diese unwahrscheinlich sind

• Staatliche Unternehmen und Einrichtungen sollten ähnliche Risikomanagement-Praktiken

verfolgen wie private Unternehmen.

14

Untersuchung der OECD im Jahre 2013

über den Status des Risikomanagements



• Risiken werden nicht auf der Ebene des Gesamtunternehmens behandelt und nicht mit

der Unternehmensstrategie abgestimmt waren.

• Die Regulatoren und die normenschaffenden Gremien haben nicht wirklich verstanden,

dass Risikoübernahme zwar eine treibende Kraft des Geschäfts darstellt.

• Wirksames RM verlangt einen unternehmensweiten Ansatz und nicht nur eine

Betrachtung innerhalb einer einzelnen Geschäftseinheit.

• Unternehmensstrategie, Risikoappetit und interne Risikomanagement-Strukturen sind

aufeinander abzustimmen.

• Der Chief Risk Officer bzw. der Risikomanager muss direkt und unabhängig der obersten

Leitung berichten können.

• Der Risikomanagement-Prozess und die Ergebnisse von Risikobeurteilungen sind

angemessen offenzulegen. Risikofaktoren sind transparent und verständlich zu

kommunizieren.

15



Wichtigste Fehler im Risikomanagement:



• Es gibt ein globales Interesse in diesem

internationalen Standard

• Laut OECD ist: ISO 31000 de-facto der

«Weltstandard» für Risikomanagement

geworden

• Begriffe und Definitionen sind noch

nicht genug harmonisiert

• Es gibt zu viele SILOS für ähnliche

Zwecke

• Visionen und Konzepte müssen

zusammengebracht werden

• Verbindungslinien und Brücken müssen

gebaut werden

16



Beurteilung von ISO 31000

ISO 31000

principles,

framework

and process

ISO Guide

73 Begriffe

ISO 27001

ISO 22301

Notfall- und

Krisen-

managementISO 9001

ISO 31010

weitere



3. Aktueller Status



Agenda

7. Zusammenfassung




Stammbau der aktuellen Risikomanagementstandards

18

ONR 4900x

2014

Quelle: nach Dr. Peter Winter, Zürich 2009

Weitere ISO

Normen

Weitere ISO

Normen

Weitere ISO

Normen

Weitere ISO

Normen2015 ff


Auswahl weiterer Standards zum

Risikomanagement

COSO ERMAS / NZS 4360

Risk Management

ONR 49000

Auswahl internationaler Risikomanagementstandards


Risikomanagement nach ISO 31000

• Risikomanagement nach ISO 31000 fokussiert nicht nur die strategischen Risiken

(Produkte, Technologien, Märkte, Kunden und die Veränderungen der Umfeldfaktoren),

es schließt auch alle nachgelagerten Risiken auf operationeller und prozessualer

Führungsebene ein.

20


ISO 31000 – Überblick über den Zusammenhang zwischen

Risikomanagement Prinzipien, dem Framework und dem Prozess

21


Methoden der Risikobewertung – vertieft in ISO 31010

Risikolandschaft Critical Incidents Reporting FMEA

Anwendung

Organisationen und Systeme

(Produkte, Projekte, Prozesse,

etc.)

Luftfahrt, Arbeitssicherheit

(Chemie), Gesundheitswesen

Komplexe technische

Systeme, Analyse

von Design / Prozess,

Autoindustrie

Risikobegriff R = f (W;A) Fehler, Ereignis, SchadenRPZ = f (W;A;E)

RPZ (Risikoprioritätszahl)

Ansatzpunkt Credible Worst Case SzenarioFreiwillige Meldung,

StraffreiheitFunktion, Fehlfunktion

Identifikation Generische Gefahrenliste Effektive WahrnehmungSystemelemente

(Design und Prozess)

Bewertung Risiko-Toleranzgrenze Häufigkeitsauswertung Punktebewertung durch RPZ

AufwandJe nach Tiefe der Analyse

mittel bis hoch

Hoch, braucht

Vertrauensatmosphäre

Je nach Tiefe der Analyse

mittel bis hoch

Klassische Methoden zur Bewertung (1/2)


Klassische Methoden zur Bewertung (2/2)

HAZOP Value at Risk Fehlerbaum, Auswirkung

AnwendungKomplexe technische Systeme

(Chemieanlagen)

Unternehmen, Finanzindustrie

(Banken und Versicherung)

Komplexe technische

Systeme, Störfallvorsorge

Risikobegriff R = f (W;A) WahrscheinlichkeitsverteilungWahrscheinlichkeit des TOP-

Events

AnsatzpunktFunktion, Fehlfunktion,

LeitworteKonfidenzintervalle TOP Event

Identifikation Systemelemente (Design) Nicht unterstützt Ursache-Wirkungs-Kette

Bewertung Risiko-Toleranzgrenze i.d.R. 95 / 99 % Risiko-Toleranzgrenze

Aufwand hoch Sehr hoch Sehr hoch

Nach: Bruno BrühwilerWeitere Einzelheiten werden in der ISO 31010 diskutiert

Methoden der Risikobewertung – vertieft in ISO 31010



3. Aktueller Status



Agenda

7. Zusammenfassung




Weiterentwicklung des Risikomanagements nach ISO 31000Ansatzpunkte und Aktivitäten

Weiterentwicklung des formalen

Risikomanagements

Kontinuierliche, schrittweise Verbesserung von Effizienz und

Aussagekraft des bestehenden RM-Instrumentariums

Funktionales, flexibles

Risikomanagement

Entwicklung spezialisierter Instrumente für kritische

Funktionen und Prozesse (z.B. Treasury, Personal,

Sicherheits- , Kontinuitäts- und Krisenmanagement)

EDV-Unterstützung des

Risikomanagements

Implementierung von Tools zur Unterstützung des gesamten

RM-Prozesses von der Risikoidentifikation bis zum

Risikoreporting

Erhöhung der Aussagekraft,

verbesserte Zukunftsorientierung

Implementierung „echter“ Frühwarnsysteme zur Prognose

zukünftiger Ereignisse/ Entwicklungen, die nachhaltigen

Einfluss auf den Unternehmenserfolg haben können

Nutzung der ISO 31000 Familie für

die Ausgestaltung des RM in

Managementsysteme

?????????????

