Zum Inhalt springen

Risikomanagement: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
Keine Bearbeitungszusammenfassung
K Textersetzung - „z. B. “ durch „beispielsweise “
 
(120 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Risikomanagement''' - [[Management]] von Risiken
'''Risikomanagement''' - [[Management]] von [[Risiko|Risiken]]


== Beschreibung ==
== Beschreibung ==
; Planvoller Umgang mit Risiken
; Planvoller Umgang mit Risiken
* [[Chance]]n und [[Gefahr]]en
[[Chance]]n und [[Gefahr]]en


== Phasen ==
* [[Aufgabe (Pflicht)|Aufgabe]] von [[Unternehmen]] und [[Behörde]]n
Risikomanagement umfasst die Phasen [[Risikoidentifikation]], [[Risikoanalyse]], [[Risikobewertung]] ([[Risikoquantifizierung]]), [[Risikoaggregation]], [[Risikosteuerung]] und [[Risikocontrolling]].
* [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]]
* Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar.
Auch die Nutzung von Risikoinformationen für unternehmerische Entscheidungen kann als Teil des Risikomanagements aufgefasst werden (Beurteilung und Bewertung des Ertrag-Risiko-Profils von Handlungsoptionen, wie Investitionen).


=== Aufgaben ===
; Risikomanagement ist nach der Norm [[ISO 31000]]
{| class="wikitable sortable options"
Führungsaufgabe
|-
* Risiken einer Organisation
! Aufgabe !! Beschreibung
** identifizieren
|-
** analysieren
| [[Risikoidentifikation]] ||
** bewertet
|-
** behandeln
| [[Risikoanalyse]] ||
|-
| [[Risikoquantifizierung]] || Risikobeurteilung
|-
| [[Risikoaggregation]] ||
|-
| [[Risikobeurteilung]] ||
|-
| [[Risikobewertung]] ||
|-
| [[Risikokommunikation]] ||
|-
| [[Risikobewältigung]] ||
|}


; Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen
* Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden
* Methoden der Risikoermittlung
* Verantwortlichkeiten bei Risikoentscheidungen
* Bereitstellung von Ressourcen zur Risikoabwehr
* Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung)
* Qualifikation des Personals für das Risikomanagement


=== Risikoidentifikation ===
; Risikomanagement ist ein fortlaufender [[Prozess]] ([[Demingkreis]]<nowiki>:"Plan-Do-Check-Act")</nowiki>
; Risikowahrnehmung
* Planung
Ein Risikomanagement kann erst mit der [[Risikowahrnehmung]] beginnen, sie ist die Voraussetzung dafür, dass Risiken überhaupt erkannt und entdeckt werden können.
* Umsetzung
* Hierbei ergibt sich bereits das Problem, dass verschiedene [[Risikoträger]] dasselbe Risiko unterschiedlich oder gar nicht wahrnehmen.
* Überwachung
* Verbesserung


Erfolgt die Risikowahrnehmung fehlerhaft als [[selektive Wahrnehmung]], so werden nur bestimmte Risiken wahrgenommen, andere vorhandene jedoch ausgeblendet.
Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen
* Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus.
* Eine Kultur der Risikolenkung in der Organisation entstehen lassen


; Phase
; Norm ISO 31000
Die Phase der Risikoidentifikation wird vielfach als die größte Herausforderung bezeichnet, da zunächst die Tatsache, dass überhaupt ein Risiko vorliegt, erkannt werden muss ([[Risikowahrnehmung]])
Beschreibt Grundsätze und Verfahren zum Risikomanagement
* Dieses erfordert entsprechende Informationssysteme (z.&nbsp;B.&nbsp; Kennzahlen oder entsprechende Organisationsstrukturen).
* Allgemein gültig
* Kann in allen Bereichen, in denen Risiken existieren, angewendet werden
* Ist nicht auf eine spezifische Branche beschränkt


