Risikomanagement: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 46: Zeile 46:
Querschnittsfunktion des Risikomanagements
Querschnittsfunktion des Risikomanagements
# https://de.wikipedia.org/wiki/Integriertes_Managementsystem
# https://de.wikipedia.org/wiki/Integriertes_Managementsystem
== Beschreibung ==
; Planvoller Umgang mit Risiken
* [[Chance]]n und [[Gefahr]]en


== Motivation ==
== Motivation ==

Version vom 21. Mai 2024, 10:45 Uhr

Risikomanagement - Management von Risiken

Risikomanagement

Risikomanagement ist eine Aufgabe, die einer Funktion in einer Organisationseinheit in Unternehmen oder Behörden zugeordnet ist

Risikomanagement ist nach der Norm ISO 31000: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden

  • Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen
  • Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen
Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1
Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen
Risikomanagement wird als ein fortlaufender Prozess verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden (Demingkreis:„Plan-Do-Check-Act“)
  • Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen
Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein
  • Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten

Das Risikomanagement (Risikofrüherkennungssystem) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG) und dem darauf basierenden IdW-Prüfungsstandard PS 340 und dem jüngeren DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision (von 2018)

  • Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
  • Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation)
  • Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
  • Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige Rating mittels einer sogenannten Ratingprognose

Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der Risikokosten zu nennen

Risikomanagement-Prozess
  • Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
  • Analyse der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeiten und möglichen Auswirkungen
  • Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z. B. aus Standards und Normen)
  • Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
  • Risikoüberwachung mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
  • Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden

Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software

  • Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
Methoden
  • BSI-Standard 200-3
Risikoanalyse auf der Basis von IT-Grundschutz
  • Klassische Risikoanalyse
ISO 27001, 27005, 31000
  • Penetrationstest
  • Differenz-Sicherheitsanalyse
Integriertes Managementsysteme

Querschnittsfunktion des Risikomanagements

  1. https://de.wikipedia.org/wiki/Integriertes_Managementsystem

Motivation

Risikomanagement/Motivation

Phasen

Managementkreislauf
Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar
Risikomanagement umfasst die Phasen

Aufgaben

Aufgabe Beschreibung
Risikowahrnehmung
Risikoidentifikation
Risikoanalyse
Risikobewertung/Risikoquantifizierung Risikobeurteilung
Risikoaggregation
Risikobeurteilung
Risikokommunikation
Risikobewältigung
Risikoinformationen
Risikosteuerung
Risikocontrolling


Anhang

Siehe auch


Dokumentation

Links

Projekt
Weblinks
  1. BITCOM: IT-Risiko- und Chancenmanagement im Unternehmen

Risikoarten

Risiko/Arten