Risiko/Management: Unterschied zwischen den Versionen
| Zeile 36: | Zeile 36: | ||
== Phasen == | == Phasen == | ||
; Managementkreis | |||
: Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar. | |||
; Risikomanagement umfasst die Phasen | ; Risikomanagement umfasst die Phasen | ||
* [[Risikoidentifikation]] | * [[Risikoidentifikation]] | ||
| Zeile 42: | Zeile 45: | ||
* [[Risikoaggregation]] | * [[Risikoaggregation]] | ||
* [[Risikosteuerung]] | * [[Risikosteuerung]] | ||
* [[Risikocontrolling]] | * [[Risikocontrolling]] | ||
; Risikoinformationen | ; Risikoinformationen | ||
Version vom 27. Oktober 2023, 09:43 Uhr
Risikomanagement - Management von Risiken
Beschreibung
- Planvoller Umgang mit Risiken
- Motivation
Die Motivation für ein zu etablierendes IT-Risikomanagement in nahezu allen Branchen resultiert aus der zunehmenden Digitalisierung und Automatisierung.
- Im Rahmen der Digitalisierung werden neue digitale Prozesse und Verfahren zur Informationsverarbeitung eingesetzt und bisherige analoge oder teilautomatisierte Prozesse und Verfahren sukzessive ersetzt oder überholt.
- Durch den Fortschritt sowie erweiterten rechtlichen Anforderungen stellt sich die Herausforderung an die Organisationen, die Strategien zur risikoorientierten Geschäftsführung neu zu formulieren.
- Risikomanagement
Organisationen sollten das Risikomanagement ganzheitlich und übergreifend verstehen lernen
- Das Risikomanagement sollte in alle wesentlichen Verantwortungsbereiche einer Organisation integriert werden
- Die Risikogebiete sollten auf der Basis der wesentlichen Verantwortungsbereiche für die Organisation spezifisch bestimmt werden
- Die größte Herausforderung des Risikomanagements ist es, zahlreiche, zum Teil hochspezifische, organisations- und abteilungsübergreifende Risikoszenarien zu bestimmen
- Ausgangssituation
IT-Risiken sind in vielen Organisationen nicht hinreichend betrachtet und bewertet
- Die Ziele und Strategien der Organisationen sind häufig nicht auf die digitalisierten und automatisierten Prozesse und Verfahren abgestimmt
- Insbesondere ist die eingesetzte Informationstechnik (IT) oftmals nicht ausreichend als Teil der Wertschöpfung berücksichtigt.
- Daraus resultierend werden Risikolagen und Gefährdungsszenarien sowie die Schadensauswirkungen bei Zwischenfällen des IT-Betriebs unterschätzt
- Die Betrachtung der Informationssicherheit und IT-Sicherheit erfolgt ausschließlich unter Kostengesichtspunkten.
- Eine risikoadäquate Betrachtung der Informationssicherheit und IT-Sicherheit muss zunehmend unter Einbeziehung der Schadenspotentiale überdacht werden
- Fazit
Die Einführung und der Betrieb eines Managementsystems für die Planung, Kontrolle und Lenkung des Risikomanagements ist erforderlich
- Organisationsspezifische Risikoszenarien entwickeln
- Relevante Geschäftsprozesse bestimmen
- Maßnahmen umsetzen
- Überwachung und Überprüfung
- Kontinuierliche Verbesserung
Risiko-Begriff
Phasen
- Managementkreis
- Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar.
- Risikomanagement umfasst die Phasen
- Risikoidentifikation
- Risikoanalyse
- Risikobewertung/Risikoquantifizierung
- Risikoaggregation
- Risikosteuerung
- Risikocontrolling
- Risikoinformationen
Auch die Nutzung von Risikoinformationen für unternehmerische Entscheidungen kann als Teil des Risikomanagements aufgefasst werden (Beurteilung und Bewertung des Ertrag-Risiko-Profils von Handlungsoptionen, wie Investitionen).
Aufgaben
| Aufgabe | Beschreibung |
|---|---|
| Risikowahrnehmung | |
| Risikoidentifikation | |
| Risikoanalyse | |
| Risikoquantifizierung | Risikobeurteilung |
| Risikoaggregation | |
| Risikobeurteilung | |
| Risikobewertung | |
| Risikokommunikation | |
| Risikobewältigung |
Risikoidentifikation
Risikoquantifizierung
- Risikoquantifizierung versucht, das nun erkannte Risiko zu quantifizieren
- Dies geschieht in zwei Schritten.
- Zunächst werden die Eintrittswahrscheinlichkeit und das Schadensausmaß bei Eintritt des Schadens bestimmt (s. a. Risikomatrix).
- Durch Multiplikation dieser beiden Kennzahlen entsteht eine Art Risikopotenzial, der Schadenerwartungswert.
- Je nach Art des Risikos können unterschiedliche Wahrscheinlichkeitsverteilungen für die quantitative Beschreibung eines Risikos verwendet werden.
- Ein Messung des Umfangs eines Risikos erfolgt mittels eines Risikomaßes.
- Eine Herausforderung in dieser Phase ist die nachvollziehbare Überführung von qualitativen Risiken, wie z. B. eines Streiks oder eines Vulkanausbruchs, in ein quantitatives Zahlenwerk (Risikoquantifizierung).
- Die Berechnung des Gesamtumfangs aus mehreren Einzelrisiken ist Aufgabe der Risikoaggregation.
- Die Risikosteuerung beschäftigt sich nun mit der Frage, wie das einzelne Wirtschaftssubjekt mit dem Risiko umgeht.