=== Risikoquantifizierung ===
; Risikofrüherkennungssystem
Die [[Risikoquantifizierung]] versucht, das nun erkannte Risiko zu quantifizieren
Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]]
* Dies geschieht in zwei Schritten.
* IdW-Prüfungsstandard [[IDW PS 340|PS 340]]
* Zunächst werden die Eintrittswahrscheinlichkeit und das Schadensausmaß bei Eintritt des Schadens bestimmt (s.&nbsp;a.&nbsp;[[Risikomatrix]]).
* [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]]
* Durch Multiplikation dieser beiden Kennzahlen entsteht eine Art ''Risikopotenzial'', der Schadenerwartungswert.
* Je nach Art des Risikos können unterschiedliche [[Wahrscheinlichkeitsverteilung]]en für die quantitative Beschreibung eines Risikos verwendet werden.
* Ein Messung des Umfangs eines Risikos erfolgt mittels eines [[Risikomaß]]es.
* Eine Herausforderung in dieser Phase ist die nachvollziehbare Überführung von qualitativen Risiken, wie z.&nbsp;B.&nbsp;eines Streiks oder eines Vulkanausbruchs, in ein quantitatives Zahlenwerk (Risikoquantifizierung).
* Die Berechnung des Gesamtumfangs aus mehreren Einzelrisiken ist Aufgabe der [[Risikoaggregation]].  
* Die [[Risikosteuerung]] beschäftigt sich nun mit der Frage, wie das einzelne Wirtschaftssubjekt mit dem Risiko umgeht.
* Dazu bestehen die Möglichkeiten des Selbsttragens des Schadens, der Schadensvermeidung, der Überwälzung auf andere und der Risikobegrenzung.
* Ansätze zur Risikobegrenzung lassen sich in ursachenbezogene und wirkungsbezogene unterscheiden.
* Ursachenbezogene Strategien zielen [[ex ante]] darauf ab, die Höhe möglicher Verluste oder ihre Wahrscheinlichkeitsverteilung positiv zu beeinflussen.
* Wirkungsbezogene Strategien zielen auf die Abfederung oder die Abwälzung schlagend gewordener Risiken ab.
* Ursachenbezogene Strategien sind die Risikovermeidung und die Risikominderung.
* Wirkungsbezogene Strategien sind der Risikotransfer und die Risikovorsorge.
* Risikodiversifikation weist zu beiden Strategiearten Bezüge auf.


== Risikomanagement ==
; Bestandsbedrohende Risiken
Das Risikomanagement ist eine [[Aufgabe (Pflicht)|Aufgabe]], die einer [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]] in [[Unternehmen]] oder [[Behörde]]n zugeordnet ist.
* frühzeitig erkennen
* Risikomanagement ist nach der Norm [[ISO 31000]]: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden.
* nachvollziehbar überwachen
* Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen.
* Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen.


Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1: Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen.
; Aggregation
Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]])
* Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
* Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]]


Risikomanagement wird als ein fortlaufender [[Prozess]] verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden ([[Demingkreis]]:
Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen
„Plan-Do-Check-Act“).
* Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen.


Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein.
; Risikomanagement-Prozesse
* Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten.
{| class="wikitable options"
 
|-
Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018).
! Prozess !! Beschreibung
* Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen.
|-
* Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]]).
| Identifikation || der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
* Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz.
|-
* Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]].
| Analyse || der identifizierten Risiken hinsichtlich ihrer [[Eintrittswahrscheinlichkeit]]en und möglichen Auswirkungen
 
|-
Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen.
| Risikobewertung || durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (beispielsweise aus Standards und Normen)
 
|-
; Risikomanagement-Prozess
| Risikobewältigung/Risikobeherrschung || durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
* Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
|-
* Analyse der identifizierten Risiken hinsichtlich ihrer [[Eintrittswahrscheinlichkeit]]en und möglichen Auswirkungen
| Risikoüberwachung || mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
* Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z.&nbsp;B.&nbsp;aus Standards und Normen)
|-
* Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
| Risikoaufzeichnungen || zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
* Risikoüberwachung mit Hilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
|}
* Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
 
Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software.
* Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren.
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Risiko}}
----
* [[Reifegradmodelle]]
* [[Risikoarten]]
 
* [[Balanced Scorecard]]
* [[Betriebliches Kontinuitätsmanagement]]
* [[Betriebssicherheitsmanagement]]
* [[Bow-Tie-Analyse]]
* [[Chancenmanagement]]
* [[Gefahrenabwehr]]
* [[Management Risk Controlling (MRC)]]
* [[Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung]]
* [[Risikomanagement-Standard]]


==== Dokumentation ====
Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software
==== Links ====
* Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
===== Projekt =====
===== Weblinks =====


[[Kategorie:Risikomanagement]]
; Methoden
* BSI-Standard 200-3
: Risikoanalyse auf der Basis von IT-Grundschutz
* Klassische Risikoanalyse
: ISO 27001, 27005, 31000
* Penetrationstest
* Differenz-Sicherheitsanalyse


