• Risiko: Als Risiko können alle Unwägbarkeiten und Unsicherheiten entsprechend ihrer Eintrittswahrscheinlichkeiten verstanden werden, die die Erreichung von Unternehmenszielen gefährden (relatives Risiko)
• Risikomanagement
  • Risikomanagement muss sicherstellen, dass sowohl bestehende als auch zukünftige Risiken erkennbar und kontrollierbar sind.
  • Unter Risikomanagement versteht man den planvollen Umgang mit Risiken. Dabei kann es sich um allgemeine unternehmerische Risiken handeln oder um spezielle finanzielle, aber auch technische Risiken (Basel II, Versicherungen)

• finanzielle Risiken
• allgemeine Risiken

⇒ traditionelles RM tritt nur im Einzelfall ein <> Anforderungen der Globalisierung

• Bestandteil der Unternehmensführung
• strategische / operationale Ausrichtung
• Ziel: Risiken im Vorfeld erkennen und Mittel zur Abwehr bereitstellen
• §91 Abs. 2 AktG
  • Risikomanagement / Frühwarnsystem
  • internes Überwachungssytem

• festgelegte / kommunizierte Strategie und davon abgeleitete Zielsetzungen
• organisatorischer Aufbau
• Qualifizierung- und Quantifizierungsmaßstäbe

• KonTraG
• §91 Abs. 2 AktG
  • Ausstrahlungswirkung auf andere Unternehmensformen (>50 Mitarbeiter, 6 Mio € Umsatz)
• international: Sarbanes-Oxley Act

• Bereiche / Prozesse
• Anreizsysteme
• Delegierung von Verantwortung und Kompetenz
• risikoorientierte Kommunikationskultur

• Strukturierte Risikobewertung im Rahmen der Strategiefindung bzw. -rückkopplung
• Installation eines Frühwarnsystems
• Aufdeckung der Lücke zwischen Zielerreichung und Zielverfehlung und damit verbundener Verlust von Chancen bzw. verbundene Risiken
• Festlegung von Verantwortlichkeiten und Handlungen im Risikofall
• Implementierung nicht-monetärer Kennzahlen
• Umsetzung rechtlicher Vorschriften (KonTraG)
• Qualifizierung und Quantifizierung von Risiken

• Geschäftsrisiken
  • technologische
  • leistungswirtschaftliche
  • finanzwirtschaftliche
  • Corporate Governance
  • soziale
• Externe Risiken
  • Naturereignisse
  • soziale
  • technische
  • politische
  • persönliche

Durch die Unternehmensführung durchzuführen. Verpflichtend für alle Führungskräfte. Top-Down-Kommunikation

• Definition Risiko und Risikoarten
• Risikopolitik festlegen und kommunizieren
• Abgleich Risikopolitik <> Unternehmensziele

⇒ dokumentierte Verhaltensregeln für alle Mitarbeiter zur Schaffung eines Risikobewusstseins und einer Risiko- und Kontrollkultur

• Ergebnisse
  • Grundsatzkatalog
  • Begriffskatalog
  • Risikosystematik

• Risk-Owner: Verantwortungsbereich festlegen, unterstützen Entscheidungsträger des RM
• Aufgaben
  • Konzeptionelle Entwicklung
  • Maßnahmendefinition für die Implementierung
  • Pflege und Weiterentwicklung auf Bereichs- und Prozessebene (Identifikation neuer Risiken, Analyse, Risikokommunikation
  • Entwicklung von Notfallplänen (Maßnahmen im Schadensfall)
  • Koordination und Integration der Teilsysteme
  • Entwicklung risikoorientierter Anreizsysteme zur Förderung der Akzeptanz und Umsetzung von Risikomanagement
  • Dokumentation des Risikomanagementsystems
  • Berichterstattung

• Delegierung von Kompetenz an operative Bereiche
• Definition von Prozessverantwortlichen
• Einbindung von Spezialisten im Notfall
• Unterstützung durch die Risk-Owner
• Aufgaben
  • Berichterstattung an GF
  • Erfassung der Risiken am Ort des Entstehens
  • Umsetzung des RM in den Bereichen
  • Anreizsysteme schaffen

⇒ ineffektive Prozesse werden in den Bereichen identifiziert, Verantwortung für Aufbau, Pflege und Umsetzung des RM verbleibt in den Bereichen

