Tag 2 Risikoidentifikation

2 www.proquest.at

Tag 2 Risikoidentifikation

3 www.proquest.at

Agenda des Tages

09:00 - 09:15: Kick-off / Organisation / Zusammenarbeit

09:15 - 09:45: Kick-off Training

09:45 - 10:30: Methoden zur Risikoidentifikation

10:30 - 10:40: Pause

10:40 - 12:30: Arbeiten mit den Methoden

12:30 - 13:30: Mittagspause

13:30 - 15:00: Prozess der Risikoanalyse nach der mf-Methode

15:00 - 15:30: Pause

15:30 - 16:30: Auditsimulation

16:30 - 17:00: Abschluss-Reflexion

4 www.proquest.at

Themen und Ziele des heutigen Tages

• Kernthemen des heutigen Tages ist die Identifikation von Risiken

und damit die

• Erfassung und Beschreibung

• Kategorisierung

• Dokumentation

• Priorisierung (bereits ein Teil von Morgen)

• Ziel ist es einen Überblick über Methoden und den

Herausforderungen in der Anwendung zu erhalten

• Erfahrungen für deren praktische Anwendung zu sammeln.

5 www.proquest.at

15 Minuten Check

Sammeln sie die Risiken, die sie in

diesem Bild für Ihr Unternehmen erkennen!

6 www.proquest.at

Ihre Ergebnisse

• Welche Risiken haben Sie für Ihr Unternehmen erkannt?

• Wo lag die große Herausforderung?

• Wo sehen Sie die große Herausforderung bei der

Identifikation von Risiken?

7 www.proquest.at

Herausforderung: Selektive Wahrnehmung

11 Mio. zu 60

8 www.proquest.at

Was ist ein Risiko

• …ist ein mögliches Ereignis, das dem Unternehmen Schaden zufügen kann und die Erreichung der Firmenziele gefährdet.

• …bietet Entwicklungs- und Wachstumspotenziale für die Zukunft.

• Auch nicht wahrgenommene Chancen stellen aus unternehmerischer Sicht ein erhebliches Risikopotenzial dar.

Risiko im

engeren Sinn

(Verlustgefahr)

„Downside Risk“

Risiko aus unternehmerischem Handeln

„Upside Risk“

Risiko im

weiteren Sinn

(Chance)

Reines

Risiko

Quelle: ÖCI

9 www.proquest.at

Risiken als mögliche Planabweichungen

negative

Abweichung

positive

Abweichung

Zielwert

Gefahren

Chancen

KonTraG: nur negative Zielabweichung

Realität: a

uch positive Zielabweichung

Zukunft

Wahrscheinlichkeit

erw

art

ete

s

Jah

rese

rge

bn

is

€

negative

Abweichung

positive

Abweichung

Zielwert

Gefahren

Chancen

KonTraG: nur negative Zielabweichung

Realität: a

uch positive Zielabweichung

Zukunft

Wahrscheinlichkeit

erw

art

ete

s

Jah

rese

rge

bn

is

€

10 www.proquest.at

Abgrenzung und Klärung relevanter Begriffe

• RISIKO = ist ein mögliches Ereignis, das eine Abweichung

vom Plan darstellt

• FEHLER = ist die NICHT-Erfüllung eines Standards oder

einer festgesetzten Forderung

• SCHADEN = Bewertung einer negativen Ereignisfolge;

Beeinträchtigung eines Gutes oder eine Wertminderung des

Ursprünglichen Zustandes

• WAHRSCHEINLICHKEIT = Dient zur Abschätzung (Annäherung,

Messung, …) von Unsicherheiten in einem zukünftigen Sachverhalt

11 www.proquest.at

Wo entstehen Risiken?

Expertenumfrage –Risk Management 2017

12 www.proquest.at

Herausforderungen im Risikomanagement

Expertenumfrage –Risk Management 2017

13 www.proquest.at

„Black Swan“ oder vollkommene Information

• Folgende (idealtypischen) Informationsstände sind als Basis für eine

Risikoquantifizierung (theoretisch) denkbar:

• Es liegt ein vollkommener Informationsstand vor (bekannte

Wahrscheinlichkeitsverteilung).

• Es liegen gute Daten vor, es sind jedoch subjektive Annahmen für deren

Auswertung und Fortschreibung in die Zukunft notwendig.

• Historische Daten sind offensichtlich unvollständig, aber es sind subjektive

Einschätzungen zur Vervollständigung vorhanden.

• Es liegen nur subjektive Schätzungen vor, die aber als einigermaßen

gesichert aufgefasst werden.

• Die subjektiven Schätzungen sind mit gravierenden Unsicherheiten

behaftet.

• Es liegen keinerlei Informationen und Einschätzungen vor („Black Swan“).

