SlideShare une entreprise Scribd logo

Risikomanagemet vs. Sicherheitsmanagement

W
webuco
1  sur  4
Télécharger pour lire hors ligne
30 S&I-Kompendium 2010 M A N AGEMENT Während man im klassischen Risikomanagement der Ermittlung der Wahrscheinlichkeit und Schadenshöhe über empirische Häufigkeitsuntersuchungen begegnet, folgt man im Sicherheitsmanagement analytisch klassifikatorischen Verfahren. Risikosituationen sowie Korrelationen und Er- eignisabhängigkeiten werden mit fortschreitender, funktio- naler Prozessorganisation im Unternehmen deutlicher und vielschichtiger. Die Herausforderung liegt in der Erzeugung einheitlicher Erkenntnisse über die Risikosituation des Un- ternehmens und seiner planbaren Wertschöpfung. Die Unterstüzung der Kontrolle und Steuerung der Wert- schöpfungsprozesse und -mittel, die Einhaltung von Auf- lagen und Standards, die Sicherstellung methodischer Kor- rektheit und Gültigkeit sowie die Integration der gesamten Geschäftsrisiken sind die Handlungsfelder, die ein Integrales Risikomanagement definieren. In der gängigen Praxis und dem historischen Prozess ge- schuldet, liegt der Fokus des Risikomanagement und seiner eingesetzten Erkenntnismethoden zumeist auf den finanz- wirtschaftlichen Tätigkeiten einer Kapitalunternehmung. Kreditrisiken und Marktpreisrisiken, Adressausfall- und Marktänderungsrisiken stehen hier bei Banken, Finanz- dienstleistern und Versicherungen im Vordergrund. Die jüngsten Entwicklungen von Basel II zu MaRisk für Banken und auch aktuell für Versicherungen holen die klassichen, unternehmerischen Sicherheitsrisiken als „operationelle Risiken“ konsequent in die Betrachtung des Risikomanage- ments. Und genau an diesem Punkt entsteht methodisch für das Risikomanagement eine Herausforderung, und nicht nur für die Finanzfunktionen eines Unternehmens. Wäh- rend man im klassischen Risikomanagement der Ermittlung der Wahrscheinlichkeit und Schadenshöhe über empirische Häufigkeitsuntersuchungen begegnete (einfache und höhere Stochastik), folgte man im Sicherheitsmanagement analyti- schen Verfahren (prozessorientierte Fehler- und Schadens- baumanalysen) mit klassifikatorischen Modellen. Für die Identifikation von Risiken gibt es ein zwar metho- disch unterschiedliche Ansätze (FMEA, FMECA, Post-Mor- tem Analysen, Delphi-Methode, etc.), jedoch bedienen sich Risiko- und Sicherheitsmanagement dieser gleichermaßen, verschieden nur nach Anwendungsgebiet, Datenverfügbar- keit und Anspruch. Im Ergebnis gibt es jedoch schon starke Unterschiede. Während im Risikomanagement komplexere Risikozusammenhänge meistens vermieden werden (Ein- zelrisikoursachen), sind im Sicherheitsmanagement zumeist komplexere Ereignisszenarien vorhanden (z.B. IT-Ausfall- ursachen und Wirkungen auf Geschäftsprozesse). Zudem identifizieren Risikomanagement in der Breite Risiken, die eine hohe Häufigkeitsrate haben (Liquiditätsrisiken, Markt- preisrisiken, Zinsänderungsrisiken, etc.), da sie zumeist den täglichen Schwankungen des Kapitalmarkthandels ausge- setzt sind. Im Sicherheitsmanagement werden demgegen- über seltene Risiken diagnostiziert. Prozessrisiken, IT-, In- frastruktur- und Personalrisiken treten in der Regel weit seltener auf, haben jedoch eine direkte Auswirkung auf die Geschäftstätigkeit und Handlungsfähigkeit eines Unterneh- mens. Finanzielle Risiken haben einen direkten Einfluß auf den geschäftlichen Ertrag (Gewinn/Verlust), jedoch meist nur einen indirekten Einfluß auf die akute Handlungs- fähigkeit. Identifizierte, wertunbestimmte Gefahren werden mit Aussagen über die Häufigkeit, die Eintrittswahrscheinlich- keit und das Schadenspotenzial zu wertbestimmten Risiken. Als stellvertretendes Beispiel soll das Transaktionsrisiko die- Risikomanagement vs. Sicherheitsmanagement Planungssicherheit und fundierte Entscheidungsgrundlagen sind wesentliche Ziele des Risikomanagements. Der Ertrag ist die Verbesserung der Kapitalstruktur. Erfolgreiches Risikomanagement wird am Beitrag zur Steigerung des Unternehmenswertes gemessen. TEXT: Wilfried Polin, Christian Sierpinski BILDER: enrisma GmbH
