Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
28.10.2019SWISS GRC DAY 2019
Integration von Risikomanagement in die Geschäftsabläufe mit der
DIN ISO 31000:2018
28.10.2019SWISS GRC DAY 2019
Gliederung
▪ Was ist Risiko ?
▪ Was ist Risikomanagement und warum ist es sinnvoll ?
▪ DIN ISO 31000:2018,
• ihre Struktur
• ihr Inhalt
▪ Integration von Risikomanagement in die Geschäftsabläufe
• Die Risikomanagementschleife
• Die Integration in einen operativen Prozess (Beispiel: EPK)
2 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
28.10.2019SWISS GRC DAY 2019
Was ist Risiko ?
Risikodefinitionen (keine erschöpfende Auflistung)
▪ The possibilty that events will occur and affect the achievement of strategy and business objectives (COSO)
▪ Combination of the occurence of harm and the severety of that harm (ISO Guide 51:2014 & e.a.)
▪ Auswirkung von Unsicherheit auf Ziele (effect of uncertainty on objectives) – DIN ISO 31000:2018 e.a.
▪ effect of uncertainty ISO 9000:2015 e.a.
3 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
28.10.2019SWISS GRC DAY 2019
Was ist Risikomanagement und warum ist es sinnvoll ?
Die Menschheit ist über die Zeiten erfolgreich gewesen und hat überlebt, weil sie die Fähigkeit zum Umgang
mit Risiken erworben hat: die Entscheidung zu treffen, wegzulaufen oder den Angreifer zu bekämpfen, ist
Risikomanagement!
Risikomanagement in seinen ersten Schritten ist eine einfache Aufgabe, die gesunden Menschenverstand
verlangt – was jeder Manager beachten sollte, der seine Pflicht, seine Organisation widerstandsfähig zu
erhalten, ernst nimmt.
"Dieses Foto" von Unbekannter Autor ist lizenziert gemäß CC BY-NC
?
4 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
http://www.pngall.com/tiger-pnghttps://creativecommons.org/licenses/by-nc/3.0/
28.10.2019SWISS GRC DAY 2019
Was ist Risikomanagement und warum ist es sinnvoll ?
Wichtige Fragen
Sicheren Übergang suchenNach rechts und
links absichern
Danach erst Straße
überqueren
5 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
28.10.2019SWISS GRC DAY 2019
Die DIN ISO 31000 und ihre Struktur
Drei Säulen:
▪ Grundsätze: erforderliche Eigenschaften eines wirk-
samen und effizienten Risikomanagement
▪ Rahmenwerk: hilft bei der Integration des Risikomanage-
ments in die Aktivitäten und Funktionen der Organisation
▪ Prozess: integraler Bestandteil von Management,
Struktur, Abläufen und Prozessen der Organisation
Bild 1 – Grundsätze, Rahmenwerk und Prozess (vereinfacht)
6 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
28.10.2019SWISS GRC DAY 2019
Der Inhalt der DIN ISO 31000:2018
Die Grundsätze:
Kernkonzept der DIN ISO 31000: Der Zweck des Risikomanagements
besteht in der Schaffung und dem Schutz von Werten.
▪ Acht Grundsätze (Konzepte) vermitteln den Wert des
Risikomanagements, erläutern Absicht und Zweck und bilden die
Grundlage für das Umgehen mit Risiken rund um die Schaffung und
den Schutz von Werten.
▪ Die Grundsätze sind erforderlich für ein effektives und
effizientes RisikomanagementBild 2 – Grundsätze
7 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
28.10.2019SWISS GRC DAY 2019
Der Inhalt der DIN ISO 31000:2018
Das Rahmenwerk
▪ Abschnitt 5 der Norm beschreibt in 7 Kapiteln die Elemente, die der
Organisation die Integration von Risikomanagement in Ihre
Aktivitäten und Funktionen erleichtern sollen.
▪ Bild 3 der Norm zeigt die Komponenten des Rahmenwerks
▪ Die Komponenten sollen an die Bedürfnisse der Organisation
(maßgeschneidert) angepasst werden
Bild 3 – Rahmenwerk
8 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
28.10.2019SWISS GRC DAY 2019
Der Inhalt der DIN ISO 31000:2018
Der Prozess
▪ Der Risikomanagementprozess soll integraler Bestandteil des
Managements und der Entscheidungsfindung der Organisation sein.
▪ Er soll in die Struktur, die Abläufe und Prozesse (alle Aktivitäten)
integriert und auf allen Ebenen angewendet werden.
▪ Es können viele (unterschiedliche) Anwendungen des Prozesses
innerhalb einer Organisation bestehen, an die er jeweils
(maßgeschneidert) anzupassen ist.
▪ Zumeist sequentiell dargestellt, ist er tatsächlich iterativ. Bild 4 – Prozess
9 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
28.10.2019SWISS GRC DAY 2019
10 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Der Inhalt der DIN ISO 31000:2018
Der Prozess
▪ Risikobeurteilung
• sollte systematisch, iterativ und kollaborativ durchgeführt werden.