= TMP =
'''topic''' - Kurzbeschreibung
== Beschreibung ==
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Projekt =====
===== Weblinks =====
</noinclude>
== Risiko-Begriff ==
[[Risiko/Begriff]]
== Ausgangssituation ==
; IT-Risiken sind in vielen Organisationen nicht hinreichend betrachtet und bewertet
* Die Ziele und Strategien der Organisationen sind häufig nicht auf die digitalisierten und automatisierten Prozesse und Verfahren abgestimmt
* Insbesondere ist die eingesetzte Informationstechnik (IT) oftmals nicht ausreichend als Teil der Wertschöpfung berücksichtigt.
* Daraus resultierend werden Risikolagen und Gefährdungsszenarien sowie die Schadensauswirkungen bei Zwischenfällen des IT-Betriebs unterschätzt
* Die Betrachtung der Informationssicherheit und IT-Sicherheit erfolgt ausschließlich unter Kostengesichtspunkten.
* Eine risikoadäquate Betrachtung der Informationssicherheit und IT-Sicherheit muss zunehmend unter Einbeziehung der Schadenspotentiale überdacht werden
== Motivation für ein IT-Risikomanagement ==
; Die Motivation für ein zu etablierendes IT-Risikomanagement in nahezu allen Branchen resultiert aus der zunehmenden Digitalisierung und Automatisierung.
* Im Rahmen der Digitalisierung werden neue digitale Prozesse und Verfahren zur Informationsverarbeitung eingesetzt und bisherige analoge oder teilautomatisierte Prozesse und Verfahren sukzessive ersetzt oder überholt.
* Durch den Fortschritt sowie erweiterten rechtlichen Anforderungen stellt sich die Herausforderung an die Organisationen, die Strategien zur risikoorientierten Geschäftsführung neu zu formulieren.
== Herausforderungen ==
; Sorgfalt
* Bestimmung der organisationsspezifischen Risikokriterien und Risikoakzeptanzkriterien
** vier bis sieben Abstufungen, Evaluierung regelmäßiger Ergebnisse
* bei der Identifikation der Geschäfts- und Produktionsprozesse mit höchster Wertschöpfung sowie zeitkritischen Anforderungen
* in dem unzureichenden Wissen, der unzureichenden Qualifizierung oder der fehlenden Erfahrung der am Risikomanagementprozess beteiligten Personen
* bei der Nachweisführung und Dokumentation von Risikoanalysen und Risikobehandlungsstrategien.
== Ziele des Risikomanagements ==
Grundsätzlich sollte das Risikomanagement als Planungs-, Kontroll- und Lenkungsaufgabe etabliert werden
Weitere Ziele des Risikomanagements können sein
* das Risikomanagement systematisch und strukturiert zu planen und umzusetzen
* das Risikomanagement in die Aufbau- und Ablauforganisation wesentlicher Verantwortungsbereiche zu integrieren (Governance)
* die Einhaltung relevanter gesetzlicher und regulatorischer Anforderungen (Compliance) sicherzustellen
* eine ständige Optimierung des Notfallmanagements sowie des Umgangs mit Informationssicherheitsereignissen nachzuhalten.
== Risikostrategie ==
Unter einer RISIKOSTRATEGIE kann allgemein die Beschreibung des Umgangs mit den resultierenden Risiken, die sich aus der Geschäftsstrategie sowie aus den Geschäftszielen ergeben, verstanden werden.
In der Risikostrategie werden die sich aus der Geschäftsstrategie sowie den Geschäftszielen ergebenden Risiken bezüglich ihres Einflusses auf die Geschäftstätigkeiten und Geschäftsprozesse sowie insbesondere dem Betrieb von IT- und TK-Infrastrukturen definiert und beschrieben.
; Risikostrategie
Die Risikostrategie etabliert Mechanismen zur Kontrolle und Steuerung des Risikoinventars, der Risikoakzeptanz sowie der Risikobehandlung.
== Querschnittsfunktion ==
; Integriertes Managementsystem
; Integriertes Managementsystem
Querschnittsfunktion: Risikomanagements
# https://de.wikipedia.org/wiki/Integriertes_Managementsystem
# https://de.wikipedia.org/wiki/Integriertes_Managementsystem


== Risikogebiete ==
== Phasen ==
=== Geschäftsführung ===
; Managementkreislauf
Übergeordnetes Risikogebiet
: Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar
* Ziele und Strategien der Organisation
* Governance und Kommunikation
* Geschäftsprozesse und Betrieb.