www.sui24.net 31 M A N AGEMENT MANAGEMENT nen. Wechselkursentwicklungen haben einen enormen Ein- fluss auf die Auftragsentstehung und Abwicklung von ein- zelnen Positionen. Dies gilt nicht nur für Finanzdienstleister, gerade auch produzierende Unternehmen sind im Rohstoff- einkauf und Produktabsatz in Fremdwährungen davon be- troffen. Das Schadenspotenzial eines Transaktionsrisikos kann nun empirisch (Auswertung der Vergangenheit) oder induktiv (Annahme über die Zukunft) ermittelt werden. Bei Finanzpositionen gibt es generell eine sehr gute empirische Datenbasis, während im Sicherheitsmanagement (z.B. Ent- wendung von Waren, IT-Ausfall) zumeist nur Einzelfälle bekannt sind. Auch ist es für Unternehmen zumeist nicht vorteilhaft, Ihre Sicherheitsvorfälle öffentlich zu publizieren. Daher versuchen gerade Banken eine anonymisierte Daten- basis für Sicherheitsrisiken (im Bankwesen: operationelle Risiken) zu erstellen. Aufgrund der weniger konkreten Häu- figkeitsverteilungen und Schadenspotenziale für Risiken im Sicherheitsmanagement, wird zumeist die klassifikatorische Fragestellung „Was darf unter 1) keinen Umständen, 2) in bedingtem Maße und 3) geregelt tragbar unser Geschäft stö- ren?“ anstattdessen eingesetzt und mit einem Scoring-Mo- dell hinterlegt. Schon diese kurze Skizzierung macht deutlich, welche Hürden einer Vereinheitlichung der Ergebnisse und Dar- stellungen für unternehmerische Risiken insgesamt zu überwinden sind. Weitergehende Fragestellungen nach ei- ner Risikoaggregation und einem Frühwarnsystem, also der Gesamtdarstellung aller Risiken und einer proaktiven Über- wachung für die gezielte unternehmerische Entscheidungs- findung, beinhalten nicht minder starke Herausforderun- gen (repräsentative Risikoverteilung über Zufallsannahmen über Marktentwicklungen und Unternehmenstätigkeiten, quantitative und qualitative Risikobewertung, Kennzahlen- systeme, etc.). Aufgrund der Limitationen in der Bewertung, Aggrega- tion und Überwachung finanzieller, operativer und strategi- scher Risiken mit Hilfe der klassischen Herangehensweisen und Verfahren (Risikomanagement: Zufallsannahmen und Stetigkeitsbehauptung, Sicherheitsmanagement: Mangelnde quantitative Aussagen zu Eintrittswahrscheinlichkeit und Schadenshöhen) bietet die Adaption der Szenariotechnik als Grundschema für alle Risikodarstellungen die bis dato geeigneste Alternative der Abbildung. Hierbei kommt eine prozess- und netzorientierte Szenarioabbildung zum Ein- satz, die ohne Szenariokegel und alternative Zukunftsannah- men auskommt. Jedes Einzelrisiko ist in seiner Struktur für sich ein minimal vorstellbares Szenario (Auslöser/Ursache, Ereignis/Wirkung). Diese Minimalszenarien können wie- derum zu Prozessszenarien zusammengefasst werden (mul- tiple Ursache/Wirkungsverkettungen). Hierdurch können Szenariomodelle für jegliche Risikobereiche definiert wer- den. Vermieden werden problematische Redundanzen und nicht berücksichtigte Korrelationen. Diese Prozessszenarien können wiederum in Szenarien höherer Ordnung zusam- mengefasst werden (Gesamtrisikoszenarien). Hierbei sind alle drei Stärken der Risikomanagementverfahren nach wie vor präsent: 1. Indizienermittlung für Eintrittswahrscheinlichkeiten von Gefahren (quantitative Risikobewertung) 1. Ordnung (statistische Häufigkeitsverteilung) und 2. Ordnung (induktive Häufigkeitsverteilung) > Beispielhafte Frühwarnindikatoren für Risiken: Kreditrisiko Beispielhafte Frühwarnindikatoren für Risiken: Liquiditätsrisiko Beispielhafte Frühwarnindikatoren für Risiken: Personenentführung
