„Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO...

Post on 27-Oct-2019

17 views 0 download

Transcript of „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO...

„Enterprise Risikomanagement

nach ISO 31000“

MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Basis des „operativen“ Risikomanagement

Begutachtung nach ISO 31000

Begutachtung nach ISO 31000 (Teil 1)

Begutachtung nach ISO 31000 (Teil 2)

Risiko identifiziert

PosiTiV CHANCE - GEWINN

NEGATiV GEFAHR - VERLUST

Risiko

Unter Risiken werden alle zukünftigen Ereignisse (finanzielle

und nicht finanzielle) und möglichen Entwicklungen innerhalb

und außerhalb des Unternehmens verstanden, die sich

(negativ/positiv) auf die Erreichung von Unternehmenszielen

auswirken können.

Aufgaben des Risikomanagements

Das Risikomanagementsystem liefert einen strukturierten

Überblick über die bestehende Risikosituation eines

Unternehmens und dessen Umfeld.

Damit unterstützt es die Entscheidung über einzuleitende

Maßnahmen zur Nutzung von Chancen und Steuerung von

Risiken.

Risikomanagement - Strategie

Um am Markt erfolgreich agieren zu können, gibt es 4 Optionen zum Umgang mit Risiken:

Risiken vermeiden

Risiken vermindern

Risiken überwälzen

Risiken selbst tragen

Chance Gefahr

Risiko

Organisation des Risikomanagements

Risikomanagement erfolgt unternehmensweit und ist

ausgerichtet auf Geschäftsprozesse beginnend beim

Unternehmens-Strategieprozess bis hin zum Tagesgeschäft

(strategische und operative Ebene).

ISO 31000

Kommunikation und

Konsultation

Erstellung des Zusammenhangs

Risikoidentifikation

Risikoanalyse

Risikobewertung

Risikobewältigung

Überwachung und

Überprüfung

Risiko- beurteilung

Kritische Erfolgsfaktoren

Kommunikationund

Konsultation

Erstellung des Zusammenhangs

Risikoidentifikation

Risikoanalyse

Risikobewertung

Risikobewältigung

Überwachung und

Überprüfung

Risiko-beurteilung

JEDEs ERkANNTE Risiko

isT EiNE CHANCE

ZUR VERBEssERUNG !

Eine Strukturierung der Risiken durch Zerlegung des Gesamtrisikos.

Ziel ist eine möglichst vollständige Erfassung aller Gefahrenquellen, Störpotenziale und Schadensursachen des Unternehmens. Externe Risiken: Durch die Entwicklung der Umwelt, des Unternehmens und

durch die Fluktuation können Risiken in verschiedenen Bereichen auftreten.

Interne Risiken: Interne Risiken, die von einem Managementsystem erfasst

werden.

Identifikation von Risikofeldern

Alle Experten stammen aus einem Fachgebiet bzw. Unternehmen

Mangel an Pluralität

Individualisten und Querdenker ausschließen

Teilbetrachtung anstelle einer gesamtheitlichen Betrachtung

Kein systematischen Vorgehen

Vorgefertigte Meinungen

Ungenaue Daten und Informationsquellen – Gerüchte statt ZDF

Gefahrenpotential

Systematische Identifikation von Risikofeldern Risikokategorien Risikobereiche

R 01 Marktbezogene Risiken Betriebsspionage, schlechtes Image durch Datenverlust, etc.

R 02 Personenbezogene Risiken Arbeitsschutz, Know-how-Abhängigkeit, etc.

R 03 Kommerzielle (wirtschaftliche) Risiken Abhängigkeit von Software / Entwicklern /Administratoren, etc.

R 04 Technische Risiken Technik und Arbeitsvorbereitung, etc.

R 05 Rechtsrisiken (Rechtskonformität) Datenschutzgesetz, Telekommunikationsgesetz, etc.

R 06 Security-Risiko Infrastrukturbereiche, Schutzzonen, etc.

R 07 Administrative Risiken Unternehmensführung und verantwortliche Beauftragte, QM

R 08 Gesellschaftsbezogene Risiken Anlassgesetzgebung, Image, etc.

R 09 Naturbezogene Risiken Rechenzentren in Hochwassergebieten, etc.

R 10 DV/IT-Risiken werden in der ISO-27000-Normenfamilie detailliert behandelt

Risikomatrix als Werkzeug

Verknüpfungen zu Managementsystemen

Management heißt Leitung und Lenkung einer Organisation, eines Systems mit Menschen.

Das Handeln eines Einzelnen, die Fähigkeit, Gefahren abzuwenden und Chancen zu nutzen, hängt im Wesentlichen von zwei Faktoren ab: vom Wissen und der Motivation.

Management ist die Nutzung von Wissen und Motivation von mehreren, manchmal von sehr vielen Menschen, um Ziele der Organisation zu erreichen:

ISO 9001 Die ISO 9001 ist ein Qualitätsmanagementsystem für

Organisationen aller Branchen und Größen.

Die ISO 9001 bietet die Basis für ein erfolgreiches Enterprise-RM-System durch spezielle Vorgaben der Dokumenten- und Aufzeichnungslenkung, sowie…. • Korrekturmaßnahmen/Verbesserungsmaßnahmen • Ständige Verbesserung • Korrekturmaßnahmen • Vorbeugemaßnahmen • Interne Audits

ISO 27001 Die Bedeutung eines funktionierenden ISMS liegt sicher darin,

dass die Risiken durch mangelhafte Informationssicherheit (das heißt nicht nur IT/EDV) identifiziert und bewertet sind. Kernthemen sind: • Awareness der Mitarbeiter • Compliance des Managements • Sicherheit beim Umgang mit Dritten • Business Continuity Management • Klassifizierung von Informationen • Physische Sicherheit • Incident Management

Warum haben wir eigentlich nie Zeit, die Sache richtig zu machen, aber immer Zeit, sie nochmal zu machen?

Weinberg

Kontaktperson

• Eckehard Bauer MSc

eckehard.bauer@qualityaustria.com