Realit

ät

14 www.proquest.at

Methoden und Werkzeuge

• Die Methoden und Werkzeuge zur Identifikation und Bewertung

von Risiken haben eine wesentliche Aufgabe

Wir

kli

ch

keit

15 www.proquest.at

Methoden und Werkzeuge

• Im Idealfall unterstützen uns die

Methoden dabei einen 360°-

Rund-um-Blick zu erhalten

• Jeder der Methoden hat dabei

Ihre Stärken und Schwächen

• Finden Sie den für Sie

passenden Mix

16 www.proquest.at

Strategien zur Verbesserung der Qualität

1. Konzeptionierung des Erhebungsverfahrens unter Berücksichtigung

bekannter Quellen für psychologische Verzerrungen

2. Risiken detailliert herleiten und begründen lassen;

3. Kritische Diskussion der Risikoquantifizierung im Expertenkreis;

4. Sensibilisieren für potentielle psychologisch bedingte Verzerrungen der

Risikoeinschätzungen, beispielsweise durch Checklisten;

5. Unabhängige Risikoidentifikation durch verschiedene Experten und

Verdichtung der Experteneinschätzung zu einer verbundenen

Wahrscheinlichkeitsverteilung (Simulation mit Meta-Risiken)

17 www.proquest.at

Der Prozess zur Risikoanalyse

Einordung der Risikoidentifikation in den Gesamtprozess

des Risikomanagements

18 www.proquest.at

Einordnung in den RM-Prozess

Identifikation von Risiken

Bewertung und

Aggregation

Steuerung und

Überwachung Reporting

19 www.proquest.at

Die Risikoanalyse

Die Risikoidentifikation

ist das systematische Erfassen aller

möglichen Ereignisse und Zustände

in allen Geschäftsbereiche.

Die Risikobewertung ist

die Bestimmung der Risikohöhe

und der Auswirkung dieses Risikos

im Unternehmen.

Die RISIKOANALYSE ist die

systematische Analyse

zur Identifikation und Bewertung

von Risiken.

20 www.proquest.at

Einordnung ins Risikomanagement-System

Präventive und reaktive

Maßnahmen

Kosten- / Nutzenanalysen

Maßnahmencontrolling

Risikosteuerung

Aussagen zur Verteilung und

zur Korrelation von Risiken

Bestimmung der Gesamt-

risikoposition

Risikoaggregation

Bewertung nach Schadens-

höhe und Eintrittswahr-

scheinlichkeit (Risikoportfolio)

Bewertung von Szenarien

Priorisierung nach wesent-

lichen / bestandsgefährdenden

Risiken

Risikobewertung

Beschreibung der Ablauf- und

Aufbauorganisation

Messgrößen, Indikatoren,

Limitwerte

Internes Berichtswesen

Risikoüberwachung Externes Risikoberichtswesen

Ausgewählte Inhalte der

Berichterstattung an die

Stakeholder

Risikoberichterstattung

Bestimmung der Risikofelder

Identifikation der wesentlichen

Strategie- und Leistungsrisiken

Risikoidentifikation

Risikosteuerung

und -überwachung Risikoanalyse

Organisation des Risikomanagements im Unternehmen

Risikostrategie

21 www.proquest.at

Risikomanagement-Prozess ONR 49001:2014

22 www.proquest.at

Risikomanagement-Prozess

ÖNORM 31000:2010

23 www.proquest.at

Identifikation von Risiken

Ziele, Aufgaben und Methoden zum Erkennen vom Risiken

24 www.proquest.at

Risikoidentifikation – Ziele und Aufgaben

• Rechtzeitiges,

• regelmäßiges,

• schnelles,

• vollständiges und

• wirtschaftliches ...

... Erfassen der Einzelrisiken

im Unternehmen, die sich

auf die Unternehmensziele

auswirken.

Ziele

• Auswahl der am besten

geeigneten Methode

• Umfassende und nachvollziehbare

Erhebung

• Kategorisierung und Gruppierung

der Risiken bei Bedarf …

… als Basis für den

Risikomanagementprozess;

Aufgaben

Betrachtungshorizont: Vergangenheit – Gegenwart – Zukunft

25 www.proquest.at

Schritte der Risikoidentifikation

1. Erkennen, Erfassen und Beschreiben

2. Kategorisieren

Idealerweise Orientierung an im Unternehmen verankerten Raster

(Balanced Scorecard, Werttreiber-Bäumen,

Unternehmensbereichen wie Strategisches Risiko,

Beschaffungsrisiko, … )