• unabhängige Instanz zwischen Management, GF und Abschlussprüfung, die keiner organisatorischen Einheit bedarf → Vergabe an Externe möglich
• Überwachung von Funktionstüchtigkeit, Angemessenheit und Wirksamkeit der Risikomanagement-Maßnahmen hinsichtlich
  • Wirtschaftlichkeit
  • Rechtmäßigkeit
  • Zweckmäßigkeit
  • Ordnungsmäßigkeit

• RM-Prozess: Risikoidentifikation → Risikoanalyse → Risikosteuerung → Risikoüberwachung

• umfasst alle Maßnahmen zum systematischen Umgang mit Risiken im Unternehmen
• Rückkopplung über die Prozessschritte fördert Stabilität und Weiterentwicklung des RP
• Risiko wird als Steuerungsgröße operationalisiert und aktive gestaltet
• Überwachung
  • operativ: Unternehmensführung
  • strategisch: Aufsichtsgremien

⇒ dynamischer Prozess

• Identifikation und strukturierte Erfassung weswentlicher Risikokategorien
  • Szenario-Technik
  • Postmortem-Analyse
  • Expertenbefragungen
  • Checklisten
  • Kreativitätstechniken
• Qualitative / quantitative Bewertung ja nach Einsatzbereich des RM (Finanzwesen, Versicherung, Projektmanagement etc.)
  • Rendite
  • Performance (Risikomanagement)
  • Gewinn
  • Arithmetische Rendite
  • Geometrische Rendite
  • Annualisierte Rendite
  • Stetige, logarithmierte Rendite
  • Volatilität
  • Mittelwert, Erwartungswert
  • Varianz
  • Standardabweichung
  • Korrelationskoeffizient
  • Value at Risk
• Wirkungszusammenhänge
• Ansatz bei Strategie und Zielen des Unternehmens
• Analyse Stärken / Schwächen
  • SWOT
  • PEST
• Wertbringer → kritische Erfolgsfaktoren (KEF)
• Top-Down-Verfahren
• Entwicklung eines Risikoschemas
• Entwicklung eines Risikoportfolios
• Spiegelung möglicher Risiken an Szenarien

⇒ Kontinuität erforderlich

• Risikovermeidung, z.B. durch Verzicht auf ein Geschäft oder Aufgabe eines Geschäftsfelds
• Risikoübertragung, -überwälzung z.B. auf Marktpartner (Outsourcing) oder Versicherungen
• Risikoverminderung, z.B. Risikodiversifikation
• Risikoakzeptierung, z.B. Kompensation durch Dotierung der Risikovorsorge
• Risikobeseitigung, z.B. durch Abstellen eines organisatorischen Mangels

• Die Illusion zu wissen
  • Selbstüberschätzung
  • Magisches Denken
  • Nachträgliches Besserwissen
  • Ankereffekt
  • Eingängigkeit
  • Blindheit für Wahrscheinlichkeiten
  • Beeinflussbarkeit durch Szenarien
• Probleme
  • Bürokratie
  • schlechte Literatur
  • lückenlose Kontrolle <> kooperativer Führungsstil
  • größstes Risiko sind die handelnden Personen
  • schwierige Bewertung von Risiken

Gefahr → Unsicherheit → Chance

• Aufgaben
  • Unternehmensweite Sicht des RM
  • Entwicklung, Implementierung und Einsatz von zentralen RM-Methoden und -verfahren
  • Information und Kommunikation der unternehmensweiten RM-Architektur
  • Definition des Kontrollumfeldes
  • Risikocontrolling und Entwicklung eines zusammenfassenden Risikoberichts
  • Unterstützung der operativen Einheiten bei RMbezogenen Projekten
• Voraussetzungen
  • Zugang zu unternehmenskritischer Information
  • Umfassende Kenntnis von Gesamtunternehmen
  • Ausgeprägte MIS-Routinen
  • Unabhängigkeit

