Risiko/Management: Unterschied zwischen den Versionen

Aktuelle Version vom 22. Mai 2024, 07:08 Uhr

Risikomanagement - Management von Risiken

Beschreibung

Planvoller Umgang mit Risiken

Chancen und Gefahren

Risikomanagement

Aufgabe von Unternehmen und Behörden

Funktion in einer Organisationseinheit

Risikomanagement ist nach der Norm ISO 31000

Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden

Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen

Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden
Methoden der Risikoermittlung
Verantwortlichkeiten bei Risikoentscheidungen,
Bereitstellung von Ressourcen zur Risikoabwehr,
Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung)
Qualifikation des Personals für das Risikomanagement

Risikomanagement ist ein fortlaufender Prozess (Demingkreis:„Plan-Do-Check-Act“)

Planung
Umsetzung
Überwachung
Verbesserung

Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen

Eine Kultur der Risikolenkung in der Organisation entstehen lassen

Norm ISO 31000

Beschreibt Grundsätze und Verfahren zum Risikomanagement

Allgemein gültig
Kann in allen Bereichen, in denen Risiken existieren, angewendet werden
Ist nicht auf eine spezifische Branche beschränkt

Risikofrüherkennungssystem

Das Risikomanagement (Risikofrüherkennungssystem) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG) und dem darauf basierenden IdW-Prüfungsstandard PS 340 und dem jüngeren DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision (von 2018)

Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation)
Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige Rating mittels einer sogenannten Ratingprognose

Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der Risikokosten zu nennen

Risikomanagement-Prozesse

Prozess	Beschreibung
Identifikation	der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
Analyse	der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeiten und möglichen Auswirkungen
Risikobewertung	durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z. B. aus Standards und Normen)
Risikobewältigung/Risikobeherrschung	durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
Risikoüberwachung	mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
Risikoaufzeichnungen	zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden

Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software

Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren

Methoden

BSI-Standard 200-3

Risikoanalyse auf der Basis von IT-Grundschutz

Klassische Risikoanalyse

ISO 27001, 27005, 31000

Penetrationstest
Differenz-Sicherheitsanalyse

Integriertes Managementsysteme

Querschnittsfunktion des Risikomanagements

https://de.wikipedia.org/wiki/Integriertes_Managementsystem

Motivation

Risikomanagement/Motivation

Phasen

Managementkreislauf: Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar

Risikomanagement umfasst die Phasen

Aufgaben

Aufgabe	Beschreibung
Risikowahrnehmung
Risikoidentifikation
Risikoanalyse
Risikobewertung/Risikoquantifizierung	Risikobeurteilung
Risikoaggregation
Risikobeurteilung
Risikokommunikation
Risikobewältigung
Risikoinformationen
Risikosteuerung
Risikocontrolling