3. Dokumentation

Klar, nachvollziehbar, verständlich, …

4. Priorisieren

Entweder auf Grundlage unterschiedlicher Bewertungsverfahren

oder Beispielsweise nach unternehmerischer Relevanzen

26 www.proquest.at

Auswahl an Methoden der Risikoidentifikation

Methoden zur Identifikation, Bewertung und Steuerung

von Risiken nach Romeike, F. und Hager, P. (2009): S. 9

27 www.proquest.at


1. FMEA: Failurre Mode and Effects Analysis oder: Fehlermöglichkeits- und Einflussanalyse oder kurz Auswirkungsanalyse.

2. SWOT: Akronym für Strenghts (Stärken), Weaknesses (Schwächen), Opportunities (Chancen) und Threats (Gefahren).

3. CIRS: Critical Incident Reporting System, Fehlerberichtssystem genannt, Berichtssystem zur Meldung von kritischen

Ereignissen (critical incident) und Beinahe-Schäden (near misses)

4. HAZOP: Hazard and Operability Study, auch bekannt unter dem Begriff PAAG-Verfahren (Prognose, Auffinden der Ursache,

Abschätzen der Auswirkungen, Gegenmaßnahmen)

5. HACCP: Hazard Analysis and Critical Control Point-Konzept, oder: Gefährdungsanalyse und kritische Lenkungspunkte

28 www.proquest.at


Kollektionsmethoden Suchmethoden

Analytische Methoden Kreativitätsmethoden

• Checkliste

• Befragung, Interview

• SWOT Analyse

• Einzelschadensanalyse

• Ausfallseffektanalyse

• Fehlerbaumanalyse

• Prozesskettengestützte

Identifikation von Risiko-

quellen (risikoadjustierte EPK)

• Brainstorming, Brainwriting

• Strukturierte WAS-WENN-

Methode (Swift – Structured

What If Technique),

• Delphi – Methode

• Szenarioanalyse

Vorwiegend geeignet zur

Identifikation bestehender und

offensichtlicher Risiken

Vorwiegend geeignet zur Identifikation zukünftiger und bisher

unbekannter Risikopotenziale (proaktives Risikomanagement)

29 www.proquest.at

Nähere Betrachtung folgender Methoden

• Was-Wenn-Methode

• SWOT-Analyse

• Prozesskettengestützte Identifikation

• FMEA: Failure Mode and Effects Analysis oder zu deutsch:

Fehler-Möglichkeiten-und-Einflussanalyse oder kurz

Auswirkungsanalyse

• HACCP

• Kreativitätstechniken (Brainwriting, Brainstorming)

• Szenario-Methode

• Unternehmensweite Experten-Methode

30 www.proquest.at

Kreativitätstechniken

Auf folgende Techniken wollen wir an dieser Stelle kurz eingehen

• Brainstorming

• Brainwriting

• Mindmapping

31 www.proquest.at

Das Brainstorming

BRAINSTORMING

• Effiziente Methode zum Sammeln

und Strukturieren von Ideen oder

Lösungskomponenten;

• Eine sehr einfache Methode, die

aber oft ausschließlich auf das

Sammeln und/oder Bewerten von

Ideen reduziert werden;

• Bei Einhalten des Prozesses

hohe Qualität gewährleistet; Bild: www.stefanleijon.com

32 www.proquest.at

Das Brainstorming: Regeln und Prozess

Ideen Bewerten Ideen Sammeln Regeln festlegen

• Definieren Sie einen Moderator für das Brainstorming der für die

Einhaltung der Regeln und Ziele verantwortlich ist.

• Beschreiben Sie das zu lösende Problem möglichst exakt.

• Setzen Sie eine klare Zielformulierung für das Brainstorming.

• Legen Sie einen Zeitplan fest.

• Sensibilisieren Sie alle auf die gemeinsamen Regeln.

33 www.proquest.at



• Masse statt Klasse

• Ideen visualisieren und festhalten (Karten, Flip-Chart, ...)

• Zeitplan festlegen und die Zeit auch ausschöpfen

• Keine Zensur

• Disziplin: Jeder soll im gleichen Ausmaß zu Wort kommen!

34 www.proquest.at



• Gemeinsam vor dem Bewerten ein Schema festlegen z. B. nach den

Kriterien wie

• Realistischste Lösung

• Höchster Wirkungsgrad

• Schnellste Umsetzbarkeit

• auf Risiken bezogen z. B.

höchste Eintrittswahrscheinlichkeit

höchstes Schadensausmaß

höchster Vernetzungsgrad, …

35 www.proquest.at

Brainwriting

BRAINWRITING

• Ähnlicher Prozess wie

Brainstorming

• Das Erfassen der Inhalte erfolgt

in schriftlicher Form

• Persönliche Ideenpapiere werden

in der Runde weitergereicht und

dadurch Assoziationen gefördert


36 www.proquest.at

Brainwriting bei Großgruppen

Worldcafé

Bild

qu

elle

: w

ww

.klu

ge

-ko

ep

fe.o

rg

37 www.proquest.at

Mindmapping

MINDMAPPING

• Das Prinzip der Assoziation soll helfen, Gedanken frei zu entfalten

und die Fähigkeit des Gehirns zur Kategorienbildung zu nutzen.

