28.10.2019SWISS GRC DAY 2019

Integration von Risikomanagement in die Geschäftsabläufe mit der

DIN ISO 31000:2018

28.10.2019SWISS GRC DAY 2019

Gliederung

▪ Was ist Risiko ?

▪ Was ist Risikomanagement und warum ist es sinnvoll ?

▪ DIN ISO 31000:2018,

• ihre Struktur

• ihr Inhalt

▪ Integration von Risikomanagement in die Geschäftsabläufe

• Die Risikomanagementschleife

• Die Integration in einen operativen Prozess (Beispiel: EPK)

2 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

28.10.2019SWISS GRC DAY 2019

Was ist Risiko ?

Risikodefinitionen (keine erschöpfende Auflistung)

▪ The possibilty that events will occur and affect the achievement of strategy and business objectives (COSO)

▪ Combination of the occurence of harm and the severety of that harm (ISO Guide 51:2014 & e.a.)

▪ Auswirkung von Unsicherheit auf Ziele (effect of uncertainty on objectives) – DIN ISO 31000:2018 e.a.

▪ effect of uncertainty ISO 9000:2015 e.a.

3 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

28.10.2019SWISS GRC DAY 2019

Was ist Risikomanagement und warum ist es sinnvoll ?

Die Menschheit ist über die Zeiten erfolgreich gewesen und hat überlebt, weil sie die Fähigkeit zum Umgang

mit Risiken erworben hat: die Entscheidung zu treffen, wegzulaufen oder den Angreifer zu bekämpfen, ist

Risikomanagement!

Risikomanagement in seinen ersten Schritten ist eine einfache Aufgabe, die gesunden Menschenverstand

verlangt – was jeder Manager beachten sollte, der seine Pflicht, seine Organisation widerstandsfähig zu

erhalten, ernst nimmt.

"Dieses Foto" von Unbekannter Autor ist lizenziert gemäß CC BY-NC

?

4 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

http://www.pngall.com/tiger-pnghttps://creativecommons.org/licenses/by-nc/3.0/

28.10.2019SWISS GRC DAY 2019

Was ist Risikomanagement und warum ist es sinnvoll ?

Wichtige Fragen

Sicheren Übergang suchenNach rechts und

links absichern

Danach erst Straße

überqueren

5 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

28.10.2019SWISS GRC DAY 2019

Die DIN ISO 31000 und ihre Struktur

Drei Säulen:

▪ Grundsätze: erforderliche Eigenschaften eines wirk-

samen und effizienten Risikomanagement

▪ Rahmenwerk: hilft bei der Integration des Risikomanage-

ments in die Aktivitäten und Funktionen der Organisation

▪ Prozess: integraler Bestandteil von Management,

Struktur, Abläufen und Prozessen der Organisation

Bild 1 – Grundsätze, Rahmenwerk und Prozess (vereinfacht)

6 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

28.10.2019SWISS GRC DAY 2019

Der Inhalt der DIN ISO 31000:2018

Die Grundsätze:

Kernkonzept der DIN ISO 31000: Der Zweck des Risikomanagements

besteht in der Schaffung und dem Schutz von Werten.

▪ Acht Grundsätze (Konzepte) vermitteln den Wert des

Risikomanagements, erläutern Absicht und Zweck und bilden die

Grundlage für das Umgehen mit Risiken rund um die Schaffung und

den Schutz von Werten.

▪ Die Grundsätze sind erforderlich für ein effektives und

effizientes RisikomanagementBild 2 – Grundsätze

7 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

28.10.2019SWISS GRC DAY 2019

Der Inhalt der DIN ISO 31000:2018

Das Rahmenwerk

▪ Abschnitt 5 der Norm beschreibt in 7 Kapiteln die Elemente, die der

Organisation die Integration von Risikomanagement in Ihre

Aktivitäten und Funktionen erleichtern sollen.

▪ Bild 3 der Norm zeigt die Komponenten des Rahmenwerks

▪ Die Komponenten sollen an die Bedürfnisse der Organisation

(maßgeschneidert) angepasst werden

Bild 3 – Rahmenwerk

8 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

28.10.2019SWISS GRC DAY 2019

Der Inhalt der DIN ISO 31000:2018

Der Prozess

▪ Der Risikomanagementprozess soll integraler Bestandteil des

Managements und der Entscheidungsfindung der Organisation sein.

▪ Er soll in die Struktur, die Abläufe und Prozesse (alle Aktivitäten)

integriert und auf allen Ebenen angewendet werden.

▪ Es können viele (unterschiedliche) Anwendungen des Prozesses

innerhalb einer Organisation bestehen, an die er jeweils

(maßgeschneidert) anzupassen ist.

▪ Zumeist sequentiell dargestellt, ist er tatsächlich iterativ. Bild 4 – Prozess

9 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

28.10.2019SWISS GRC DAY 2019

10 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Der Inhalt der DIN ISO 31000:2018

Der Prozess

▪ Risikobeurteilung

• sollte systematisch, iterativ und kollaborativ durchgeführt werden.