Anhang

Siehe auch

Dokumentation

Links

Projekt

Weblinks

BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen

@@ Zeile 1: / Zeile 1: @@
 '''Risikomanagement''' - [[Management]] von Risiken
+== Beschreibung ==
+; Planvoller Umgang mit Risiken
+* [[Chance]]n und [[Gefahr]]en
 == Risikomanagement ==
-; Das Risikomanagement ist eine [[Aufgabe (Pflicht)|Aufgabe]], die einer [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]] in [[Unternehmen]] oder [[Behörde]]n zugeordnet ist.
+; [[Aufgabe (Pflicht)|Aufgabe]] von [[Unternehmen]] und [[Behörde]]n
-* Risikomanagement ist nach der Norm [[ISO 31000]]: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden.
+* [[Funktion (Organisation)|Funktion]] in einer [[Organisationseinheit]]
-* Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen.
-* Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen.
-; Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1: Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen.
+; Risikomanagement ist nach der Norm [[ISO 31000]]
+Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden
-; Risikomanagement wird als ein fortlaufender [[Prozess]] verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden ([[Demingkreis]]:
+; Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen
-„Plan-Do-Check-Act“).
+* Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden
-* Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen.
+* Methoden der Risikoermittlung
+* Verantwortlichkeiten bei Risikoentscheidungen,
+* Bereitstellung von Ressourcen zur Risikoabwehr,
+* Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung)
+* Qualifikation des Personals für das Risikomanagement
-; Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein.
+; Risikomanagement ist ein fortlaufender [[Prozess]] ([[Demingkreis]]<nowiki>:„Plan-Do-Check-Act“)</nowiki>
-* Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten.
+* Planung
+* Umsetzung
+* Überwachung
+* Verbesserung
-Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018).
+Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen
-* Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen.
+* Eine Kultur der Risikolenkung in der Organisation entstehen lassen
-* Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]]).
-* Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz.
-* Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]].
-Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen.
+; Norm ISO 31000
+Beschreibt Grundsätze und Verfahren zum Risikomanagement
+* Allgemein gültig
+* Kann in allen Bereichen, in denen Risiken existieren, angewendet werden
+* Ist nicht auf eine spezifische Branche beschränkt
-; Risikomanagement-Prozess
+; Risikofrüherkennungssystem
-* Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
+Das Risikomanagement ([[Risikofrüherkennungssystem]]) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des [[Gesetz zur Kontrolle und Transparenz im Unternehmensbereich|Kontroll- und Transparenzgesetzes (KonTraG)]] und dem darauf basierenden IdW-Prüfungsstandard [[IDW PS 340|PS 340]] und dem jüngeren [[DIIR Revisionsstandard Nr. 2]] des [[Deutsches Institut für Interne Revision|Deutschen Instituts für Interne Revision]] (von 2018)
-* Analyse der identifizierten Risiken hinsichtlich ihrer [[Eintrittswahrscheinlichkeit]]en und möglichen Auswirkungen
+* Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
-* Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z.&nbsp;B.&nbsp;aus Standards und Normen)
+* Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert ([[Risikoaggregation]])
-* Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
+* Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
-* Risikoüberwachung mit Hilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
+* Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige [[Rating]] mittels einer sogenannten [[Ratingprognose]]
-* Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
-Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software.
+Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der [[Risikokosten]] zu nennen
-* Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren.
-== Beschreibung ==
+; Risikomanagement-Prozesse
-; Planvoller Umgang mit Risiken
+{| class="wikitable options"
-* [[Chance]]n und [[Gefahr]]en
+|-
+! Prozess !! Beschreibung
+|-
+| Identifikation || der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
+|-
+| Analyse || der identifizierten Risiken hinsichtlich ihrer [[Eintrittswahrscheinlichkeit]]en und möglichen Auswirkungen
+|-
+| Risikobewertung || durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z.&nbsp;B.&nbsp;aus Standards und Normen)
+|-
+| Risikobewältigung/Risikobeherrschung || durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
+|-
+| Risikoüberwachung || mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
+|-
+| Risikoaufzeichnungen || zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
+|}
