Risikomanagement in KMU - Rheintal...
-
Upload
trinhquynh -
Category
Documents
-
view
215 -
download
0
Transcript of Risikomanagement in KMU - Rheintal...
Euro Risk Limited© – The Risk Management Group
Risikomanagement in KMU
Gerhard SchoberSenior Risk Manager
Partner Euro Risk Ltd.
15.06.2015
VRIM-Veranstaltung zum Thema ISO 9001:2015 und Risikomanagement
16.06.2015 Seite 1
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 2
Warum Risikomanagement in KMU ?
Risikomanagement sollte ein integrierter Bestandteil von
Management-Entscheidungen sein, weil das Risiko selbst ein
integrierter Bestandteil des Managements ist.
Integriertes Risikomanagement erlaubt die Sicht auf das Ganze.
Risikomanagement dient der Unternehmenssicherung
Einen Plan-B für existenzbedrohende Risiken bereit haben.
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 3
Unternehmensrisiken 2015 – Top 10
Quelle: Allianz Global Corporate & Specialty
Prozentwerte geben den Anteil aller relevanten Antworten wieder.
EMEA: 491
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 4
Typische Eigenschaften von KMU
Personenbezogenheit
Rechtliche und wirtschaftliche Selbständigkeit
Beschränkte Finanzierungmöglichkeiten
Überschaubarkeit der Unternehmensorganisation
Fokus auf bestimmte Marktsegmente
dynamisch
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 5
Anforderungen und Bedürfnisse der KMU
Wandelnde Märkte
Prozesse
Personelle Ressourcen
Angebotserstellung
Gesetzliche und behördliche Anforderungen
Nachfolge
Kapitalbeschaffung
Zertifikatspflicht
Agieren statt reagieren durch integriertes Risikomanagement
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 6
Typische Managementsysteme in KMU
QMSISO9001
ISO16949
ISO13485
UMSISO14001
OHSASBS18001
(ISO45001)
Schweiz
EKAS
IKSnach
OR 728a
mit
Risk
Management
ISMS
ISO27001
PMSPMI
IPMA
andere
SCM
KAM
DMS
Compliance
Versicherungen
… oft in Silos und Insellösungen betrieben.
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 7
Nutzen des Risikomanagement für KMU
Verbesserung des unternehmerischen Handlungsspielraums
Identifikation und Management von unternehmensübergreifenden Risiken
und Chancen
Früherkennung, Minimierung und Bewältigung von Gefahren und Risiken
Überleben der Organisation sichern
Erkennung und Wahrnehmung von Chancen für das Unternehmen
Risikokontrolle > Chancen besser wahrnehmen
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 8
Ziele des Risikomanagements
Früherkennung von Risiken
Analyse und Verständnis von Risiken
Vorbeugung (Prävention), Vermeidung, Verminderung von Risiken
Frühwarnung bei drohendem Risiko
Intervention bei eintretendem Risiko
nach ISO 31000
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 9
Was ist ein «Risiko» ?
Risiko = Auswirkungen von Unsicherheiten auf
Ziele, Tätigkeiten und Anforderungen
1. Die Auswirkungen von Risiko können positiv oder negativ sein,
2. die Unsicherheit bzw. Ungewissheit wird mit Wahrscheinlichkeiten geschätzt
bzw. ermittelt;
3. Risiko ist eine Kombination von Wahrscheinlichkeit und Auswirkung
4. Die Ziele der Organisation erstrecken sich auf die strategische Entwicklung
(z.B. Innovation, Marktstellung). Die Tätigkeiten umfassen die operativen
Aktivitäten (z.B. Produktion und Vertrieb). Die Anforderungen beziehen sich
auf Gesetze und Normen, insbesondere betreffend die Sicherheit von
Menschen, Sachen und der Umwelt
5. Risiko ist eine Folge von Ereignissen und von Entwicklungen.
(ISO 31000 / ONR 49000:2014, Ziff. 2.1.11)
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 10
Risikofelder von KMU
Umfeld
• Politik
• Gesellschaft
• Gesetze
• Umwelt
Unternehmen
• Finanzen
• Prozesse
• Personal
• Management
Markt
• Marketing
• Branche
• Kunde
• Wettbewerb
• Produkt/Leistung
FinanzenKennzahlen
Controlling
ProzesseBeschaffung (Markt, Prozess)
Innovation/Entwicklung
Auftragsabwicklung
Service
IKT
Projektmanagement
Entsorgung
PersonalPersonalstruktur
Entwicklung, Beschaffung,
Qualifizierung
Schlüsselpersonen
Erfahrung, Know-how
ManagementGesellschafter, Share-, Stakeholder
Führung
Ziele und Strategie
Organisation, Managementsysteme
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 11
Umsetzung Risikomanagement in KMU
ISO 31000 und ONR49000
Da die ISO 31000 allgemein gehaltene
Grundsätze und Leitlinien formuliert,
sind konkretere Spezifikationen für die
Umsetzung des Risikomanagements
erforderlich. Diese sind in der ONR
49000:2014 Serie zu finden.