• Defizite
  • Erstellung von Risikoreports zum Jahresende ohne systematische Einbindung des Risikomanagements in die Geschäftsprozesse und Berichtswege
  • Einzellösungen für spezifische Sachverhalte
  • Keine systematische Prüfung der Eignung und Funktionstüchtigkeit des Systems
  • Oft keine Abdeckung von bereichsübergreifenden Risiken
  • Historisch gewachsene Verantwortungsbereiche
• Kernelemente einer Integration
  • Explizite Berücksichtigung von Chancen und Risiken bei der Strategiefestsetzung und im Planungs-/Budgetierungsprozess
  • Durchgängiges Instrumentarium zum "Herunterbrechen" der Strategie im Unternehmen, z.Bsp. mittels Balanced Scorecard
  • Explizite Einbindung von risikorelevanter Information in die Standardberichte
  • Konsolidierter Risikobericht für das Gesamtunternehmen, u.a. auch als Basis für externe Berichterstattung

• Ziele und Risikopolitik
• Geltungsbereich
• Risikokategorien
• Instrumente zum Risikomanagement
• Definition von Betrachtungsbereichen
• Organisatorische Einbindung
• Festlegung der Aufgaben
• Bewertungsstandards und Wesentlichkeit
• Berichts- und Entscheidungsverfahren

• Ziel
  • vollständige Abdeckung des gesamten Unternehmens
  • Deckungsgleichheit von Verantwortung und Entscheidungs-/Handlungskompetenz
• mögliche Abgrenzung
  • rechtliche Einheiten
  • Geschäftsfelder, Regionen, Kerngeschäftsprozesse

• Verantwortliche
• Berichtswege
• Entscheidungswege
• Behandlung von RM auf Ebene der GF

• Risikomesskriterien
  • IdW: Schadenshöhe und -wahrscheinlichkeit
  • Quantitative ("Schadenserwartungswert", Value at Risk)
  • Qualitativ (Niedrig, mittel, hoch, katastrophal)
  • Müssen der Aufgabenstellung entsprechen
  • Indikatoren
• Mögliche Bezugsgrößen für Wesentlichkeit
  • Betriebsergebnis/Absoluter Betrag/Eigenkapital
  • Erreichen der Unternehmensziele
  • Budgetabweichung in Prozent
  • Cash Flow/EBIT

• RM-Planung
• Risikoidentifikation
• Risikoanalyse
  • qualitativ
  • quantitiv
• Planung zur Risikobewältigung
• Risikoüberwachung und -verfolgung

• aus den 80er Jahren
• umfasst nicht nur Anschaffungskosten, sondern alle Aspekte der späteren Nutzung
• Identifikation Kostentreiber / versteckte Kosten
• direkte Kosten
  • lassen sich (durch Umlage) berechnen
  • haben nachweislich eine Auswirkung auf den Unternehmenserfolg
  • sind budgetierbar
  • Beispiel Arbeitsplatzrechner
    • Hard- / Software Costs
    • Operations Costs
    • Administration Costs
• indirekte Kosten
  • Folge unproduktiver Nutzung durch den Endanwender
  • Messung schwierig, da Unterschiede bei den Prozessen der Endanwender
  • nach Krcmar 23-46% der Gesamtkosten
  • Beispiel Arbeitsplatzrechner
    • Peer Support
    • Casual Learning und Self Support
    • Formal Learning
    • File and Data Management
    • Application Development
    • Downtime

• oft Vernachlässigung von Miete, Strom etc. und des kalkulatorischen Wagnisses / unternehmerischen Risikos
• schwierig nachzuweisen, ob eine Verbesserung der indirekten Kosten erfolgswirksam wird (Bsp. Arbeitsplatzrechner)

• Gegenüberstellung von gewichtetem Nutzen und Kosten
• Schätzung als Basis der Personal und Ressourcenplanung
• Schätzung ggf. als Basis für Angebotspreis
• Planwerten sind für Kontrolle möglich (rechtzeitiges Erkennen von Abweichungen)
• Basis für Projektentscheidungen
  • Soll das Projekt realisiert werden?
  • Welche der Alternativen soll durchgeführt werden?
  • Welche Priorität erhält das Projekt?
• Argumentationshilfe