https://de.wikipedia.org/wiki/Mind-Map

Sammeln/Brainstorming

Strukturieren

38 www.proquest.at

Methoden der Risikoidentifikation (1)

• Strukturierte WAS-WENN-Methode

(Swift – Structured What If Technique):

• Setzt auf bewusst aufgeworfene offene Fragen, mit denen

Überlegungen zu bestimmten Szenarien angestoßen werden;

• Strukturiertes und moderiertes Brainstorming, bei dem ein hoher

Wissensstand der handelnden Personen vorausgesetzt wird;

1. Sammeln

2. Clustern

3. Bewerten

• Im Vergleich zu anderen komplexeren Methoden, eine schnelle

und effiziente Form der Risikoidentifikation;

39 www.proquest.at

Beispiel für SWIFT

Beispiel Frage:

Was wäre, wenn die Digitalisierung schneller als

erwartet voranschreitet?

Beispiel Antworten:

• Starker Rückgang bei Briefsendungen

• Postsendungen werden nur mehr digital auf das

Mobiltelefon gesendet

• Absatz und Umsatzrückgang geht schneller

vonstatten als geplant

• ...

40 www.proquest.at

Methoden der Risikoidentifikation (2)

• SWOT-Analyse

• Gesamtheitliche Unternehmens- und Umfeldanalyse

• Aufzeigen der Stärken, Schwächen, Chancen und Gefahren

mit Fokus auf Schwächen und Gefahren

Stärken Chancen

Schwächen Risiken

41 www.proquest.at

Prozesskettengestützte Identifikation

• Prozesskettengestützte Identifikation von Risikoquellen

(risikoadjustierte EPK)

• Risikoidentifikation auf der Grundlage von Geschäftsprozessen

(EPK = Ereignisgesteuerte Prozesskette =

Darstellungsmethode für Unternehmensprozesse)

• Ermittlung und Transparenz der operativen Prozesse

inhärenter Risiken als Ziel

• Analyse der EPK mit den Prozessverantwortlichen zur

Identifikation der Risiken, anschließend grafisches Aufbereiten

der Risiken

42 www.proquest.at

Beispiel für

Prozesskettengestützte Identifikation

KAuftr.-

Eingang

Bedarf

erzeugt

Material-

fehlbest.

Bedarf

angelegt

Brutto-

Netto-R.

FAuftr

angelegt

Besch-

auftrag

Bestellung

erzeugenKapaz.-

Planung

FAuftr-

freigabe

FAuftrags-

Fertigung

Ware-

geliefert

BSt.

erzeugt

Rück-

meldung

Waren-

Eingang

Ware-

gelagert

Matverf.

prüfen

Qualitäts-

prüfung

QP

negativ

QP

positiv

Waren-

lieferung

Verfügbar-

keits-Risiko

Werkzeug-Risiko

Mitarbeiter-Risiko

Material-Risiko

Qualitäts-Risiko

Fehlmengen-Risiko

Bedarfs-Risiko

Lieferanten-

ausfall-Risiko

Qualitäts-Risiko

Liefer-RisikoWE-

prüfung

WEP

positivWEP

negativ

Rück-

sendungNach-

arbeit

KAuftr.-

Eingang

KAuftr.-

Eingang

Bedarf

erzeugt

Bedarf

erzeugt

Material-

fehlbest.

Material-

fehlbest.

Bedarf

angelegt

Bedarf

angelegt

Brutto-

Netto-R.

Brutto-

Netto-R.

FAuftr

angelegt

FAuftr

angelegt

Besch-

auftrag

Besch-

auftrag

Bestellung

erzeugen

Bestellung

erzeugenKapaz.-

Planung

Kapaz.-

Planung

FAuftr-

freigabe

FAuftr-

freigabe

FAuftrags-

Fertigung

FAuftrags-

Fertigung

Ware-

geliefert

Ware-

geliefert

BSt.

erzeugt

BSt.

erzeugt

Rück-

meldung

Rück-

meldung

Waren-

Eingang

Waren-

Eingang

Ware-

gelagert

Ware-

gelagert

Matverf.

prüfen

Matverf.