=== Operationale Risikogebiete ===
; Risikomanagement umfasst die Phasen
* Geschäftsentwicklung
* Plan
* Recht und Verträge
* Do
* Projekte und Transition
* Check
* Informationssicherheit
* Act
* IT Service Management
* Business Continuity
* Personal
* Produkte


=== Dokumentation des Risikomanagements ===
== Aufgaben ==
* Handbücher
* Anweisungen
* Regelungen
* Checklisten
* Ticketerfassung
* Berichte
* Protokolle
* Formblätter
 
== Risikoarten ==
; Ohne Steuerungsmöglichkeiten
* Politische Entscheidungen
* Gesetzliche Bestimmungen
* Gesellschafter-Beziehungen
* Besteuerung
 
; Mit Steuerungsmöglichkeiten
* Qualitätsziele der IT Services
* Wirtschaftlichkeit von IT Services
* Relevanz von IT-Projekten
* Beschäftigte der IT
 
== Begriffe ==
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
! Option !! Beschreibung
! Aufgabe !! Beschreibung
|-
|-
| Risikoanalyse || Systematische Ermittlung und Gebrauch von Informationen, um ein Risiko zu verstehen und nach Eintrittswahrscheinlichkeit und Schadensauswirkung auf eine Organisation oder auf ein System einzuschätzen
| [[Risikowahrnehmung]]||
|-
|-
| Risikokommunikation || Andauernder oder wiederkehrender Prozess innerhalb einer Organisation, um Informationen bezüglich des Umgangs mit Risiken mit den interessierten Kreisen auszutauschen
| [[Risikoidentifikation]]||
|-
|-
| Risikoszenario || Konkrete und bildhafte Darstellung eines Risikos mit Annahmen über mögliche Zusammenhänge von Ursachen und Abfolgen von Ereignissen oder Entwicklungen, die aufzeigt, wie sich Gefahren und Bedrohungen in einer Organisation oder in einem System darstellen und auswirken
| [[Risikoanalyse]]||
|-
|-
| Risikoszenario || Anzunehmen ist der schlimmst mögliche, aber dennoch glaubwürdige, Fall (credible worst case (cwc))
| [[Risikobewertung]]/[[Risikoquantifizierung]] || Risikobeurteilung
Frage: „Welcher Schaden kann im schlimmsten Fall eintreten?“ Ein Risikoszenario ist glaubwürdig, wenn es in der menschlichen Erfahrung bereits vorgekommen ist und ein erneutes Eintreten nicht ausgeschlossen werden kann. Des Weiteren kann ein Risikoszenario für möglich gehalten und begründet werden, auch wenn das Risikoszenario noch nie eingetroffen ist
|-
|-
| Restrisiko || Beschreibt jenes Risiko, das nach der Umsetzung der Risikobehandlung verbleibt. Gegebenenfalls umfasst das
| [[Risikoaggregation]]||
Restrisiko zudem nicht bewertete Risiken und bewusst eingegangene Risiken
|-
|-
| Risikomanagementsystem (RMS) || Beschreibt die Gesamtheit aller Maßnahmen zur Erkennung, Analyse, Bewertung, Kommunikation, Überwachung und Steuerung von Risiken und sollte angemessen sein und kontinuierlich verbessert werden. Das Risikomanagement ist zentraler Bestandteil der gängigsten ISO Normen.
| [[Risikobeurteilung]]||
|-
|-
| Risikomanagementhandbuch (RMH) || Dient der Dokumentation der Grundsätze eines Systems zur Erkennung und Überwachung geschäftsspezifischer Risiken einer Organisation (Dokumentation des Risikomanagementsystems)
| [[Risikokommunikation]]||
* Beschreibung der vorhandenen Systeme zur
|-
Risikofrüherkennung und Handhabung von Risiken
| [[Risikobewältigung]]||
* Darstellung der relevanten Risiken für die Organisation.
|-
 
| [[Risikoinformationen]]||
Das RMH erfüllt im Hinblick auf die Einhaltung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) folgende Funktionen
|-
* Rechenschaftsfunktion
| [[Risikosteuerung]] ||
* Sicherungsfunktion
|-
* Prüffunktion
| [[Risikocontrolling]] ||
|}
|}


== Zusammenfassung ==
<noinclude>
* Organisationen sollten das Risikomanagement ganzheitlich und übergreifend verstehen lernen
* Das Risikomanagement sollte in alle wesentlichen Verantwortungsbereiche einer Organisation integriert werden
* Die Risikogebiete sollten auf der Basis der wesentlichen Verantwortungsbereiche für die Organisation spezifisch bestimmt werden
* Die größte Herausforderung des Risikomanagements ist es, zahlreiche, zum Teil hochspezifische, organisations- und abteilungsübergreifende Risikoszenarien zu bestimmen