• Analyse einer Menge komplexer Handlungsalternativen
• Ordnung anhand Präferenzen des Entscheidungsträgers
• ermittelt aus mehreren schwer vergleichbaren Parametern die nutzenoptimalste Variante
• Nutzwerte als Zahlen, die einfach vergleichbar sind
• Vorteile
  • Flexibilität
  • direkte Vergleichbarkeit der Alternativen anhand der Zahlwerte → Reduktion von "Bauchentscheidungen"
  • Anpassung an große Zahl spezieller Erfordernisse
  • Transparenz der Entscheidungsfindung
  • genaue Prüfung der Entscheidungskriterien
  • gut geeignet für weiche Kriterien
• Nachteile
  • hoher Zeitaufwand
  • Subjektivität der Gewichtung
  • Vergleichbarkeit der Alternativen
• Vorgehensweise
  • Ziele ermitteln
  • Ziele gewichten
  • Sensitivitätsanalyse
  • K.O.- / Soll-Kriterien definieren
  • Gewichtung der Kriterien
• Auswahl der Kriterien
  • Operationalität
  • Hierarchiebezogenheit
  • Unterschiedlichkeit
  • Nutzensunabhängigkeit

• ITIL: IT Infrastructure Library

• ITIL setzt auf ISO auf (DIN EN ISO 9004)
• Prozessorientierung
• wie bei ISO 9000:2000ff Unterteilung der Funktionen und Organisation der Prozesse in Einzelelemente und Clustering zu Servicefunktionen
• Fokus auf IT-Infrastruktur
• nicht technologieorientiert, sondern service- und prozessorientierter Qualitätsansatz

• Six-Sigma: Methodologie um Leistungen oder Wertentwicklungen durch Identifikation der Fehler/Schwachstellen in den Prozessen zu messen.
• abgeleitet von der Normalverteilung
  • 1σ = 68,27%
  • 6σ = 99,99985%
• Überprüfung von potentiellen Verbesserungen eines Geschäftsprozesses anhand des Rechnungswesens
  • Gefahr: Überbewertung kurzfristiger finanzieller Erfolge und Vernachlässigung langfristiger qualitativer Erfolge

• Entwicklung in England durch CCTA. Bücher von OGC seit 1989.
• Verbreitung in England, Niederlande. Deutschland wachsende Bedeutung.
• Grundlage für die Entwicklung eines Bewusstseins und einer gemeinsamen Terminologie für IT Service Management
  • Erleichterung der Kommunikation
• Best-Practice-Ansatz
  • Beschreibung von erfolgreichen Modellen/Organisationsformen → Anpassung auf individuelle Bedürfnisse
  • Flexibilität → Ungenauigkeit der Beschreibung → Notwendigkeit von Sekundärliteratur
• ITIL = organisatorisches Rahmenkonzept
• keine Projektmanagementmethode, sondern soll den dauerhaften Betrieb der IT-Infrastruktur gewährleisten
  • Definition von Aufgabenstellungen, die hierfür nötig sind
• korrespondiert mit eTOM, ISO
• MOF basiert auf ITIL

• Aufteilung in sieben Kernpublikationen
  • Aufteilung in Managementbereiche (Prozesse)

• Funktion "Service Desk"
  • garantiert Erreichbarkeit der IT-Organisation
  • SPOC des Anwenders
  • Koordination nachfolgender Supporteinheiten
  • übernimmt Aufgaben anderer Prozesse (Incident Management, Change Management etc.)
  • Dokumentation der Kundenanfragen und Überwachung deren Abarbeitung
• Incident Management
  • Zuständig für schnellstmögliche Wiederherstellung des definierten Betriebszustandes eines Services
  • Erfassung der Service Requests der Anwender über einen Service Desk
  • erste Hilfestellung und Koordination der weiteren Schritte
  • Information des Anwenders über Fortschritt der Fehlerbehebung
• Problem Management
  • Ursachenforschung und nachhaltige Beseitigung von Incidents
  • Bereitstellung von Workarounds für Incident Management und Erarbeitung von Lösungen für Known Errors aus dem Change Management
  • Störungsvermeidung (Proaktives Management) durch Trendanalyse
• Change Management
  • Autorisierung und Dokumentierung von Änderungen an der IT-Infrastruktur
    • Planung der Reihenfolge der einzelnen Schritte um Überschneidungen früh zu erkennen
  • Change Manager, CAB
  • Koordination, Durchführung, Abnahme der Änderungen
• Configuration Management
  • Bereitstellung der Informationen für IT Service Management
    • Überwachung der Aktualität
  • zentrale Rolle in der Kommunikation und Informationsversorgung der einzelnen Prozesse
  • CMDB enthält stets aktuelle Informationen über die CI
• Release Management
  • Freigabe neuer Hard- und Software
  • Planung und Bereitstellung von Rollout-Verfahren

Gemeinsamkeiten der planerischen Prozesse. Teilweise konkurrierende Zielsetzung der Prozesse. Periodischer Ablauf. Erstellen eines Plans.