32 S&I-Kompendium 2010 M A N AGEMENT 2. Ermittlung der operativen und funktionalen Schwach- stellen in den Geschäftsprozessen (qualitative Risikobe- wertung) 3. Ermittlung der Ereignis- / Konsequenzentwicklung für die Erreichung der unternehmerischen Ziele Diese Verfahren stehen nicht in Konkurrenz zueinan- der, sondern ergänzen sich. Sie ordnen sich dem Ziel un- ter, die bestmögliche und wesentliche Entscheidung zu finden, die die Erreichung der unternehmerischen Ziele ermöglicht. Quantitative Riskobewertungen liefern deutli- che Indizien für die benötigte Kapitalrückstellung und für die Preisfindung der umzusetzenden Produkte und Leis- tungen. Qualitative Risikobewertungen ergänzen diese um die Risikobewertung der funktionalen Unternehmensorga- nisation (Effektivität und Effizienz der eingesetzten Mit- Ziele für und Handlungsfelder im Integralen Risikomanagement mit Frühwarnsytem Integrales Risikomanagement
www.sui24.net 33 M A N AGEMENT MANAGEMENT tel und Verfahren). Beide Bewertungen können über ein Scoring-Modell gewichtet und dem Entscheider anhand der Risikoszenarioentwicklung transparent dargestellt werden. Zudem unterstützen die Verfahren der stochastischen An- näherung an das Gesamtvolumen der zu erwartenden Ri- sikoschäden ihn in seiner Planung und der Allokation von Kapitalmitteln in ertragreiche Wertschöpfungsprozesse und Investitionen. Der systematische, auf Prozessszenarien adaptierte, Sze- narioeinsatz bietet darüberhinaus eine weitere wesentliche Möglichkeit der „vorausgreifenden“ Risikobewältigung. Aufgrund der repräsentativen Modellierung der Ursachen- und Wirkungsentwicklung der Risiken können einzelne Einflussgrößen als Überwachungselemente gemäß den An- forderungen an ein Frühwarnsystem definiert werden. Die Parameterabfragen zu diesen Größen können quantitativer und qualitativer Natur sein, in der Überwachung automati- sierbar oder händisch erfolgen. Zusammenfassung Die methodische Integration von quantitativen und qua- litativen Risikosystematiken in ein szenariobasiertes Risiko- modell ermöglicht die kongruente und transparente Verein- heitlichung der Risikodarstellung für den Entscheider. Dieses Modell folgt der strategischen Ereignis-/Konsequenzdarstel- lung für das Management im Sinne einer notwendigen Ri- siko-/Erlös-Perspektive. Die Darlegung und Überwachung (im strengen Sinn eines Frühwarnsystems) von Risikoent- wicklungen, damit verbundenen Handlungsoptionen und Ermessensspielräumen ermöglichen Risikomanagement als Instrumentarium der Unternehmensführung zur Zielerrei- chung zu begreifen, welches vorausschauend und zeitnah Kosteneffizienz, Gewinnsteigerung, günstigerer Kapitalbe- schaffungskosten, besserer Finanzierungsoptionen und die Steigerung des Unternehmenswertes objektiv und damit nachweisbar sicherstellt. Eine aktive und effektivere Steu- erung, Bewältigung und Kontrolle der betriebswirtschaftli- chen Entscheidungen, die Steigerung ihrer Qualität ist hier von entscheidender Bedeutung. Somit trägt das integrale Risikomanagement zur Steigerung und zum langfristigen Schutz der Unternehmenswerte bei. Es erfüllt und unter- stützt die Anforderungen an die moderne Art und weise der Unternehmensführung (Corporate Governance). Eine entsprechende softwarebasierte Unterstützung des Integralen Risikomanagements mit Frühwarnsystem und prognostischerSzenariotechnikbietetdieRisikomanagement- Software enrisma (enhanced risk management). Ein offenes, auf SOA-Technologie basierendes System bietet unterschied- liche Integrationsmöglichkeiten, um aus bestehenden IT-In- frastrukturen die notwendigen Risikoinformationen gezielt und bedarfsgerecht ermitteln und in enrisma verarbeiten zu können. ■ Literatur [1] Thomas Wolke (2008): Risikomanagement. Oldenbourg Wissenschaftsverlag [2] Kalwait, R.; Meyer, R.; Romeike, F.; Schellenberger, O.; Erben, R.(Hrsg., 2008): Risikomanagement in der Unternehmensführung – Wertgenerierung durch chancen- und kompetenz-orientiertes Management. Wiley VCH Verlag, Weinheim [3] Josef Oehmen, Volker Lagner (2008): Management komplexer Risikosituationen - Das Beispiel der Produktion und Beschaffung in China. S&I Kompendium 2008, www.sui24.net [4] Günter Lessing, Dirk Beckmann (2008): Implementierung eines internen Kontroll- systems (IKS) zur Effektivitäts- und Effizienzsteigerung von internen Prozessen eines Unternehmens. S&I 2008, www.sui24.net > MORE@CLICK SIK10103 Risikoaggregation mittels Scoringmodell auf Akzeptanzgrößen