Integrierte Unternehmenssteuerung

und Chancen-/ Risiko-Optimierung

Integration der vorhandenen Führungssysteme durch eine

ganzheitliche, strategieorientierte Sichtweise auf Basis der

Balanced Scorecard


Beispiel: Supply Chain Security

26

Vorschlag für ein „new work item proposal“


Beispiel

27

ISO 31000

principles,

framework

and process

ISO Guide

73 Begriffe ISO 27001

ISO 22301

Notfall- und

Krisen-

management

ISO 9001ISO 31010

Supply Chain

Security

Security

Management



3. Aktueller Status



Agenda

7. Zusammenfassung




Beispiele für die Fortentwicklung des Risikomanagements:

Grundstrukturen der Konzernsicherheit

Anforderungen

aus den

Geschäftsprozesse

des Unternehmens

Konzernsicherheit

•Sicherheitspolitik

•Organisation

•Kernprozesse

Personelle Sicherheit

Physische Sicherheit

Schutz der Infrastruktur

Informationssicherheit

Markenschutz

Sicherheit bei

Produkten und

Dienstleistungen

Vernetzung mit dem Risikomanagementprozess des Unternehmens

Sicherstellung der Handlungsfähigkeit bei krisenhaften Situationen

Optimierung der Umsetzungsprozesse

Aktive Steuerung der Schadenverhütung

Aktive Kooperation mit dem Versicherer


Bedeutung des Risikomanagements für den

Sicherheitsmanager

Thesen:

1. Die Aufgabe des Sicherheitsmanagers wird

zunehmend in dem Aufbau von Sicherheits-

managementsystemen bestehen

2. Für Sicherheitsmanagementsysteme gibt es

derzeit keine ISO Norm

3. In der Projektpraxis haben wir solche

Systeme entwickelt, die sich an dem Plan –

Do – Check – Act Muster ausrichten

4. Die ISO 31000 ist der Ausgangspunkt für den

Aufbau dieser Systeme

5. Das Verständnis der grundlegenden

Aussagen des Risikomanagements und der

entsprechenden ISO Normen ist

Voraussetzung für eine erfolgreiche

Betätigung in diesem Feld

6. In aktuellen Ausschreibungen für Stellen in

diesem Gebiet werden Kenntnisse in diesem

Gebiet sehr klar gefordert

30

25%25%

25% 25%Plan

DoCheck

Act

Sicherheitsplanung

Sicherheitslenkung

Sicherheitsverbesserung

Sicherheitsprüfung

Projektbeispiele



3. Aktueller Status



Agenda

7. Zusammenfassung




Zusammenfassung

1. Die Bedeutung des Risikomanagements hat sich in den vergangenen Jahren seit

Einführung des KonTraG in Deutschland gefestigt.

2. Es gibt zunehmend Haftungsfälle, bei denen die Geschäftsleitung wegen „Verletzung

der Sorgfalt eines ordentlichen Kaufmanns“ in Anspruch genommen wird.

3. Die Akzeptanz der ISO 31000 hat in den letzten Jahren international zugenommen.

4. Die ISO 31000 Familie wird ständig, fast inflationär, um weitere Themen erweitern.

• Kontinuitätsmanagement

• Disruption related Risks

• Sicherheitsmanagement

• Supply Chain Security

5. Für den Sicherheitsmanager ist es auch für die innerbetriebliche Akzeptanz erforderlich,

die Grundlagen des Risikomanagements und der aktuellen Standards zu verstehen.

6. Diese Anforderungen gelten insbesondere im internationalen Geschäft, da

Risikomanagement nach ISO 31000 insbesondere außerhalb Europas zunehmende

Bedeutung hat

32


Wir über uns – Unternehmensdarstellung

Die Verismo GmbH ist eine schweizerische Beratungsgesellschaft auf dem Gebiet des ganzheitlichen Risikomanagements mit Firmensitz in Küsnacht/Schweiz und bei Mannheim.

Ihr Geschäftszweck ist die Beratung von Unternehmen auf dem Gebiet der betrieblichen Risiken. Ihre Schwerpunkte liegen in den Bereichen der integrierten Managementsysteme, des unternehmensweiten Risikomanagements, des Kontinuitäts- und Krisenmanagements, der Informationssicherheit, der Internen Revision, der Mediation, der Kommunikation, sowie der Fortentwicklung der erforderlichen Methodik.

Gründer und Geschäftsführer ist Dr. jur. Klaus Bockslaff. Er ist erfahrener Risikomanager und war vor seiner Selbständigkeit u.a. Leiter der Abteilung Risikomanagement der R+V Versicherung und Senior Manager bei Arthur Andersen bzw. Ernst & Young AG.

Weitere Hinweise, auch zu unserem ergänzenden Seminarprogramm in unserem Seminarzentrum finden Sie unter: www.verismo.ch


Ausbildung zum Risikomanagement Beauftragten


Publikationen zum Thema


WWW. .CH

Documents

Fortentwicklung des Risikomanagements bei den ... · Die ISO 31000 ist der Ausgangspunkt für den Aufbau dieser Systeme 5. Das Verständnis der grundlegenden Aussagen des Risikomanagements