prüfen

Qualitäts-

prüfung

Qualitäts-

prüfung

QP

negativ

QP

negativ

QP

positiv

QP

positiv

Waren-

lieferung

Waren-

lieferung

Verfügbar-

keits-Risiko

Werkzeug-Risiko

Mitarbeiter-Risiko

Material-Risiko

Qualitäts-Risiko

Fehlmengen-Risiko

Bedarfs-Risiko

Lieferanten-

ausfall-Risiko

Qualitäts-Risiko

Liefer-RisikoWE-

prüfung

WE-

prüfung

WEP

positiv

WEP

positivWEP

negativ

WEP

negativ

Rück-

sendung

Rück-

sendungNach-

arbeit

Nach-

arbeit

+

X

+

+

+

X

X

43 www.proquest.at

FMEA: Failure Mode and Effects Analysis

• FMEA folgt dem Grundgedanken einer vorsorgenden

Fehlerverhütung anstelle einer nachsorgenden Fehlererkennung

und -korrektur (Fehlerbewältigung) durch frühzeitige

Identifikation und Bewertung potenzieller Fehlerursachen

bereits in der Entwurfsphase.

• Damit werden ansonsten anfallende Kontroll- und

Fehlerfolgekosten in der Produktionsphase oder gar im Feld (beim

Kunden) vermieden und die Kosten insgesamt gesenkt.

• Durch eine systematische Vorgehensweise und die dabei

gewonnenen Erkenntnisse wird zudem die Wiederholung von

Designmängeln bei neuen Produkten und Prozessen vermieden.

• Getrieben von Qualitätsmanagement, IT, technischem

Projektrisikomanagement, Konstruktion oder Fertigung

44 www.proquest.at

Beispiel: FMEA

45 www.proquest.at

Beispiel: FMEA

46 www.proquest.at

HACCP Methode

• Das HACCP ist eine Methode des Qualitätsmanagements, die sich aus der

Fehler-Möglichkeits- und Einfluss-Analyse (FMEA) entwickelte. Die

wesentlichen Schritte des HACCP sind

• Haupteinsatz in der Lebensmittelindustrie und im Gesundheitswesen

• Eingeteilt in 7 Prozessschritte

1. Gefahrenanalyse

2. Festlegen der CCP´s (Kritischen Kontroll-Punkte)

3. Festlegen der Grenzwerte für jeden CCP

4. Festlegen der Prüf- und Überwachungsmaßnahmen

5. Festlegen der Korrekturmaßnahme

6. Verifizierung, zur Bestätigung des Funktionierens

7. Dokumentation der Durchführung der oben genannten Schritte

47 www.proquest.at

Die Szenario-Methode

48 www.proquest.at


• Mit der Szenario-Methode werden zukünftige alternative

Umweltszenarien simuliert.

• Dabei ist ein Szenario eine Beschreibung einer möglichen

zukünftigen Situation.

• Jedes der Szenarien lässt andere Schlussfolgerungen und

Entwicklungsmöglichkeiten zu.

• Die Konsequenzen werden so detailliert, wie möglich analysiert

und auf die Risikosituation des Unternehmens reflektiert.

49 www.proquest.at


GEGENWART

Schlechtester Fall

Bester Fall

Störereignis Entscheidungspunkt ZEIT

BE

OB

AC

HT

UN

GS

GR

ÖS

SE

a

b

A

B

50 www.proquest.at

Beispiel Störereignis: Drohnen-Auslieferung

Bildquelle: www.medewo.com/blog/loesungen/versanddrohnen/

51 www.proquest.at

Störereignis: Drohnen-Auslieferung

ZEIT

BE

OB

AC

HT

UN

GS

GR

ÖS

SE

GEGENWART

Schlechtester Fall

Bester Fall

Störereignis Entscheidungspunkt

a

b B

A

Szenario B Beschreibung

Szenario A Beschreibung

52 www.proquest.at

5. AUSWERTUNG DES SZENARIOS

Risikobeschreibung innerhalb der verschiedenen Szenarien mit Auswirkung, Schadensausmaß, Eintrittswahrscheinlichkeit (= Risikobewertung)

4. SZENARIO-ENTWICKLUNG

Ausarbeitung der unterschiedlichen Szenarien und Entwicklungsoptionen

1. PROBLEMANALYSE

Beschreibung des spontan oder allmählich auftretenden Problems

2. SCHADENSQUELLEN

Festlegen der möglichen Schadensquellen bzw. Schadensfelder

3. POTENTIELLE BEDROHUNG

Definition der vom Problem ausgehenden Gefahr

SZENARIO- METHODE

Ris

ikoid

en

tifikatio

nspro

ze

ss

Ris

iko-

be

we

rtu

ng

Prozess der Szenario-Analyse Prozess der Szenario-Analyse

53 www.proquest.at

SZENARIO- METHODE

1. Problemanalyse

2. Schadensquellen

3. Potentielle Bedrohung

4. Szenario-Entwicklung

5. Auswertung des Szenarios

(Bewertung)

Beschreibung des Problems (gemeinsames Verständnis der Situation)

• Drohnen als Zustell-Vehikel tauchen immer

stärker in der öffentlichen Diskussion auf

• Erste Projekte von Händlern wie Amazon

befeuern diese Diskussion und die damit

verbundene Entwicklung

• ...