Recommandé

Risikomanagement in Versicherungsunternehmen - MaRisk VA, Risikokategorien un...
Risikomanagement in Versicherungsunternehmen - MaRisk VA, Risikokategorien un...Risikomanagement in Versicherungsunternehmen - MaRisk VA, Risikokategorien un...
Risikomanagement in Versicherungsunternehmen - MaRisk VA, Risikokategorien un...metafinanz Informationssysteme GmbH
 
Erp und bi
Erp und biErp und bi
Erp und biBurak Ergüner
 
Kochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newsKochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newshaemmerle-consulting
 
Kommunikation Im Risikomanagement
Kommunikation Im RisikomanagementKommunikation Im Risikomanagement
Kommunikation Im RisikomanagementMarkus Aeschimann
 
BCM Lifecycle
BCM LifecycleBCM Lifecycle
BCM Lifecyclehaemmerle-consulting
 
Corporate security pdf
Corporate security pdfCorporate security pdf
Corporate security pdfG3 intelligence Ltd
 
Gefährdungsbeurteilung psychischer Belastung - GBUpsych 360
Gefährdungsbeurteilung psychischer Belastung - GBUpsych 360Gefährdungsbeurteilung psychischer Belastung - GBUpsych 360
Gefährdungsbeurteilung psychischer Belastung - GBUpsych 360Karsten Steffgen
 
Finance-01-2012-04_Seiten 72u73
Finance-01-2012-04_Seiten 72u73Finance-01-2012-04_Seiten 72u73
Finance-01-2012-04_Seiten 72u73Torsten Röhner
 

Recommandé

Risikomanagement in Versicherungsunternehmen - MaRisk VA, Risikokategorien un...
Risikomanagement in Versicherungsunternehmen - MaRisk VA, Risikokategorien un...Risikomanagement in Versicherungsunternehmen - MaRisk VA, Risikokategorien un...
Risikomanagement in Versicherungsunternehmen - MaRisk VA, Risikokategorien un...metafinanz Informationssysteme GmbH
 
Erp und bi
Erp und biErp und bi
Erp und biBurak Ergüner
 
Kochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newsKochbuch für eine BIA von bcm news
Kochbuch für eine BIA von bcm newshaemmerle-consulting
 
Kommunikation Im Risikomanagement
Kommunikation Im RisikomanagementKommunikation Im Risikomanagement
Kommunikation Im RisikomanagementMarkus Aeschimann
 
BCM Lifecycle
BCM LifecycleBCM Lifecycle
BCM Lifecyclehaemmerle-consulting
 
Corporate security pdf
Corporate security pdfCorporate security pdf
Corporate security pdfG3 intelligence Ltd
 
Gefährdungsbeurteilung psychischer Belastung - GBUpsych 360
Gefährdungsbeurteilung psychischer Belastung - GBUpsych 360Gefährdungsbeurteilung psychischer Belastung - GBUpsych 360
Gefährdungsbeurteilung psychischer Belastung - GBUpsych 360Karsten Steffgen
 
Finance-01-2012-04_Seiten 72u73
Finance-01-2012-04_Seiten 72u73Finance-01-2012-04_Seiten 72u73
Finance-01-2012-04_Seiten 72u73Torsten Röhner
 
Methodenstreit im Datenqualitätsmanagement
Methodenstreit im DatenqualitätsmanagementMethodenstreit im Datenqualitätsmanagement
Methodenstreit im DatenqualitätsmanagementVizlib Ltd.
 
Risiko-Analyse bringt Klarheit
Risiko-Analyse bringt KlarheitRisiko-Analyse bringt Klarheit
Risiko-Analyse bringt KlarheitWM-Pool Pressedienst
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & ComplianceUwe Rydzek
 
Risiken
RisikenRisiken
RisikenWyrsch Unternehmerschule AG
 
Unternehmensstrategien erfolgreich umsetzen
Unternehmensstrategien erfolgreich umsetzenUnternehmensstrategien erfolgreich umsetzen
Unternehmensstrategien erfolgreich umsetzenJürgen Marx
 
ASIS - Training #4 - Risikomanagement und soziale Innovation
ASIS - Training #4 - Risikomanagement und soziale InnovationASIS - Training #4 - Risikomanagement und soziale Innovation
ASIS - Training #4 - Risikomanagement und soziale Innovationarmelleguillermet
 
Wachstum generieren - Komplexität beherrschen und reduzieren
Wachstum generieren - Komplexität beherrschen und reduzierenWachstum generieren - Komplexität beherrschen und reduzieren
Wachstum generieren - Komplexität beherrschen und reduzierenJürgen Marx
 
GUI_RISK_Interview Hartusch
GUI_RISK_Interview HartuschGUI_RISK_Interview Hartusch
GUI_RISK_Interview HartuschSabrina Hartusch
 
6 Gründe für Process Mining in der internen Revision
6 Gründe für Process Mining in der internen Revision6 Gründe für Process Mining in der internen Revision
6 Gründe für Process Mining in der internen RevisionProcessGold AG
 
Modul 4 - Suche nach Frühwarnsignalen.pptx
Modul 4 - Suche nach Frühwarnsignalen.pptxModul 4 - Suche nach Frühwarnsignalen.pptx
Modul 4 - Suche nach Frühwarnsignalen.pptxcaniceconsulting
 
Modul 22 - Frühwarnsystem.pptx
Modul 22 - Frühwarnsystem.pptxModul 22 - Frühwarnsystem.pptx
Modul 22 - Frühwarnsystem.pptxcaniceconsulting
 
Zuverlaessige führungsinformationen summary
Zuverlaessige führungsinformationen summaryZuverlaessige führungsinformationen summary
Zuverlaessige führungsinformationen summaryICV_eV
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesMaria Willamowius
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesMaria Willamowius
 
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...Christian Reinboth
 
Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStanislav Milanovic
 
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...Christoph Schlachte
 
Dipl.-Ing. Christian Plaichner (Senactive)
Dipl.-Ing. Christian Plaichner (Senactive)Dipl.-Ing. Christian Plaichner (Senactive)
Dipl.-Ing. Christian Plaichner (Senactive)Praxistage
 