- Dazu bestehen die Möglichkeiten des Selbsttragens des Schadens, der Schadensvermeidung, der Überwälzung auf andere und der Risikobegrenzung.
- Ansätze zur Risikobegrenzung lassen sich in ursachenbezogene und wirkungsbezogene unterscheiden
- Ursachenbezogene Strategien zielen ex ante darauf ab, die Höhe möglicher Verluste oder ihre Wahrscheinlichkeitsverteilung positiv zu beeinflussen.
- Wirkungsbezogene Strategien zielen auf die Abfederung oder die Abwälzung schlagend gewordener Risiken ab.
- Ursachenbezogene Strategien sind die Risikovermeidung und die Risikominderung.
- Wirkungsbezogene Strategien sind der Risikotransfer und die Risikovorsorge.
- Risikodiversifikation weist zu beiden Strategiearten Bezüge auf.
Risikomanagement
Das Risikomanagement ist eine Aufgabe, die einer Funktion in einer Organisationseinheit in Unternehmen oder Behörden zugeordnet ist.
- Risikomanagement ist nach der Norm ISO 31000: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden.
- Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen.
- Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen.
Eine formale Ausbildung und Zertifizierung zum Risikomanager kann in Deutschland dem Stand der Technik entsprechend gemäß DIN VDE V 0827 „Notfall- und Gefahren-Systeme – Teil 1: Notfall- und Gefahren-Reaktions-Systeme (NGRS) – Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten“ und in Österreich nach ONR 49003 „Risikomanagement für Organisationen und Systeme – Anforderungen an die Qualifikation des Risikomanagers – Anwendung von ISO/DIN 31000 in der Praxis“ erfolgen.
Risikomanagement wird als ein fortlaufender Prozess verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden (Demingkreis: „Plan-Do-Check-Act“).
- Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen und eine Kultur der Risikolenkung in der Organisation entstehen lassen.
Die in der Norm ISO 31000 beschriebenen Grundsätze und Verfahren zum Risikomanagement gelten allgemein.
- Sie können in allen Bereichen, in denen Risiken existieren, angewendet werden und sind nicht auf eine spezifische Branche zugeschnitten.
Das Risikomanagement (Risikofrüherkennungssystem) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG) und dem darauf basierenden IdW-Prüfungsstandard PS 340 und dem jüngeren DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision (von 2018).
- Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen.
- Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation).
- Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz.
- Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige Rating mittels einer sogenannten Ratingprognose.
Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der Risikokosten zu nennen.
- Risikomanagement-Prozess
- Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
- Analyse der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeiten und möglichen Auswirkungen
- Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z. B. aus Standards und Normen)
- Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
- Risikoüberwachung mit Hilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
- Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden
Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software.
- Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren.
Anhang
Siehe auch
- Risiko
- Risiko/Aggregation
- Risiko/Bankwesen
- Risiko/Berechnung
- Risiko/Bereitschaft
- Risiko/Beurteilung
- Risiko/Bewältigung
- Risiko/Entscheidungstheorie
- Risiko/Gebiete
- Risiko/Geographie
- Risiko/Gesundheitswesen
- Risiko/Graph
- Risiko/Informationen
- Risiko/IngenieurUmweltwissenschaften
- Risiko/Kommunikation
- Risiko/Management
- Risiko/Management/bilder
- Risiko/MathematikStatistik
- Risiko/Minderung
- Risiko/Philosophie
- Risiko/Psychologie
- Risiko/Pädagogik
- Risiko/SonstigeUnternehmensrisiken
- Risiko/Soziologie
- Risiko/Sport
- Risiko/Strategie
- Risiko/Theologie
- Risiko/Vermeidung
- Risiko/Versicherungswesen
- Risiko/Wahrnehmung
- Risiko/Wirtschaftswissenschaft
- Risikoanalyse
- Risikoanalyse/Meeting
- Risikoarten
- Risikoaufbereitung
- Risikobericht
- Risikobeurteilung/Methoden
- Risikobewertung
- Risikoidentifikation
- Risikomanagement/Bereiche
- Risikomanagement/Controlling
- Risikomanagement/Glossar
- Risikomanagement/Mathematische Grössen
- Risikomanagement/Motivation
- Risikomanagement/Prozesse
- Risikomanagement/Psychologie
- Risikomanagement/Standards
- Risikomanagement/tmp
- Risikomanagement/Übungen
- Risikomaß
- Risikoquantifizierung
- Risikoträger
- Risikoworkshops
- Balanced Scorecard
- Betriebliches Kontinuitätsmanagement
- Betriebssicherheitsmanagement
- Bow-Tie-Analyse
- Chancenmanagement
- Gefahrenabwehr
- Management Risk Controlling (MRC)
- Risikoanalyse und Risikomanagement bei Zollkontrollen der deutschen Zollverwaltung
- Risikomanagement-Standard
Dokumentation
Links
Projekt
Weblinks
TMP
Risikostrategie
Querschnittsfunktion
- Integriertes Managementsystem
Risikogebiete
| Geschäftsführung
Übergeordnetes Risikogebiet
|
Operationale Risikogebiete
|
Dokumentation des Risikomanagements
|
Risikoarten
- Ohne Steuerungsmöglichkeiten
- Politische Entscheidungen
- Gesetzliche Bestimmungen
- Gesellschafter-Beziehungen
- Besteuerung
- Mit Steuerungsmöglichkeiten
- Qualitätsziele der IT Services
- Wirtschaftlichkeit von IT Services
- Relevanz von IT-Projekten
- Beschäftigte der IT