Beispiele für die Umsetzung

54 www.proquest.at

SZENARIO- METHODE

1. Problemanalyse

2. Schadensquellen




(Bewertung)

Schadensquellen

• Personal

• Vertrieb

• IT und Technologie

• Gesetze und Normen

• Versicherung

• ...


55 www.proquest.at

SZENARIO- METHODE

1. Problemanalyse

2. Schadensquellen




(Bewertung)

Potentielle Bedrohungen

• Personal

• Es werden weniger Mitarbeiter in der

Zustellung benötigt

• IT und Technologie

• Schulungs- und Instandhaltungsbedarf für

Drohnen kann nicht abgeschätzt werden

• Hacker-Angriffe

• Versicherung

• Risikoabdeckung bei

Absturz


56 www.proquest.at

SZENARIO- METHODE

1. Problemanalyse

2. Schadensquellen




(Bewertung)

Entwicklung der Szenarien

Szenario B Drohnen setzen sich in einem

breiten geografischen und Produktmarkt durch

Neue Anbieter aus Zusammenschlüssen von Logistik- und Technologieunternehmen dringen aktiv in den Markt ein

Zusätzliche regionale Anbieter

Großhändler bauen eigene Struktur, ...

Szenario A Drohnen Setzen sich max. in

Nischenmärkten durch

Flächendeckender Einsatz hat sich als nicht machbar erwiesen

Als eigenständige Leistung auf Grund sehr hoher Auflagen nicht wirtschaftlich umsetzbar

Keine Etablierung eines Anbietermarktes


57 www.proquest.at

Übung zur Identifikation von Risiken

• Bilden Sie 3 Gruppen

• Input Fallbeispiel „Elektro-Handels GmbH“

Mit Fokus auf „Vertrieb und Marketing“

• Identifizieren Sie 5-10 Risiken mit einer kurzen Beschreibung

• Gruppe 1: Brainstorming

• Gruppe 2: Prozesskettengestützte Identifikation

• Gruppe 3: Szenario-Analyse

• Stellen Sie die Ergebnisse vor

58 www.proquest.at

Experten-Ansatz

Der Prozess nach der unternehmensweiten

und ganzheitlichen mf®-Methode

59 www.proquest.at

Fundament des Expertenansatzes

• Die Risikoeinschätzung erfolgt über eine spezielle Interviewtechnik

mit den verantwortlichen internen und externen „Experten“.

• Die Analyse basiert auf firmeninternem Wissen. Sie kennen das

Unternehmen am besten!

• Die Bestandsaufnahme wird jedoch extern strukturiert und

moderiert. So entsteht ein Spiegel-Effekt.

• Grundlage ist ein Fragenkatalog mit rund 400 Fragen samt

Antwortoptionen.

• Diese sind in 4 Themen mit mehr als 20 Objekten organisiert.

• Eine Vernetzung der Fragestellung zwischen den verschiedenen

Objekten sichert die notwendige Objektivität.

60 www.proquest.at

Der Ereigniskatalog

Thema

Objekt

Baustein

Leistungswirtschaft Finanzwirtschaft Management & Organisation Externes Umfeld

Beschaffung Bilanzanalyse Strategie Politisches Umfeld

Beschaffungsstrategie Ertragskraft Strategieentwicklung Politische Umwälzungen

Beschaffungsorganisation Liquidität Strategieumsetzung Rechtliche Rahmenbedingungen

Operative Einkaufstätigkeit Finanzierung Strategieanpassung Subventionen / Förderungen

Lieferantenmanagement Strategische Allianzen Steuersystem

Lagermanagement Kapitalverwendung Mergers and Akquisitions

Beteiligungen Soziales Umfeld

Produktion/Leistungserstellung Investitionen Organisation Gesellschaftliche Werte und Normen

Produktionsplanung Forderungen Organisationsstruktur Bildungspolitik

Produktionsanlagen und -logistik Unternehmensführung Image/Reputation

Wartung und Instandhaltung Marktpreisrisiken Ablauforganisation Wirtschaftskriminalität

Qualitätsmanagement und -sicherung Wechselkurs-, Zinsrisiko Arbeitsklima Corporate Governance und CSR