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...Zukunftsmanagement im Mittelstand / Future management for German midsize comp...
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...Rakesh Kasturi
 
Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health CheckTALOSCommunications
 

Contenu connexe

Similaire à Risikomanagemet vs. Sicherheitsmanagement

Methodenstreit im Datenqualitätsmanagement
Methodenstreit im DatenqualitätsmanagementMethodenstreit im Datenqualitätsmanagement
Methodenstreit im DatenqualitätsmanagementVizlib Ltd.
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & ComplianceUwe Rydzek
 
Unternehmensstrategien erfolgreich umsetzen
Unternehmensstrategien erfolgreich umsetzenUnternehmensstrategien erfolgreich umsetzen
Unternehmensstrategien erfolgreich umsetzenJürgen Marx
 
ASIS - Training #4 - Risikomanagement und soziale Innovation
ASIS - Training #4 - Risikomanagement und soziale InnovationASIS - Training #4 - Risikomanagement und soziale Innovation
ASIS - Training #4 - Risikomanagement und soziale Innovationarmelleguillermet
 
Wachstum generieren - Komplexität beherrschen und reduzieren
Wachstum generieren - Komplexität beherrschen und reduzierenWachstum generieren - Komplexität beherrschen und reduzieren
Wachstum generieren - Komplexität beherrschen und reduzierenJürgen Marx
 
GUI_RISK_Interview Hartusch
GUI_RISK_Interview HartuschGUI_RISK_Interview Hartusch
GUI_RISK_Interview HartuschSabrina Hartusch
 
6 Gründe für Process Mining in der internen Revision
6 Gründe für Process Mining in der internen Revision6 Gründe für Process Mining in der internen Revision
6 Gründe für Process Mining in der internen RevisionProcessGold AG
 
Modul 4 - Suche nach Frühwarnsignalen.pptx
Modul 4 - Suche nach Frühwarnsignalen.pptxModul 4 - Suche nach Frühwarnsignalen.pptx
Modul 4 - Suche nach Frühwarnsignalen.pptxcaniceconsulting
 
Modul 22 - Frühwarnsystem.pptx
Modul 22 - Frühwarnsystem.pptxModul 22 - Frühwarnsystem.pptx
Modul 22 - Frühwarnsystem.pptxcaniceconsulting
 
Zuverlaessige führungsinformationen summary
Zuverlaessige führungsinformationen summaryZuverlaessige führungsinformationen summary
Zuverlaessige führungsinformationen summaryICV_eV
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesMaria Willamowius
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesMaria Willamowius
 
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...Christian Reinboth
 
Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStanislav Milanovic
 
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...Christoph Schlachte
 
Dipl.-Ing. Christian Plaichner (Senactive)
Dipl.-Ing. Christian Plaichner (Senactive)Dipl.-Ing. Christian Plaichner (Senactive)
Dipl.-Ing. Christian Plaichner (Senactive)Praxistage
 
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...Zukunftsmanagement im Mittelstand / Future management for German midsize comp...
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...Rakesh Kasturi
 
Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health CheckTALOSCommunications
 

Similaire à Risikomanagemet vs. Sicherheitsmanagement (20)

Methodenstreit im Datenqualitätsmanagement
Methodenstreit im DatenqualitätsmanagementMethodenstreit im Datenqualitätsmanagement
Methodenstreit im Datenqualitätsmanagement
 
Risiko-Analyse bringt Klarheit
Risiko-Analyse bringt KlarheitRisiko-Analyse bringt Klarheit
Risiko-Analyse bringt Klarheit
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & Compliance
 
Risiken
RisikenRisiken
Risiken
 
Unternehmensstrategien erfolgreich umsetzen
Unternehmensstrategien erfolgreich umsetzenUnternehmensstrategien erfolgreich umsetzen
Unternehmensstrategien erfolgreich umsetzen
 
ASIS - Training #4 - Risikomanagement und soziale Innovation
ASIS - Training #4 - Risikomanagement und soziale InnovationASIS - Training #4 - Risikomanagement und soziale Innovation
ASIS - Training #4 - Risikomanagement und soziale Innovation
 
Wachstum generieren - Komplexität beherrschen und reduzieren
Wachstum generieren - Komplexität beherrschen und reduzierenWachstum generieren - Komplexität beherrschen und reduzieren
Wachstum generieren - Komplexität beherrschen und reduzieren
 
GUI_RISK_Interview Hartusch
GUI_RISK_Interview HartuschGUI_RISK_Interview Hartusch
GUI_RISK_Interview Hartusch
 
6 Gründe für Process Mining in der internen Revision
6 Gründe für Process Mining in der internen Revision6 Gründe für Process Mining in der internen Revision
6 Gründe für Process Mining in der internen Revision
 
Modul 4 - Suche nach Frühwarnsignalen.pptx
Modul 4 - Suche nach Frühwarnsignalen.pptxModul 4 - Suche nach Frühwarnsignalen.pptx
Modul 4 - Suche nach Frühwarnsignalen.pptx
 
Modul 22 - Frühwarnsystem.pptx
Modul 22 - Frühwarnsystem.pptxModul 22 - Frühwarnsystem.pptx
Modul 22 - Frühwarnsystem.pptx
 
Zuverlaessige führungsinformationen summary
Zuverlaessige führungsinformationen summaryZuverlaessige führungsinformationen summary
Zuverlaessige führungsinformationen summary
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstories
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstories
 
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...
Zur Eignung von Wissensbilanzen als Instrument für die Evaluation von Hochsch...
 
Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt München
 
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...
Wenn es zu komplex wird im Coaching – über den Gebrauch von Werkzeugen zur Un...
 
Dipl.-Ing. Christian Plaichner (Senactive)
Dipl.-Ing. Christian Plaichner (Senactive)Dipl.-Ing. Christian Plaichner (Senactive)
Dipl.-Ing. Christian Plaichner (Senactive)
 
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...Zukunftsmanagement im Mittelstand / Future management for German midsize comp...
Zukunftsmanagement im Mittelstand / Future management for German midsize comp...
 
Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health Check
 

Risikomanagemet vs. Sicherheitsmanagement

  • 1. 30 S&I-Kompendium 2010 M A N AGEMENT Während man im klassischen Risikomanagement der Ermittlung der Wahrscheinlichkeit und Schadenshöhe über empirische Häufigkeitsuntersuchungen begegnet, folgt man im Sicherheitsmanagement analytisch klassifikatorischen Verfahren. Risikosituationen sowie Korrelationen und Er- eignisabhängigkeiten werden mit fortschreitender, funktio- naler Prozessorganisation im Unternehmen deutlicher und vielschichtiger. Die Herausforderung liegt in der Erzeugung einheitlicher Erkenntnisse über die Risikosituation des Un- ternehmens und seiner planbaren Wertschöpfung. Die Unterstüzung der Kontrolle und Steuerung der Wert- schöpfungsprozesse und -mittel, die Einhaltung von Auf- lagen und Standards, die Sicherstellung methodischer Kor- rektheit und Gültigkeit sowie die Integration der gesamten Geschäftsrisiken sind die Handlungsfelder, die ein Integrales Risikomanagement definieren. In der gängigen Praxis und dem historischen Prozess ge- schuldet, liegt der Fokus des Risikomanagement und seiner eingesetzten Erkenntnismethoden zumeist auf den finanz- wirtschaftlichen Tätigkeiten einer Kapitalunternehmung. Kreditrisiken und Marktpreisrisiken, Adressausfall- und Marktänderungsrisiken stehen hier bei Banken, Finanz- dienstleistern und Versicherungen im Vordergrund. Die jüngsten Entwicklungen von Basel II zu MaRisk für Banken und auch aktuell für Versicherungen holen die klassichen, unternehmerischen Sicherheitsrisiken als „operationelle Risiken“ konsequent in die Betrachtung des Risikomanage- ments. Und genau an diesem Punkt entsteht methodisch für das Risikomanagement eine Herausforderung, und nicht nur für die Finanzfunktionen eines Unternehmens. Wäh- rend man im klassischen Risikomanagement der Ermittlung der Wahrscheinlichkeit und Schadenshöhe über empirische Häufigkeitsuntersuchungen begegnete (einfache und höhere Stochastik), folgte man im Sicherheitsmanagement analyti- schen Verfahren (prozessorientierte Fehler- und Schadens- baumanalysen) mit klassifikatorischen Modellen. Für die Identifikation von Risiken gibt es ein zwar metho- disch unterschiedliche Ansätze (FMEA, FMECA, Post-Mor- tem Analysen, Delphi-Methode, etc.), jedoch bedienen sich Risiko- und Sicherheitsmanagement dieser gleichermaßen, verschieden nur nach Anwendungsgebiet, Datenverfügbar- keit und Anspruch. Im Ergebnis gibt es jedoch schon starke Unterschiede. Während im Risikomanagement komplexere Risikozusammenhänge meistens vermieden werden (Ein- zelrisikoursachen), sind im Sicherheitsmanagement zumeist komplexere Ereignisszenarien vorhanden (z.B. IT-Ausfall- ursachen und Wirkungen auf Geschäftsprozesse). Zudem identifizieren Risikomanagement in der Breite Risiken, die eine hohe Häufigkeitsrate haben (Liquiditätsrisiken, Markt- preisrisiken, Zinsänderungsrisiken, etc.), da sie zumeist den täglichen Schwankungen des Kapitalmarkthandels ausge- setzt sind. Im Sicherheitsmanagement werden demgegen- über seltene Risiken diagnostiziert. Prozessrisiken, IT-, In- frastruktur- und Personalrisiken treten in der Regel weit seltener auf, haben jedoch eine direkte Auswirkung auf die Geschäftstätigkeit und Handlungsfähigkeit eines Unterneh- mens. Finanzielle Risiken haben einen direkten Einfluß auf den geschäftlichen Ertrag (Gewinn/Verlust), jedoch meist nur einen indirekten Einfluß auf die akute Handlungs- fähigkeit. Identifizierte, wertunbestimmte Gefahren werden mit Aussagen über die Häufigkeit, die Eintrittswahrscheinlich- keit und das Schadenspotenzial zu wertbestimmten Risiken. Als stellvertretendes Beispiel soll das Transaktionsrisiko die- Risikomanagement vs. Sicherheitsmanagement Planungssicherheit und fundierte Entscheidungsgrundlagen sind wesentliche Ziele des Risikomanagements. Der Ertrag ist die Verbesserung der Kapitalstruktur. Erfolgreiches Risikomanagement wird am Beitrag zur Steigerung des Unternehmenswertes gemessen. TEXT: Wilfried Polin, Christian Sierpinski BILDER: enrisma GmbH