Die ONR 49000 Serie
„Risikomanagement für Organisationen
und Systeme“ ist ein Leitfaden für die
Umsetzung der ISO 31000
Die ISO 31000 ist darin weitgehend
wörtlich widergegeben und mit vielen
konkreten Anleitungen versehen.
ISO31000 integriert
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 12
Der Risikomanagement-Prozess
Start
Ende
Tragbar ?Ja
nein
Rahmenbedingungen
Risiken identifizieren
Risiken analysieren
Risiken bewerten
Risiken bewältigenKom
munik
ation / K
onsultation
Ris
iken ü
berw
achen /
überp
rüfe
n
nach ISO 31000
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 13
Der Risikomanagement-Prozess
Festlegen der Rahmenbedingungen sind Vorarbeiten
Externe – Was wird erwartet, gefordert ? (Recht, Gesetz,
Kunden, Wettbewerb, Medien, Werte, …)
Interne – Was ist vorhanden, wer ist verantwortlich,
welche Massnahmen bestehen, welche Besonderheiten
verlangen Tätigkeiten ?
Risikomanagement – Welche Risikokriterien müssen
beachtet werden, um das Risiko zu bestimmen und zu
bewerten ?
Inhalte, Ziel und Zweck der Risikobeurteilung
Zeitverhältnisse und erforderliche Ressourcen
Einbezug von Risikoeignern und Experten
Wahl der Methode der Risikobeurteilung
Bestimmen der Wahrscheinlichkeit und
Auswirkungen
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 14
Der Risikomanagement-Prozess
Methoden der Risikobeurteilung bestimmen
Kreativitätstechniken - Brainstorming, Delphi-Technik,
World Café
Szenario-Analysen i.w.S. - Root Cause Analysis,
Fehlerbaum- und Ablauf-Analyse, London Protokoll,
Worst-Case-Szenario-Analyse i.e.S.
Indikatoren-Analysen - CIRS und CBRM
Gefährdungs-Analysen - FMEA, Gefährdungsanalysen,
HAZOP, HACCP
Statistische Analysen - Standardabweichung,
Konfidenzintervall, Monte Carlo Simulation
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 15
Der Risikomanagement-Prozess
Risiken identifizieren
Man wird in keiner Organisation alle Risiken finden!
Aber man muss in der Lage sein, die meisten und vor allem
die schwersten zu erkennen und zu analysieren.
Wichtig ist eine Systematik für die Risikoidentifikation:
z.B. eine Gefahrenliste oder ein Prozess
Gefahrenliste
Liste der Ziele, Tätigkeiten,
Anforderungen
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 16
Der Risikomanagement-Prozess
Risiken analysieren
Ein Risiko ist in der Regel etwas Komplexes, das mit
Ursachen und Auswirkungen beschrieben werden kann. Man
spricht auch vom Risikoszenario.
Ein Risikoszenario wird oft als schlimmst-möglicher, aber
dennoch glaubwürdiger Fall dargestellt, weil die Menschen
sich dann besser vorstellen können, worum es geht
(„Credible Worst Case“).
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 17
Der Risikomanagement-Prozess
Beispiel eines Szenarios
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 18
Der Risikomanagement-Prozess
Risiken bewerten
Wenn die wichtigsten Risiken identifiziert sind, sie verstanden
werden, ihre Ursachen und Folgen auf die
Wahrscheinlichkeiten und Auswirkungen schliessen lassen,
dann stellt sich die Frage, ob sie akzeptierbar bzw. tolerierbar
sind oder nicht.
Je nach dem sind Massnahmen der Risikobewältigung
zwingen erforderlich oder dringend zu empfehlen.
Dazu gibt es Massnahmen auf der menschlichen und
Massnahmen auf der technischen Ebene.
