Benutzer-Werkzeuge

Webseiten-Werkzeuge


phwt:ebe

Electronic Business Engineering

Risikomanagement

  • Risiko: Als Risiko können alle Unwägbarkeiten und Unsicherheiten entsprechend ihrer Eintrittswahrscheinlichkeiten verstanden werden, die die Erreichung von Unternehmenszielen gefährden (relatives Risiko)
  • Risikomanagement
    • Risikomanagement muss sicherstellen, dass sowohl bestehende als auch zukünftige Risiken erkennbar und kontrollierbar sind.
    • Unter Risikomanagement versteht man den planvollen Umgang mit Risiken. Dabei kann es sich um allgemeine unternehmerische Risiken handeln oder um spezielle finanzielle, aber auch technische Risiken (Basel II, Versicherungen)

Risikomanagement

traditionell

  • finanzielle Risiken
  • allgemeine Risiken

⇒ traditionelles RM tritt nur im Einzelfall ein <> Anforderungen der Globalisierung

modern

  • Bestandteil der Unternehmensführung
  • strategische / operationale Ausrichtung
  • Ziel: Risiken im Vorfeld erkennen und Mittel zur Abwehr bereitstellen
  • §91 Abs. 2 AktG
    • Risikomanagement / Frühwarnsystem
    • internes Überwachungssytem

Wozu Risikomanagement?

Frühwarnsystem

  • festgelegte / kommunizierte Strategie und davon abgeleitete Zielsetzungen
  • organisatorischer Aufbau
  • Qualifizierung- und Quantifizierungsmaßstäbe

gesetzlicher Rahmen

  • KonTraG
  • §91 Abs. 2 AktG
    • Ausstrahlungswirkung auf andere Unternehmensformen (>50 Mitarbeiter, 6 Mio € Umsatz)
  • international: Sarbanes-Oxley Act

Steuerungsinstrument

  • Bereiche / Prozesse
  • Anreizsysteme
  • Delegierung von Verantwortung und Kompetenz
  • risikoorientierte Kommunikationskultur

Zusammenfassung

  • Strukturierte Risikobewertung im Rahmen der Strategiefindung bzw. -rückkopplung
  • Installation eines Frühwarnsystems
  • Aufdeckung der Lücke zwischen Zielerreichung und Zielverfehlung und damit verbundener Verlust von Chancen bzw. verbundene Risiken
  • Festlegung von Verantwortlichkeiten und Handlungen im Risikofall
  • Implementierung nicht-monetärer Kennzahlen
  • Umsetzung rechtlicher Vorschriften (KonTraG)
  • Qualifizierung und Quantifizierung von Risiken

Grundelemente des RM

Risikoarten

  • Geschäftsrisiken
  • Externe Risiken
    • Naturereignisse
    • soziale
    • technische
    • politische
    • persönliche

organisatorische Voraussetzungen

Risikopolitik festlegen (Grundsätze)

Durch die Unternehmensführung durchzuführen. Verpflichtend für alle Führungskräfte. Top-Down-Kommunikation

  • Definition Risiko und Risikoarten
  • Risikopolitik festlegen und kommunizieren
  • Abgleich Risikopolitik <> Unternehmensziele

⇒ dokumentierte Verhaltensregeln für alle Mitarbeiter zur Schaffung eines Risikobewusstseins und einer Risiko- und Kontrollkultur

  • Ergebnisse
    • Grundsatzkatalog
    • Begriffskatalog
    • Risikosystematik
Risikomanagement-Funktionen festlegen (Risk-Owner)
  • Risk-Owner: Verantwortungsbereich festlegen, unterstützen Entscheidungsträger des RM
  • Aufgaben
    • Konzeptionelle Entwicklung
    • Maßnahmendefinition für die Implementierung
    • Pflege und Weiterentwicklung auf Bereichs- und Prozessebene (Identifikation neuer Risiken, Analyse, Risikokommunikation
    • Entwicklung von Notfallplänen (Maßnahmen im Schadensfall)
    • Koordination und Integration der Teilsysteme
    • Entwicklung risikoorientierter Anreizsysteme zur Förderung der Akzeptanz und Umsetzung von Risikomanagement
    • Dokumentation des Risikomanagementsystems
    • Berichterstattung
Risikomanagement verteilen (Bereiche und Prozesse)
  • Delegierung von Kompetenz an operative Bereiche
  • Definition von Prozessverantwortlichen
  • Einbindung von Spezialisten im Notfall
  • Unterstützung durch die Risk-Owner
  • Aufgaben
    • Berichterstattung an GF
    • Erfassung der Risiken am Ort des Entstehens
    • Umsetzung des RM in den Bereichen
    • Anreizsysteme schaffen