  • 2. www.sui24.net 31 M A N AGEMENT MANAGEMENT nen. Wechselkursentwicklungen haben einen enormen Ein- fluss auf die Auftragsentstehung und Abwicklung von ein- zelnen Positionen. Dies gilt nicht nur für Finanzdienstleister, gerade auch produzierende Unternehmen sind im Rohstoff- einkauf und Produktabsatz in Fremdwährungen davon be- troffen. Das Schadenspotenzial eines Transaktionsrisikos kann nun empirisch (Auswertung der Vergangenheit) oder induktiv (Annahme über die Zukunft) ermittelt werden. Bei Finanzpositionen gibt es generell eine sehr gute empirische Datenbasis, während im Sicherheitsmanagement (z.B. Ent- wendung von Waren, IT-Ausfall) zumeist nur Einzelfälle bekannt sind. Auch ist es für Unternehmen zumeist nicht vorteilhaft, Ihre Sicherheitsvorfälle öffentlich zu publizieren. Daher versuchen gerade Banken eine anonymisierte Daten- basis für Sicherheitsrisiken (im Bankwesen: operationelle Risiken) zu erstellen. Aufgrund der weniger konkreten Häu- figkeitsverteilungen und Schadenspotenziale für Risiken im Sicherheitsmanagement, wird zumeist die klassifikatorische Fragestellung „Was darf unter 1) keinen Umständen, 2) in bedingtem Maße und 3) geregelt tragbar unser Geschäft stö- ren?“ anstattdessen eingesetzt und mit einem Scoring-Mo- dell hinterlegt. Schon diese kurze Skizzierung macht deutlich, welche Hürden einer Vereinheitlichung der Ergebnisse und Dar- stellungen für unternehmerische Risiken insgesamt zu überwinden sind. Weitergehende Fragestellungen nach ei- ner Risikoaggregation und einem Frühwarnsystem, also der Gesamtdarstellung aller Risiken und einer proaktiven Über- wachung für die gezielte unternehmerische Entscheidungs- findung, beinhalten nicht minder starke Herausforderun- gen (repräsentative Risikoverteilung über Zufallsannahmen über Marktentwicklungen und Unternehmenstätigkeiten, quantitative und qualitative Risikobewertung, Kennzahlen- systeme, etc.). Aufgrund der Limitationen in der Bewertung, Aggrega- tion und Überwachung finanzieller, operativer und strategi- scher Risiken mit Hilfe der klassischen Herangehensweisen und Verfahren (Risikomanagement: Zufallsannahmen und Stetigkeitsbehauptung, Sicherheitsmanagement: Mangelnde quantitative Aussagen zu Eintrittswahrscheinlichkeit und Schadenshöhen) bietet die Adaption der Szenariotechnik als Grundschema für alle Risikodarstellungen die bis dato geeigneste Alternative der Abbildung. Hierbei kommt eine prozess- und netzorientierte Szenarioabbildung zum Ein- satz, die ohne Szenariokegel und alternative Zukunftsannah- men auskommt. Jedes Einzelrisiko ist in seiner Struktur für sich ein minimal vorstellbares Szenario (Auslöser/Ursache, Ereignis/Wirkung). Diese Minimalszenarien können wie- derum zu Prozessszenarien zusammengefasst werden (mul- tiple Ursache/Wirkungsverkettungen). Hierdurch können Szenariomodelle für jegliche Risikobereiche definiert wer- den. Vermieden werden problematische Redundanzen und nicht berücksichtigte Korrelationen. Diese Prozessszenarien können wiederum in Szenarien höherer Ordnung zusam- mengefasst werden (Gesamtrisikoszenarien). Hierbei sind alle drei Stärken der Risikomanagementverfahren nach wie vor präsent: 1. Indizienermittlung für Eintrittswahrscheinlichkeiten von Gefahren (quantitative Risikobewertung) 1. Ordnung (statistische Häufigkeitsverteilung) und 2. Ordnung (induktive Häufigkeitsverteilung) > Beispielhafte Frühwarnindikatoren für Risiken: Kreditrisiko Beispielhafte Frühwarnindikatoren für Risiken: Liquiditätsrisiko Beispielhafte Frühwarnindikatoren für Risiken: Personenentführung
