„Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO...

24
„Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Transcript of „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO...

Page 1: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

„Enterprise Risikomanagement

nach ISO 31000“

MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Page 2: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Basis des „operativen“ Risikomanagement

Page 4: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Begutachtung nach ISO 31000

Page 5: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Begutachtung nach ISO 31000 (Teil 1)

Page 6: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Begutachtung nach ISO 31000 (Teil 2)

Page 7: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Risiko identifiziert

PosiTiV CHANCE - GEWINN

NEGATiV GEFAHR - VERLUST

Page 8: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Risiko

Unter Risiken werden alle zukünftigen Ereignisse (finanzielle

und nicht finanzielle) und möglichen Entwicklungen innerhalb

und außerhalb des Unternehmens verstanden, die sich

(negativ/positiv) auf die Erreichung von Unternehmenszielen

auswirken können.

Page 9: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Aufgaben des Risikomanagements

Das Risikomanagementsystem liefert einen strukturierten

Überblick über die bestehende Risikosituation eines

Unternehmens und dessen Umfeld.

Damit unterstützt es die Entscheidung über einzuleitende

Maßnahmen zur Nutzung von Chancen und Steuerung von

Risiken.

Page 10: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Risikomanagement - Strategie

Um am Markt erfolgreich agieren zu können, gibt es 4 Optionen zum Umgang mit Risiken:

Risiken vermeiden

Risiken vermindern

Risiken überwälzen

Risiken selbst tragen

Chance Gefahr

Risiko

Page 11: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Organisation des Risikomanagements

Risikomanagement erfolgt unternehmensweit und ist

ausgerichtet auf Geschäftsprozesse beginnend beim

Unternehmens-Strategieprozess bis hin zum Tagesgeschäft

(strategische und operative Ebene).

Page 12: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

ISO 31000

Kommunikation und

Konsultation

Erstellung des Zusammenhangs

Risikoidentifikation

Risikoanalyse

Risikobewertung

Risikobewältigung

Überwachung und

Überprüfung

Risiko- beurteilung

Page 13: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Kritische Erfolgsfaktoren

Page 14: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Kommunikationund

Konsultation

Erstellung des Zusammenhangs

Risikoidentifikation

Risikoanalyse

Risikobewertung

Risikobewältigung

Überwachung und

Überprüfung

Risiko-beurteilung

Page 15: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

JEDEs ERkANNTE Risiko

isT EiNE CHANCE

ZUR VERBEssERUNG !

Page 16: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Eine Strukturierung der Risiken durch Zerlegung des Gesamtrisikos.

Ziel ist eine möglichst vollständige Erfassung aller Gefahrenquellen, Störpotenziale und Schadensursachen des Unternehmens. Externe Risiken: Durch die Entwicklung der Umwelt, des Unternehmens und

durch die Fluktuation können Risiken in verschiedenen Bereichen auftreten.

Interne Risiken: Interne Risiken, die von einem Managementsystem erfasst

werden.

Identifikation von Risikofeldern

Page 17: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Alle Experten stammen aus einem Fachgebiet bzw. Unternehmen

Mangel an Pluralität

Individualisten und Querdenker ausschließen

Teilbetrachtung anstelle einer gesamtheitlichen Betrachtung

Kein systematischen Vorgehen

Vorgefertigte Meinungen

Ungenaue Daten und Informationsquellen – Gerüchte statt ZDF

Gefahrenpotential

Page 18: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Systematische Identifikation von Risikofeldern Risikokategorien Risikobereiche

R 01 Marktbezogene Risiken Betriebsspionage, schlechtes Image durch Datenverlust, etc.

R 02 Personenbezogene Risiken Arbeitsschutz, Know-how-Abhängigkeit, etc.

R 03 Kommerzielle (wirtschaftliche) Risiken Abhängigkeit von Software / Entwicklern /Administratoren, etc.

R 04 Technische Risiken Technik und Arbeitsvorbereitung, etc.

R 05 Rechtsrisiken (Rechtskonformität) Datenschutzgesetz, Telekommunikationsgesetz, etc.

R 06 Security-Risiko Infrastrukturbereiche, Schutzzonen, etc.

R 07 Administrative Risiken Unternehmensführung und verantwortliche Beauftragte, QM

R 08 Gesellschaftsbezogene Risiken Anlassgesetzgebung, Image, etc.

R 09 Naturbezogene Risiken Rechenzentren in Hochwassergebieten, etc.

R 10 DV/IT-Risiken werden in der ISO-27000-Normenfamilie detailliert behandelt

Page 19: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Risikomatrix als Werkzeug

Page 20: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Verknüpfungen zu Managementsystemen

Management heißt Leitung und Lenkung einer Organisation, eines Systems mit Menschen.

Das Handeln eines Einzelnen, die Fähigkeit, Gefahren abzuwenden und Chancen zu nutzen, hängt im Wesentlichen von zwei Faktoren ab: vom Wissen und der Motivation.

Management ist die Nutzung von Wissen und Motivation von mehreren, manchmal von sehr vielen Menschen, um Ziele der Organisation zu erreichen:

Page 21: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

ISO 9001 Die ISO 9001 ist ein Qualitätsmanagementsystem für

Organisationen aller Branchen und Größen.

Die ISO 9001 bietet die Basis für ein erfolgreiches Enterprise-RM-System durch spezielle Vorgaben der Dokumenten- und Aufzeichnungslenkung, sowie…. • Korrekturmaßnahmen/Verbesserungsmaßnahmen • Ständige Verbesserung • Korrekturmaßnahmen • Vorbeugemaßnahmen • Interne Audits

Page 22: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

ISO 27001 Die Bedeutung eines funktionierenden ISMS liegt sicher darin,

dass die Risiken durch mangelhafte Informationssicherheit (das heißt nicht nur IT/EDV) identifiziert und bewertet sind. Kernthemen sind: • Awareness der Mitarbeiter • Compliance des Managements • Sicherheit beim Umgang mit Dritten • Business Continuity Management • Klassifizierung von Informationen • Physische Sicherheit • Incident Management

Page 23: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Warum haben wir eigentlich nie Zeit, die Sache richtig zu machen, aber immer Zeit, sie nochmal zu machen?

Weinberg

Page 24: „Enterprise Risikomanagement nach ISO 31000“ · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Kontaktperson

• Eckehard Bauer MSc

[email protected]