Rohstoffe Prozessmanagement und KVP

Projekte Informationsstrategie und -bereitstellung Safety/Security

Projektmanagement und -controlling Finanzorganisation Schutz der Bevölkerung

Ressourcenplanung Rechnungswesen Personal Schutz der Produktionseinrichtung

Planungs- und Berichtswesen Personalpolitik Schutz der Informationen

Marketing Controlling Personalplanung und -entwicklung Schutz der Innovationen

Marktforschung Interne Revision Personalrekrutierung

Produkt- / Dienstleistungsportfolio Personalentlohnung und -controlling Ökologisches Umfeld

Preispolitik Finanzinstrumente Umweltschutz

Kommunikation mit dem Markt Derivate Informationstechnologie Naturgewalten

Verteilung der Produkte / Dienstleistungen Kontrolle / Monitoring Anforderungen/Planung

Betrieb (Operations Management) Technologisches Umfeld

Vertrieb Versicherungsmanagement Kompatibilität, Vertraulichkeit, Verfügbarkeit Produkt Lebenszyklus

Erlösplanung Versicherungsgrundsätze Produkt- / Prozessinnovation

Kundenstruktur Versicherungsorganisation Legal Compliance

Vertriebsstruktur Versicherungsanalyse Gesetze/Normen Ökonomisches Umfeld

Vertragsgestaltung Bewilligungen/Genehmigungen Erwartungen Shareholder

Produkthaftung, Gewährleistung, Garantien Erwartungen Stakeholder

F&E / Innovation HSE (Gesundheit/Sicherheit/Umweltschutz) Externes Marktumfeld

F&E-Management

F&E-Umsetzung

Wissensmanagement

61 www.proquest.at

Umsetzung im Prozess

• Einstufung der

Erfüllungsgrade

Analyse Evaluierung Relevanz Präsentation Operationali-

sierung Monitoring

• Auswahl des

Analyse-Teams

• Durchführung

der Interviews

• Laufende

Kontrolle des

Umsetzungsfort-

schrittes der

einzelnen

Maßnahmen.

• Überführung

der konkreten

Maßnahmen in

ein operatives

Projekt-

management.

• Ableitung

Maßnahmen-

empfehlungen

• Diskussion der

Ergebnisse,

Berichtslegung;

• Definition der

Schadens-

klassen,

• Zuweisung der

Schadens-

potenziale zu

den Objekten /

Bausteinen,;

62 www.proquest.at

Ergebnis aus dem Prozess

Begründung der Risikoeinstufung

• Schwer erreichbare Zielvorgaben stellen deren Erreichung in

Frage, Incentive-Systeme werden dadurch ausgehebelt;

• Krisenkommunikation nicht dokumentiert;

• Organisatorische Gesamtabstimmung der Niederlassungen fehlt;

• Ablauforganisation nur tlw. dokumentiert und angepasst;

Maßnahmenvorschläge

• Anpassung der Führungskultur;

• Incentive-System an Strategie und Planung anpassen;

• Verifizieren / adaptieren / freigeben der vorhandenen Ablaufprozesse

(KVP, QM);

• Definieren und dokumentieren eines Krisenhandbuchs (Erfassung

der möglichen Unternehmenskrisen inkl. Handlungsoptionen);

• Organisatorische Abstimmung der Niederlassungen;

Objekte / Bausteine Rating Erfüllungs-

grad (EG)

Schadens-

potenzial

(SP)

Organisation B h

1 Organisationsstruktur BB B h

2 Unternehmensführung B D m

3 Ablauforganisation BB C m

4 Arbeitsklima BBB B m

5 Prozessmanagement und KVP BB B h

6 Informationsstrategie u. -bereitstellung B D m

63 www.proquest.at

Das Ergebnis Ihrer Arbeit

Unternehmerische Relevanz

Unte

rnehm

eri

sche N

otw

endig

keit

64 www.proquest.at

Übung 1: Die Fragen

• Bilden Sie 2-3 Gruppen

• Wählen Sie gemeinsam einen Baustein

• Zentrale Fragestellung der Übung: Welche Fragen könnten Ihnen

Aufschluss über den Risikozustand dieses Bereiches geben?

• Formulieren Sie 3-5 Fragen

• Vorstellung Ihrer Fragen + Begründung

• Dann Blick in die Fragen des Ereigniskataloges

65 www.proquest.at

Beispiel Fragen

„Datenschutzgrundverordnung“

• Wie stellen Sie sicher, dass die Anforderungen für einen

sachgerechten Umgang mit kundenbezogenen Daten im Sinne der

Datenschutzgrundverordnung eingehalten werden?

• Wie ist der Prozess bei einem Verstoß gegen die Verordnung bzw.

im Falle eines Datenlecks?