  • 3. 32 S&I-Kompendium 2010 M A N AGEMENT 2. Ermittlung der operativen und funktionalen Schwach- stellen in den Geschäftsprozessen (qualitative Risikobe- wertung) 3. Ermittlung der Ereignis- / Konsequenzentwicklung für die Erreichung der unternehmerischen Ziele Diese Verfahren stehen nicht in Konkurrenz zueinan- der, sondern ergänzen sich. Sie ordnen sich dem Ziel un- ter, die bestmögliche und wesentliche Entscheidung zu finden, die die Erreichung der unternehmerischen Ziele ermöglicht. Quantitative Riskobewertungen liefern deutli- che Indizien für die benötigte Kapitalrückstellung und für die Preisfindung der umzusetzenden Produkte und Leis- tungen. Qualitative Risikobewertungen ergänzen diese um die Risikobewertung der funktionalen Unternehmensorga- nisation (Effektivität und Effizienz der eingesetzten Mit- Ziele für und Handlungsfelder im Integralen Risikomanagement mit Frühwarnsytem Integrales Risikomanagement
  • 4. www.sui24.net 33 M A N AGEMENT MANAGEMENT tel und Verfahren). Beide Bewertungen können über ein Scoring-Modell gewichtet und dem Entscheider anhand der Risikoszenarioentwicklung transparent dargestellt werden. Zudem unterstützen die Verfahren der stochastischen An- näherung an das Gesamtvolumen der zu erwartenden Ri- sikoschäden ihn in seiner Planung und der Allokation von Kapitalmitteln in ertragreiche Wertschöpfungsprozesse und Investitionen. Der systematische, auf Prozessszenarien adaptierte, Sze- narioeinsatz bietet darüberhinaus eine weitere wesentliche Möglichkeit der „vorausgreifenden“ Risikobewältigung. Aufgrund der repräsentativen Modellierung der Ursachen- und Wirkungsentwicklung der Risiken können einzelne Einflussgrößen als Überwachungselemente gemäß den An- forderungen an ein Frühwarnsystem definiert werden. Die Parameterabfragen zu diesen Größen können quantitativer und qualitativer Natur sein, in der Überwachung automati- sierbar oder händisch erfolgen. Zusammenfassung Die methodische Integration von quantitativen und qua- litativen Risikosystematiken in ein szenariobasiertes Risiko- modell ermöglicht die kongruente und transparente Verein- heitlichung der Risikodarstellung für den Entscheider. Dieses Modell folgt der strategischen Ereignis-/Konsequenzdarstel- lung für das Management im Sinne einer notwendigen Ri- siko-/Erlös-Perspektive. Die Darlegung und Überwachung (im strengen Sinn eines Frühwarnsystems) von Risikoent- wicklungen, damit verbundenen Handlungsoptionen und Ermessensspielräumen ermöglichen Risikomanagement als Instrumentarium der Unternehmensführung zur Zielerrei- chung zu begreifen, welches vorausschauend und zeitnah Kosteneffizienz, Gewinnsteigerung, günstigerer Kapitalbe- schaffungskosten, besserer Finanzierungsoptionen und die Steigerung des Unternehmenswertes objektiv und damit nachweisbar sicherstellt. Eine aktive und effektivere Steu- erung, Bewältigung und Kontrolle der betriebswirtschaftli- chen Entscheidungen, die Steigerung ihrer Qualität ist hier von entscheidender Bedeutung. Somit trägt das integrale Risikomanagement zur Steigerung und zum langfristigen Schutz der Unternehmenswerte bei. Es erfüllt und unter- stützt die Anforderungen an die moderne Art und weise der Unternehmensführung (Corporate Governance). Eine entsprechende softwarebasierte Unterstützung des Integralen Risikomanagements mit Frühwarnsystem und prognostischerSzenariotechnikbietetdieRisikomanagement- Software enrisma (enhanced risk management). Ein offenes, auf SOA-Technologie basierendes System bietet unterschied- liche Integrationsmöglichkeiten, um aus bestehenden IT-In- frastrukturen die notwendigen Risikoinformationen gezielt und bedarfsgerecht ermitteln und in enrisma verarbeiten zu können. ■ Literatur [1] Thomas Wolke (2008): Risikomanagement. Oldenbourg Wissenschaftsverlag [2] Kalwait, R.; Meyer, R.; Romeike, F.; Schellenberger, O.; Erben, R.(Hrsg., 2008): Risikomanagement in der Unternehmensführung – Wertgenerierung durch chancen- und kompetenz-orientiertes Management. Wiley VCH Verlag, Weinheim [3] Josef Oehmen, Volker Lagner (2008): Management komplexer Risikosituationen - Das Beispiel der Produktion und Beschaffung in China. S&I Kompendium 2008, www.sui24.net [4] Günter Lessing, Dirk Beckmann (2008): Implementierung eines internen Kontroll- systems (IKS) zur Effektivitäts- und Effizienzsteigerung von internen Prozessen eines Unternehmens. S&I 2008, www.sui24.net > MORE@CLICK SIK10103 Risikoaggregation mittels Scoringmodell auf Akzeptanzgrößen