Wirksame Risikomanagement-Massnahmen erfordern eine
konkrete Aktion, eine für ihre Durchführung verantwortliche
Person, einen Termin und möglicherweise Ressourcen (Zeit,
Geld, Raum usw.)
Risiken bewältigen
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 19
Der Risikomanagement-Prozess
Risiken überwachen, überprüfen
Risiken können sich laufend verändern, d.h. nicht nur
verkleinern (durch die Umsetzung von Massnahmen der
Risikobewältigung), sondern auch vergrössern (weil sich das
Umfeld oder die Organisation verändert).
Der Risikomanagement-Prozess muss sicherstellen, dass die
Risiken überwacht und die Umsetzung und Wirksamkeit der
Massnahmen laufend überprüft werden.
Interne Kommunikation: zwischen Mitarbeitenden und
Vorgesetzten, zwischen Experten und Fachleuten, zwischen
verschiedenen Management-Stufen.
Externe Kommunikation: Über das Risikomanagement kann
man berichten, aber nur wenn es vorhanden ist. Zudem gibt
es viele gesetzliche Vorschriften, die eine Berichterstattung
über Risiken und Schadenfälle vorsehen.
Risiken kommunizieren
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 20
Prozessintegration
Beispiel: Produkt-Entstehungsprozess (1/2)
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 21
Prozessintegration
Beispiel: Produkt-Entstehungsprozess (2/2)
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 22
Notfall-, Krisen und Kontinuitätsmanagement
Ein für KMU signifikant wichtiger Prozess
Das Risikomanagement setzt sich auch mit denjenigen Risiken
auseinander, die eine Organisation trotz präventiver Maßnahmen
plötzlich, unerwartet und schwer treffen können. Dies ist Aufgabe des
Notfall- und Krisenmanagement, um bei Schadenereignissen schnell und
richtig reagieren zu können. In der englischen Sprache spricht man auch
von „Response“.
Auf Notfälle und Krisen muss aber nicht nur schnell und richtig reagiert
werden; noch wichtiger ist dabei die unverzügliche Wiederherstellung von
verlorenen Betriebsfunktionen, damit so rasch wie möglich die
Wertschöpfung der Organisation wieder hergestellt wird. Man spricht
dabei vom Kontinuitätsmanagement (Business Continuity Management,
BCM) oder in der englischen Sprache auch von „Recovery“.
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 23
Notfall-, Krisen und Kontinuitätsmanagement
Teil des Risikomanagements - eine Risikomanagement-Massnahme
Risiko-
management
Notfall-,
Krisen-
& Konti-
nuitäts-
Mana-
gement
Verände-
rungen,
Entwick-
lungen
Ereignisse
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 24
Notfall-, Krisen und Kontinuitätsmanagement
Elemente des BCM
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 25
Notfall-, Krisen und Kontinuitätsmanagement
Worum geht es bei Ereignisrisiken
Ereignis
Vorbereitung Response
Recovery, Wiedererlangung Tätigkeit
Betriebsniveau 100%
Verkürzung der
Unterbrechung
Zeit
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 26
Integriertes Risikomanagement in KMU
Die Integration der Managementsysteme
QMSISO9001
ISO16949
ISO13485
UMSISO14001
OHSASBS18001
(ISO45001)
Schweiz
EKAS
IKSnach
OR 728a
ISMS
ISO27001
PMSPMI
IPMA
andere
SCM
KAM
Compliance
Versicherungen
Kontext der Organisation
Kontext: Zusammenhang von Zweck der Organisation, strategische
Ausrichtung und die verschiedenen Einflussfaktoren.
Risikomanagement – einschliesslich Notfall-, Krisen- und
Kontinuitätsmanagement als Querschnittfunktion
ISO31000 – ONR49000
Euro Risk Limited© – The Risk Management Group 16.06.2015 Seite 27
Meine Erfahrungen in KMU
• Das Risikomanagement ist zu sehr finanzorientiert.
• Systemisches und strukturelles Risikomanagement ist nicht oder
nur ansatzweise vorhanden.
• Es sind zahlreiche Risikobewältigungsmassnahmen vorhanden.
Was aber fehlt ist die klare Risikolandschaft.
• Zuviele Management-Silos.
• Kein Plan-B (BCM) nach Eintreten von existenzbedrohenden
Risiken.
• Der Weg zum integrierten Risikomanagement in KMU ist nicht
so aufwändig wie es scheint.