• Hilfsmittel für die Risikobeurteilung finden sich in der ISO/IEC

31010

• Risikobeurteilung ist der Prozess der

o Risikoidentifikation

o Risikoanalyse und der

o Risikobewertung

Risiko-

beurtei-

lung

28.10.2019SWISS GRC DAY 2019

11 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Der Inhalt der DIN ISO 31000:2018

Der Prozess

▪ Risikobehandlung

• Zweck ist es, Optionen zur Behandlung des Risikos auszuwählen

und zu implementieren:

o Auswahl von Optionen zur Behandlung des Risikos

(Abwägung der erzielbaren Vorteile gegen die Nachteile)

o Erstellen und Implementieren von Plänen zur

Risikobehandlung

• Keine Optionen verfügbar Risiko dokumentieren und laufend

überprüfen.

Risiko-

behandlungRisiko-

behandlung

28.10.2019SWISS GRC DAY 2019

12

Die Bedeutung der Integration von Risikomanagement

Organisationen mit stark integrierten Risikomanagementprogrammen können daraus Werte realisieren und

erreichen typischer Weise größere Wachstumsraten als Organisationen mit geringer integrierten

Programmen – integriertes Risikomanagement ist zumeist effizienter und effektiver!

(Deloitte‘s 2019 survey of risk mangement – Deloitte. Insights –

Reimagine risk: Thrive in your evolving ecosystem)

Aber: manchmal wird die Integration vor dem

Hintergrund der Digitalisierung auf Risiko-

managementprogrammbereiche reduziert (z.B.

strategisch, operativ und technologisch), vergl. z.B. Gartner bei LinkedIn:

Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

IRM GRC

© Gartner

https://www2.deloitte.com/us/en/insights/topics/risk-management/cro-risk-management-survey-results.htmlhttps://www.linkedin.com/pulse/grc-may-keep-you-out-trouble-irm-business-john-a-wheeler/?mc_cid=e8c34eea29&mc_eid=28e77d75aa

28.10.2019SWISS GRC DAY 2019

13 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Die Integration von Risikomanagement nach DIN ISO 31000

Systematisch die Prozesse der Organisation aufwerten,

indem der Risikomanagementprozess integriert wird

28.10.2019SWISS GRC DAY 2019

14 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Die Risikomanagementschleife

▪ der Kernprozess:

Hier ist der Prozess (wie zumeist) sequentiell

(als EPK) dargestellt.

Tatsächlich ist der Prozess in der Praxis aber

iterativ!

RM-Schleife

28.10.2019SWISS GRC DAY 2019

15 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Vereinfachter operativer Prozess als EPK

Information

oder

Beurteilung

neue Infor-

mation o.

Beurteilung

Ziel

erreicht

Einzelschritt

(Aktion) des

Prozesses

Einzelschritt

(Aktion) des

Prozesses

neue

Situation

28.10.2019SWISS GRC DAY 2019

16 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Die Integration von Risikomanagement in einen

operativen Prozess

Information

oder

Beurteilung

neue Infor-

mation o.

Beurteilung

Ziel

erreicht

Einzelschritt

(Aktion) des

Prozesses

Einzelschritt

(Aktion) des

Prozesses

neue

Situation

RM-SchleifeRM-Schleife

28.10.2019SWISS GRC DAY 2019

17 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Die Risikomanagementschleife als Baustein in einem

operativen Prozess

Information

oder

Beurteilung

neue Infor-

mation o.

Beurteilung

Ziel

erreicht

Einzelschritt

(Aktion) des

Prozesses

Einzelschritt

(Aktion) des

Prozesses

neue

Situation

28.10.2019SWISS GRC DAY 2019

18 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Die Integration von Risikomanagement in die Geschäftsabläufe mit

der DIN ISO 31000:2018

Ergebnisse:

▪ Was sind Risiko und Risikomanagement

▪ Inhalt und Struktur der DIN ISO 31000:2018

▪ Der Kernprozess des Risikomanagements (die Risikomanagementschleife)

▪ Die Bedeutung der Integration von Risikomanagement

▪ Die Integration von Risikomanagement in einen (operativen) Prozess

▪ Die Risikomanagementschleife als Baustein in einem (operativen) Prozess

28.10.2019SWISS GRC DAY 2019

19 Dr. Frank Herdmann | Integration von Risikomanagement | 28. Oktober 2019

Vielen Dank für Ihre Aufmerksamkeit !

Sie haben noch Fragen? Sprechen Sie mich einfach direkt an!

der Referent:

Managing Partner

Mobil +49 172 3019 124

Telefax +49 30 771 90 322

auxilium@herdmann.de

www.herdmann.de

www.expatbiz.eu

▪ Stellvertretender Obmann im DIN NA 175-00-04 AA

Risikomanagement

▪ 2013 – 2017 Leiter der deutschen Delegation zum

ISO/TC 262 Risk Management

▪ 2014 – 1017 Leiter der ISO/TC 262 Kommunikation

▪ Obmann im DIN NA 175-00-05 GA Sicherheit und

Business Continuity

▪ Projektleiter zur Revision der ISO 28000 Security

Management in der ISO/TC 292 WG 8

▪ Obmann im DIN NA 175 BR-2 SO Revision des

Annex SL (HLS für MSS) und Delegierter des DIN

zur ISO/TMBG/JTCG/TF14

https://www.beuth.de/de/erweiterte-suche/272754!search?alx.searchType=complex&searchAreaId=1&query=herdmann&facets%5B276612%5D=&hitsPerPage=10