; Fazit
== Anhang ==
* Die Einführung und der Betrieb eines Managementsystems für die Planung, Kontrolle und Lenkung des Risikomanagements ist erforderlich Organisationsspezifische Risikoszenarien müssen entwickelt werden und die zu betrachtenden Geschäftsprozesse müssen bestimmt werden
=== Siehe auch ===
* Maßnahmen zur Risikobehandlung müssen nachhaltig umgesetzt werden, was zur Überwachung und Überprüfung sowie einer kontinuierlichen Verbesserung führt
* [[Risiko/Arten]]
 
* [[Balanced Scorecard]]
== Übungen ==
* [[Betriebliches Kontinuitätsmanagement]]
; Diskussion
* [[Betriebssicherheitsmanagement]]
# Worin bestehen die Herausforderungen beim Risikomanagement in Ihrer Organisation?
* [[Bow-Tie-Analyse]]
# Gibt es bereits ein Risikomanagementhandbuch?
* [[Chancenmanagement]]
# Können Sie damit arbeiten?
* [[Gefahrenabwehr]]
* [[Management Risk Controlling (MRC)]]
* [[Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung]]
----
{{Special:PrefixIndex/Risiko}}


Vertiefung von Wissen Folie 31
=== Dokumentation ===
=== Links ===
==== Projekt ====
==== Weblinks ====
# [https://www.bitkom.org/Bitkom/Publikationen/Leitfaden-IT-Risiko-und-Chancenmanagement-fuer-kleine-und-mittlere-Unternehmen.html BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen]




[[Kategorie:ISMS/Risikomanagement]]
</noinclude>
</noinclude>

Aktuelle Version vom 28. April 2025, 10:38 Uhr

Risikomanagement - Management von Risiken

Beschreibung

Planvoller Umgang mit Risiken

Chancen und Gefahren

Risikomanagement ist nach der Norm ISO 31000

Führungsaufgabe

  • Risiken einer Organisation
    • identifizieren
    • analysieren
    • bewertet
    • behandeln
Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen
  • Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden
  • Methoden der Risikoermittlung
  • Verantwortlichkeiten bei Risikoentscheidungen
  • Bereitstellung von Ressourcen zur Risikoabwehr
  • Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung)
  • Qualifikation des Personals für das Risikomanagement
Risikomanagement ist ein fortlaufender Prozess (Demingkreis:"Plan-Do-Check-Act")
  • Planung
  • Umsetzung
  • Überwachung
  • Verbesserung

Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen

  • Eine Kultur der Risikolenkung in der Organisation entstehen lassen
Norm ISO 31000

Beschreibt Grundsätze und Verfahren zum Risikomanagement

  • Allgemein gültig
  • Kann in allen Bereichen, in denen Risiken existieren, angewendet werden
  • Ist nicht auf eine spezifische Branche beschränkt
Risikofrüherkennungssystem

Das Risikomanagement (Risikofrüherkennungssystem) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG)

Bestandsbedrohende Risiken
  • frühzeitig erkennen
  • nachvollziehbar überwachen
Aggregation

Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation)

  • Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
  • Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige Rating mittels einer sogenannten Ratingprognose

Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der Risikokosten zu nennen

Risikomanagement-Prozesse
Prozess Beschreibung
Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
Analyse der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeiten und möglichen Auswirkungen
Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (beispielsweise aus Standards und Normen)
Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
Risikoüberwachung mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden

Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software

  • Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
Methoden
  • BSI-Standard 200-3
Risikoanalyse auf der Basis von IT-Grundschutz
  • Klassische Risikoanalyse
ISO 27001, 27005, 31000
  • Penetrationstest
  • Differenz-Sicherheitsanalyse
Integriertes Managementsystem

Querschnittsfunktion: Risikomanagements

  1. https://de.wikipedia.org/wiki/Integriertes_Managementsystem

Phasen

Managementkreislauf
Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar
Risikomanagement umfasst die Phasen
  • Plan
  • Do
  • Check
  • Act

Aufgaben

Aufgabe Beschreibung
Risikowahrnehmung
Risikoidentifikation
Risikoanalyse
Risikobewertung/Risikoquantifizierung Risikobeurteilung
Risikoaggregation
Risikobeurteilung
Risikokommunikation
Risikobewältigung
Risikoinformationen
Risikosteuerung
Risikocontrolling


Anhang

Siehe auch

Dokumentation

Links

Projekt

Weblinks

  1. BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen
Abgerufen von „https://wiki.foxtom.de/index.php?title=Risikomanagement&oldid=139265