• Hilfsmittel für die Risikobeurteilung finden sich in der ISO/IEC
31010
• Risikobeurteilung ist der Prozess der
o Risikoidentifikation
o Risikoanalyse und der
o Risikobewertung
Risiko-
beurtei-
lung
28.10.2019SWISS GRC DAY 2019
11 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Der Inhalt der DIN ISO 31000:2018
Der Prozess
▪ Risikobehandlung
• Zweck ist es, Optionen zur Behandlung des Risikos auszuwählen
und zu implementieren:
o Auswahl von Optionen zur Behandlung des Risikos
(Abwägung der erzielbaren Vorteile gegen die Nachteile)
o Erstellen und Implementieren von Plänen zur
Risikobehandlung
• Keine Optionen verfügbar Risiko dokumentieren und laufend
überprüfen.
Risiko-
behandlungRisiko-
behandlung
28.10.2019SWISS GRC DAY 2019
12
Die Bedeutung der Integration von Risikomanagement
Organisationen mit stark integrierten Risikomanagementprogrammen können daraus Werte realisieren und
erreichen typischer Weise größere Wachstumsraten als Organisationen mit geringer integrierten
Programmen – integriertes Risikomanagement ist zumeist effizienter und effektiver!
(Deloitte‘s 2019 survey of risk mangement – Deloitte. Insights –
Reimagine risk: Thrive in your evolving ecosystem)
Aber: manchmal wird die Integration vor dem
Hintergrund der Digitalisierung auf Risiko-
managementprogrammbereiche reduziert (z.B.
strategisch, operativ und technologisch), vergl. z.B. Gartner bei LinkedIn:
Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
IRM GRC
© Gartner
https://www2.deloitte.com/us/en/insights/topics/risk-management/cro-risk-management-survey-results.htmlhttps://www.linkedin.com/pulse/grc-may-keep-you-out-trouble-irm-business-john-a-wheeler/?mc_cid=e8c34eea29&mc_eid=28e77d75aa
28.10.2019SWISS GRC DAY 2019
13 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Die Integration von Risikomanagement nach DIN ISO 31000
Systematisch die Prozesse der Organisation aufwerten,
indem der Risikomanagementprozess integriert wird
28.10.2019SWISS GRC DAY 2019
14 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Die Risikomanagementschleife
▪ der Kernprozess:
Hier ist der Prozess (wie zumeist) sequentiell
(als EPK) dargestellt.
Tatsächlich ist der Prozess in der Praxis aber
iterativ!
RM-Schleife
28.10.2019SWISS GRC DAY 2019
15 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Vereinfachter operativer Prozess als EPK
Information
oder
Beurteilung
neue Infor-
mation o.
Beurteilung
Ziel
erreicht
Einzelschritt
(Aktion) des
Prozesses
Einzelschritt
(Aktion) des
Prozesses
neue
Situation
28.10.2019SWISS GRC DAY 2019
16 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Die Integration von Risikomanagement in einen
operativen Prozess
Information
oder
Beurteilung
neue Infor-
mation o.
Beurteilung
Ziel
erreicht
Einzelschritt
(Aktion) des
Prozesses
Einzelschritt
(Aktion) des
Prozesses
neue
Situation
RM-SchleifeRM-Schleife
28.10.2019SWISS GRC DAY 2019
17 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Die Risikomanagementschleife als Baustein in einem
operativen Prozess
Information
oder
Beurteilung
neue Infor-
mation o.
Beurteilung
Ziel
erreicht
Einzelschritt
(Aktion) des
Prozesses
Einzelschritt
(Aktion) des
Prozesses
neue
Situation
28.10.2019SWISS GRC DAY 2019
18 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Die Integration von Risikomanagement in die Geschäftsabläufe mit
der DIN ISO 31000:2018
Ergebnisse:
▪ Was sind Risiko und Risikomanagement
▪ Inhalt und Struktur der DIN ISO 31000:2018
▪ Der Kernprozess des Risikomanagements (die Risikomanagementschleife)
▪ Die Bedeutung der Integration von Risikomanagement
▪ Die Integration von Risikomanagement in einen (operativen) Prozess
▪ Die Risikomanagementschleife als Baustein in einem (operativen) Prozess
28.10.2019SWISS GRC DAY 2019
19 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019
Vielen Dank für Ihre Aufmerksamkeit !
Sie haben noch Fragen? Sprechen Sie mich einfach direkt an!
der Referent:
Managing Partner
Mobil +49 172 3019 124
Telefax +49 30 771 90 322
www.herdmann.de
www.expatbiz.eu
▪ Stellvertretender Obmann im DIN NA 175-00-04 AA
Risikomanagement
▪ 2013 – 2017 Leiter der deutschen Delegation zum
ISO/TC 262 Risk Management
▪ 2014 – 1017 Leiter der ISO/TC 262 Kommunikation
▪ Obmann im DIN NA 175-00-05 GA Sicherheit und
Business Continuity
▪ Projektleiter zur Revision der ISO 28000 Security
Management in der ISO/TC 292 WG 8
▪ Obmann im DIN NA 175 BR-2 SO Revision des
Annex SL (HLS für MSS) und Delegierter des DIN
zur ISO/TMBG/JTCG/TF14
https://www.beuth.de/de/erweiterte-suche/272754!search?alx.searchType=complex&searchAreaId=1&query=herdmann&facets%5B276612%5D=&hitsPerPage=10