66 www.proquest.at

Übung 2: Die Antwortoptionen

• Arbeiten Sie weiter in 2-3 Gruppen

• Nutzen Sie die erarbeiteten Fragen

• Zentrale Fragestellung der Übung: Welche Antwortoptionen

könnten Ihnen Aufschluss über den Risikozustand des Objekts

geben?

• Formulieren Sie 3-5 Antwortoptionen

• Vorstellung Ihrer Antwortoptionen + Begründung

• Dann Blick in die Fragen des Ereigniskataloges

67 www.proquest.at

Definition eines hilfreichen Standards

Die Antworten zur jeder Frage werden mit Erfüllungsgraden eingestuft.

Diese sind nach klaren Vorgaben definiert (können auch firmenindividuell sein).

A

Optimal

(Stand der Technik)

Ein dem aktuellen Stand der Technik entsprechender Erfüllungsgrad

erforderlicher organisatorischer, rechtlicher bzw. technischer Maßnahmen

zur Abdeckung des jeweiligen Risikopotenzials ist vorhanden. Es ist eine

Vorgehensweise festgelegt, diesem (intern als) optimalen Standard auch zu

folgen und/oder halten zu können.

B

Im Wesentlichen erfüllt

Ein wesentlicher, jedoch nicht mehr dem aktuellen Stand der Technik bzw.

den vollen (internen) Vorgaben entsprechender Erfüllungsgrad erforderlicher

organisatorischer, rechtlicher bzw. technischer Aufwand zur Abdeckung

des jeweiligen Risikopotenzials ist vorhanden bzw. bekannt.

C

Mittlere Erfüllung

Die erforderlichen organisatorischen, rechtlichen bzw. technischen

Maßnahmen zur Abdeckung des jeweiligen Risikopotenzials sind vorhanden.

Es wird dabei eine Strategie bzw. geplante Vorgehensweise zur Abdeckung

des relevanten Risikos zugrunde gelegt.

D

Geringe Erfüllung

Erste erforderliche organisatorische, rechtliche bzw. technische

Maßnahmen zur Abdeckung des jeweiligen Risikopotenzials sind erkennbar,

ohne dass jedoch eine konsistente Strategie bzw. Vorgehensweise verfolgt

wird. Fehler sind vakant - Konsequenzen daraus fehlen;

E

Nicht erfüllt Weder organisatorische, rechtliche noch technische Maßnahmen zur

Abdeckung des Risikopotenzials sind erkennbar.

NR

Nicht relevant Der Bereich ist für das Unternehmen nicht von Bedeutung und wird daher

von der Einstufung ausgenommen. Vorrausetzung dafür ist eine schlüssige

Begründung der Einstufung als „nicht relevant“.

68 www.proquest.at

Beispiel Fragen „Marketing“

• Wie werden die Informations- und Kommunikationsmaßnahmen

auf die strategische Ausrichtung abgestimmt?

• Erfüllungsgrad A: Informations- und

Kommunikationsmaßnahmen sind klar definiert, dokumentiert

und auf die strategische und operative Ausrichtung

abgestimmt.

• Erfüllungsgrad C: Die Abstimmung der Informations- und

Kommunikationsmaßnahmen erfolgt nur für selektierte

Bereiche.

• Erfüllungsgrad E: Es erfolgt keine Ausrichtung der Instrumente.

69 www.proquest.at

Übung 3: Das Audit

• Option 1: Bestehendes Fallbeispiel

• Option 2: Eine Person möchte ein Thema einbringen

• Setting

• 1-2 Person/en beantwortet/beantworten Fragen

• Restliche Gruppe stellt die Fragen

• Antworten werden dokumentiert

• Schritt 2: Gemeinsame Einstufung der Begründung

70 www.proquest.at

Legende: Externes Umfeld

1 Politisches Umfeld

2 Soziales Umfeld

3 Safety/Security

4 Ökologisches Umfeld

5 Technologisches Umfeld

6 Ökonomisches Umfeld

Anwendung der individuellen Schadenspotenziale

Analyse Evaluierung Relevanz Präsentation Operationali-

sierung Monitoring

71 www.proquest.at

Feedbackrunde & offene Fragen

• Gibt es offene Fragen?

• Welche Infos fehlen ev. noch oder wurden nicht ausreichend

behandelt?

• Sonstiges Feedback?

72 www.proquest.at

Herzlichen Dank!

Wir unterstützen Menschen mit Begeisterung

und Organisationen bei der Erkennung Ihrer Potenziale!

Kontakt:

.proquest Riskmanagement GmbH

Pfarrhofstraße 1

A-4661 Roitham/Gmunden,

Tel. +43.7613.44866-0, Fax DW 4

E-Mail. [email protected]

web. www.proquest.at

Documents

Tag 2 Risikoidentifikation