„enterprise risikomanagement nach iso...
TRANSCRIPT
![Page 1: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/1.jpg)
„Enterprise Risikomanagement
nach ISO 31000“
MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria
![Page 2: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/2.jpg)
Basis des „operativen“ Risikomanagement
![Page 3: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/3.jpg)
Was ist unter dem Begriff „Risiko“ zu verstehen?
GEFAHR ?
![Page 4: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/4.jpg)
Begutachtung nach ISO 31000
![Page 5: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/5.jpg)
Begutachtung nach ISO 31000 (Teil 1)
![Page 6: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/6.jpg)
Begutachtung nach ISO 31000 (Teil 2)
![Page 7: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/7.jpg)
Risiko identifiziert
PosiTiV CHANCE - GEWINN
NEGATiV GEFAHR - VERLUST
![Page 8: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/8.jpg)
Risiko
Unter Risiken werden alle zukünftigen Ereignisse (finanzielle
und nicht finanzielle) und möglichen Entwicklungen innerhalb
und außerhalb des Unternehmens verstanden, die sich
(negativ/positiv) auf die Erreichung von Unternehmenszielen
auswirken können.
![Page 9: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/9.jpg)
Aufgaben des Risikomanagements
Das Risikomanagementsystem liefert einen strukturierten
Überblick über die bestehende Risikosituation eines
Unternehmens und dessen Umfeld.
Damit unterstützt es die Entscheidung über einzuleitende
Maßnahmen zur Nutzung von Chancen und Steuerung von
Risiken.
![Page 10: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/10.jpg)
Risikomanagement - Strategie
Um am Markt erfolgreich agieren zu können, gibt es 4 Optionen zum Umgang mit Risiken:
Risiken vermeiden
Risiken vermindern
Risiken überwälzen
Risiken selbst tragen
Chance Gefahr
Risiko
![Page 11: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/11.jpg)
Organisation des Risikomanagements
Risikomanagement erfolgt unternehmensweit und ist
ausgerichtet auf Geschäftsprozesse beginnend beim
Unternehmens-Strategieprozess bis hin zum Tagesgeschäft
(strategische und operative Ebene).
![Page 12: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/12.jpg)
ISO 31000
Kommunikation und
Konsultation
Erstellung des Zusammenhangs
Risikoidentifikation
Risikoanalyse
Risikobewertung
Risikobewältigung
Überwachung und
Überprüfung
Risiko- beurteilung
![Page 13: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/13.jpg)
Kritische Erfolgsfaktoren
![Page 14: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/14.jpg)
Kommunikationund
Konsultation
Erstellung des Zusammenhangs
Risikoidentifikation
Risikoanalyse
Risikobewertung
Risikobewältigung
Überwachung und
Überprüfung
Risiko-beurteilung
![Page 15: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/15.jpg)
JEDEs ERkANNTE Risiko
isT EiNE CHANCE
ZUR VERBEssERUNG !
![Page 16: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/16.jpg)
Eine Strukturierung der Risiken durch Zerlegung des Gesamtrisikos.
Ziel ist eine möglichst vollständige Erfassung aller Gefahrenquellen, Störpotenziale und Schadensursachen des Unternehmens. Externe Risiken: Durch die Entwicklung der Umwelt, des Unternehmens und
durch die Fluktuation können Risiken in verschiedenen Bereichen auftreten.
Interne Risiken: Interne Risiken, die von einem Managementsystem erfasst
werden.
Identifikation von Risikofeldern
![Page 17: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/17.jpg)
Alle Experten stammen aus einem Fachgebiet bzw. Unternehmen
Mangel an Pluralität
Individualisten und Querdenker ausschließen
Teilbetrachtung anstelle einer gesamtheitlichen Betrachtung
Kein systematischen Vorgehen
Vorgefertigte Meinungen
Ungenaue Daten und Informationsquellen – Gerüchte statt ZDF
Gefahrenpotential
![Page 18: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/18.jpg)
Systematische Identifikation von Risikofeldern Risikokategorien Risikobereiche
R 01 Marktbezogene Risiken Betriebsspionage, schlechtes Image durch Datenverlust, etc.
R 02 Personenbezogene Risiken Arbeitsschutz, Know-how-Abhängigkeit, etc.
R 03 Kommerzielle (wirtschaftliche) Risiken Abhängigkeit von Software / Entwicklern /Administratoren, etc.
R 04 Technische Risiken Technik und Arbeitsvorbereitung, etc.
R 05 Rechtsrisiken (Rechtskonformität) Datenschutzgesetz, Telekommunikationsgesetz, etc.
R 06 Security-Risiko Infrastrukturbereiche, Schutzzonen, etc.
R 07 Administrative Risiken Unternehmensführung und verantwortliche Beauftragte, QM
R 08 Gesellschaftsbezogene Risiken Anlassgesetzgebung, Image, etc.
R 09 Naturbezogene Risiken Rechenzentren in Hochwassergebieten, etc.
R 10 DV/IT-Risiken werden in der ISO-27000-Normenfamilie detailliert behandelt
![Page 19: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/19.jpg)
Risikomatrix als Werkzeug
![Page 20: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/20.jpg)
Verknüpfungen zu Managementsystemen
Management heißt Leitung und Lenkung einer Organisation, eines Systems mit Menschen.
Das Handeln eines Einzelnen, die Fähigkeit, Gefahren abzuwenden und Chancen zu nutzen, hängt im Wesentlichen von zwei Faktoren ab: vom Wissen und der Motivation.
Management ist die Nutzung von Wissen und Motivation von mehreren, manchmal von sehr vielen Menschen, um Ziele der Organisation zu erreichen:
![Page 21: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/21.jpg)
ISO 9001 Die ISO 9001 ist ein Qualitätsmanagementsystem für
Organisationen aller Branchen und Größen.
Die ISO 9001 bietet die Basis für ein erfolgreiches Enterprise-RM-System durch spezielle Vorgaben der Dokumenten- und Aufzeichnungslenkung, sowie…. • Korrekturmaßnahmen/Verbesserungsmaßnahmen • Ständige Verbesserung • Korrekturmaßnahmen • Vorbeugemaßnahmen • Interne Audits
![Page 22: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/22.jpg)
ISO 27001 Die Bedeutung eines funktionierenden ISMS liegt sicher darin,
dass die Risiken durch mangelhafte Informationssicherheit (das heißt nicht nur IT/EDV) identifiziert und bewertet sind. Kernthemen sind: • Awareness der Mitarbeiter • Compliance des Managements • Sicherheit beim Umgang mit Dritten • Business Continuity Management • Klassifizierung von Informationen • Physische Sicherheit • Incident Management
![Page 23: „Enterprise Risikomanagement nach ISO 31000“at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · „Enterprise Risikomanagement nach ISO 31000“ MSc Eckehard](https://reader031.vdocuments.pub/reader031/viewer/2022013006/5a79e8fe7f8b9adf228b726f/html5/thumbnails/23.jpg)
Warum haben wir eigentlich nie Zeit, die Sache richtig zu machen, aber immer Zeit, sie nochmal zu machen?
Weinberg