• Service Level Management
  • Vereinbarung von SLA
    • Service Level Manager ist zuständig für: Aktualisierung, Anpassung, Überprüfung der KPI in den SLA und OLA/UC
    • Grundlage: Servicekatalog und Service Level Requirement
• Financial Management for IT Services
  • Budgetplanung, Kostenkontrolle, Leistungsverrechnung
  • ausgewogenes Verhältnis zwischen Qualität und Kosten anhand von Kundenanforderungen
• Capacity Management
  • Erstellen, Überwachen des Kapazitätsplans anhand der Geschäftsanforderungen
  • Business / Service / Ressource Capacity Management
  • Application Sizing, Tuning, Service Modellierung, Demand Management
• IT Service Continuity Management
  • Maßnahmen für Katastrophenfälle
  • Einbettung in übergeordneten Prozess Business Continuity Management
  • Risikoanalyse
  • Zusammenarbeit mit Change Management und anderen Bereitstellungsprozessen
• Availability Management
  • Definition eines Verfügbarkeitsniveaus anhand der Geschäftsanforderungen
  • Planung und Überwachung anhand von KPI

• beschreibt ein definiertes Sicherheitsniveau für die IT Umgebung
• Vertraulichkeit, Integrität, Verfügbarkeit
• Risikoanalyse
• IT-Grundschutz = minimaler Sicherheitsanspruch

• Design and Planning
  • Entwicklung und Wartung von IT-Strategien und Prozesesn für den Aufbau und die Einführung von IT-Infrastrukturlösungen im ganzen Unternehmen
  • Koordination aller Aspekte von IT-Design und -Planung
  • Bereitstellen eines einheitlichen Interfaces der IT-Planung
  • Hilfestellung bei der Erstellung von Policies und Standards
• Deployment
  • Projektmanagementverfahren zur Einführung neuer Hard- und Software
  • Bindeglied zwischen Development, Change Management, Operations und Technical Support
  • Projektpläne für neue oder veränderte CIs
  • benötigte Ressourcen ermitteln
  • Riskmanagement
  • Erfahrungen und Erkenntnisse schnell zur Verfügung stellen
  • Änderungen durchführen
  • Status reporten und dokumentieren
  • Dokumentation bereitstellen
• Operations
  • Aktivitäten und Maßnahmen zur Bereitstellung und Instandhaltung der IT-Infrastruktur
  • Basis für alle IT-Services (Kerngeschäft)
  • technikfokussiert inkl. Steuerung, Monitoring, Controlling
  • liefert Informationen für alle Managementbereiche
  • Managed Objects sind die Ressourcen der IT-Infrastruktur
  • vielfältige Schnittstellen zu anderen Prozessen → OLAs, Prozessdefinitionen
• Technical Support
  • Aufbau von Kenntnissen über Evaluation, Unterstützung und Prüfung aktueller und zukünftiger IT-Infrastrukturlösungen
  • Zentralisierung des technischen Know-Hows
  • Vision eines end-to-end Services
  • Anbieten von analysierten und interpretierten Daten
  • Erforschung/Entwicklung neuer Technologien
  • Budgetplanung / -kontrolle
  • Materialbeschaffung, Lieferungsmanagement, Bedarfsfestlegung (Design and Planning)
  • Festlegen von Freigabeverfahren (Deployment)
  • technische Referenzadresse für alle Berührungspunkte zwischen IT und Dritten
  • technische Planung, Abwicklung, Steuerung von Support, Administration
  • Analyse und Managementreport über IT-Infrastruktur
  • Dokumentation

• beschreibt den IT-Service-Lifecycle aus Requirements - Design - Build - Deploy - Operate - Optimise

• gibt eine Anleitung dazu, wie ITIL zur Nutzung in eine konkrete IT eingeführt werden kann

• beschreibt die Verbindung der IT zu Ihren Kunden

• beschäftigt sich mit der Infrastruktur und den Prozessen die notwendig sind, um den Lebenszyklus von Software Assets zu steuern und zu verwalten.