-; Motivation
+Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software
-Die Motivation für ein zu etablierendes IT-Risikomanagement in nahezu allen Branchen resultiert aus der zunehmenden Digitalisierung und Automatisierung.
+* Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
-* Im Rahmen der Digitalisierung werden neue digitale Prozesse und Verfahren zur Informationsverarbeitung eingesetzt und bisherige analoge oder teilautomatisierte Prozesse und Verfahren sukzessive ersetzt oder überholt.
-* Durch den Fortschritt sowie erweiterten rechtlichen Anforderungen stellt sich die Herausforderung an die Organisationen, die Strategien zur risikoorientierten Geschäftsführung neu zu formulieren.
-; Risikomanagement
+; Methoden
-Organisationen sollten das Risikomanagement ganzheitlich und übergreifend verstehen lernen
+* BSI-Standard 200-3
-* Das Risikomanagement sollte in alle wesentlichen Verantwortungsbereiche einer Organisation integriert werden
+: Risikoanalyse auf der Basis von IT-Grundschutz
-* Die Risikogebiete sollten auf der Basis der wesentlichen Verantwortungsbereiche für die Organisation spezifisch bestimmt werden
+* Klassische Risikoanalyse
-* Die größte Herausforderung des Risikomanagements ist es, zahlreiche, zum Teil hochspezifische, organisations- und abteilungsübergreifende Risikoszenarien zu bestimmen
+: ISO 27001, 27005, 31000
+* Penetrationstest
+* Differenz-Sicherheitsanalyse
-; Ausgangssituation
+; Integriertes Managementsysteme
-IT-Risiken sind in vielen Organisationen nicht hinreichend betrachtet und bewertet
+Querschnittsfunktion des Risikomanagements
-* Die Ziele und Strategien der Organisationen sind häufig nicht auf die digitalisierten und automatisierten Prozesse und Verfahren abgestimmt
+# https://de.wikipedia.org/wiki/Integriertes_Managementsystem
-* Insbesondere ist die eingesetzte Informationstechnik (IT) oftmals nicht ausreichend als Teil der Wertschöpfung berücksichtigt.
-* Daraus resultierend werden Risikolagen und Gefährdungsszenarien sowie die Schadensauswirkungen bei Zwischenfällen des IT-Betriebs unterschätzt
-* Die Betrachtung der Informationssicherheit und IT-Sicherheit erfolgt ausschließlich unter Kostengesichtspunkten.
-* Eine risikoadäquate Betrachtung der Informationssicherheit und IT-Sicherheit muss zunehmend unter Einbeziehung der Schadenspotentiale überdacht werden
-; Schlussfolgerungen
+== Motivation ==
-Die Einführung und der Betrieb eines Managementsystems für die Planung, Kontrolle und Lenkung des Risikomanagements ist erforderlich
+[[Risikomanagement/Motivation]]
-* Organisationsspezifische Risikoszenarien entwickeln
-* Relevante Geschäftsprozesse bestimmen
-* Maßnahmen umsetzen
-* Überwachung und Überprüfung
-* Kontinuierliche Verbesserung
-; Risiko-Begriff
-[[Risiko/Begriff]]
 == Phasen ==
-; Managementkreis
+; Managementkreislauf
-: Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar.
+: Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar
-; Risikomanagement umfasst die Phasen
-* [[Risikoidentifikation]]
-* [[Risikoanalyse]]
-* [[Risikobewertung]]/[[Risikoquantifizierung]]
-* [[Risikoaggregation]]
-* [[Risikosteuerung]]
-* [[Risikocontrolling]]
-; Aufgaben
+; Risikomanagement umfasst die Phasen
+Aufgaben
 {| class="wikitable sortable options"
 |-
 ! Aufgabe !! Beschreibung
 |-
-| [[Risikowahrnehmung]] ||
+| [[Risikowahrnehmung]]||
+|-
+| [[Risikoidentifikation]]||
 |-
-| [[Risikoidentifikation]] ||
+| [[Risikoanalyse]]||
 |-
-| [[Risikoanalyse]] ||
+| [[Risikobewertung]]/[[Risikoquantifizierung]] || Risikobeurteilung
 |-
-| [[Risikoquantifizierung]] || Risikobeurteilung
+| [[Risikoaggregation]]||
 |-
-| [[Risikoaggregation]] ||
+| [[Risikobeurteilung]]||
 |-
-| [[Risikobeurteilung]] ||
+| [[Risikokommunikation]]||
 |-
-| [[Risikobewertung]] ||
+| [[Risikobewältigung]]||
 |-
-| [[Risikokommunikation]] ||
+| [[Risikoinformationen]]||
 |-
-| [[Risikobewältigung]] ||
+| [[Risikosteuerung]] ||
 |-
-| [[Risikoinformationen]] ||
+| [[Risikocontrolling]] ||
 |}
+<noinclude>
 == Anhang ==
 === Siehe auch ===
-{{Special:PrefixIndex/Risiko}}
+* [[Risiko/Arten]]
-----
-* [[Reifegradmodelle]]
-* [[Risikoarten]]
 * [[Balanced Scorecard]]
 * [[Betriebliches Kontinuitätsmanagement]]
@@ Zeile 122: / Zeile 126: @@
 * [[Management Risk Controlling (MRC)]]
 * [[Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung]]
-* [[Risikomanagement-Standard]]
+----
+{{Special:PrefixIndex/Risiko}}
 ==== Dokumentation ====
@@ Zeile 129: / Zeile 134: @@
 ===== Weblinks =====
 # [https://www.bitkom.org/Bitkom/Publikationen/Leitfaden-IT-Risiko-und-Chancenmanagement-fuer-kleine-und-mittlere-Unternehmen.html BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen]
 [[Kategorie:Risikomanagement]]
-== Risikostrategie ==
-[[Risikostrategie]]
-== Querschnittsfunktion ==
-; Integriertes Managementsystem
-# https://de.wikipedia.org/wiki/Integriertes_Managementsystem
-== Risikoarten ==
-[[Risiko/Arten]]
 </noinclude>