⇒ ineffektive Prozesse werden in den Bereichen identifiziert, Verantwortung für Aufbau, Pflege und Umsetzung des RM verbleibt in den Bereichen

Risikokontrolle
  • unabhängige Instanz zwischen Management, GF und Abschlussprüfung, die keiner organisatorischen Einheit bedarf → Vergabe an Externe möglich
  • Überwachung von Funktionstüchtigkeit, Angemessenheit und Wirksamkeit der Risikomanagement-Maßnahmen hinsichtlich
    • Wirtschaftlichkeit
    • Rechtmäßigkeit
    • Zweckmäßigkeit
    • Ordnungsmäßigkeit

Risikomanagementprozess

  • RM-Prozess: Risikoidentifikation → Risikoanalyse → Risikosteuerung → Risikoüberwachung
  • umfasst alle Maßnahmen zum systematischen Umgang mit Risiken im Unternehmen
  • Rückkopplung über die Prozessschritte fördert Stabilität und Weiterentwicklung des RP
  • Risiko wird als Steuerungsgröße operationalisiert und aktive gestaltet
  • Überwachung
    • operativ: Unternehmensführung
    • strategisch: Aufsichtsgremien

⇒ dynamischer Prozess

Risikoidentifikation / Strategieanalyse / Risikoanalyse

  • Identifikation und strukturierte Erfassung weswentlicher Risikokategorien
    • Szenario-Technik
    • Postmortem-Analyse
    • Expertenbefragungen
    • Checklisten
    • Kreativitätstechniken
  • Qualitative / quantitative Bewertung ja nach Einsatzbereich des RM (Finanzwesen, Versicherung, Projektmanagement etc.)
    • Rendite
    • Performance (Risikomanagement)
    • Gewinn
    • Arithmetische Rendite
    • Geometrische Rendite
    • Annualisierte Rendite
    • Stetige, logarithmierte Rendite
    • Volatilität
    • Mittelwert, Erwartungswert
    • Varianz
    • Standardabweichung
    • Korrelationskoeffizient
    • Value at Risk
  • Wirkungszusammenhänge
  • Ansatz bei Strategie und Zielen des Unternehmens
  • Analyse Stärken / Schwächen
    • SWOT
    • PEST
  • Wertbringer → kritische Erfolgsfaktoren (KEF)
  • Top-Down-Verfahren
  • Entwicklung eines Risikoschemas
  • Entwicklung eines Risikoportfolios
  • Spiegelung möglicher Risiken an Szenarien

⇒ Kontinuität erforderlich

Risikosteuerungsstrategien

  • Risikovermeidung, z.B. durch Verzicht auf ein Geschäft oder Aufgabe eines Geschäftsfelds
  • Risikoübertragung, -überwälzung z.B. auf Marktpartner (Outsourcing) oder Versicherungen
  • Risikoverminderung, z.B. Risikodiversifikation
  • Risikoakzeptierung, z.B. Kompensation durch Dotierung der Risikovorsorge
  • Risikobeseitigung, z.B. durch Abstellen eines organisatorischen Mangels

RM - und dann?

  • Die Illusion zu wissen
    • Selbstüberschätzung
    • Magisches Denken
    • Nachträgliches Besserwissen
    • Ankereffekt
    • Eingängigkeit
    • Blindheit für Wahrscheinlichkeiten
    • Beeinflussbarkeit durch Szenarien
  • Probleme
    • Bürokratie
    • schlechte Literatur
    • lückenlose Kontrolle <> kooperativer Führungsstil
    • größstes Risiko sind die handelnden Personen
    • schwierige Bewertung von Risiken

Wandel im Verständnis des RM

Gefahr → Unsicherheit → Chance

von nach
Risikoüberwachung in operativen Schwerpunkten, delegierbar Chefsache
in einzelnen Bereichen unternehmensweit
subjektive Risikoeinschätzung Quantifizierung von Risiken
Risiken negativ Risiken als Chance

Integriertes RM

  • Aufgaben
    • Unternehmensweite Sicht des RM
    • Entwicklung, Implementierung und Einsatz von zentralen RM-Methoden und -verfahren
    • Information und Kommunikation der unternehmensweiten RM-Architektur
    • Definition des Kontrollumfeldes
    • Risikocontrolling und Entwicklung eines zusammenfassenden Risikoberichts
    • Unterstützung der operativen Einheiten bei RMbezogenen Projekten
  • Voraussetzungen
    • Zugang zu unternehmenskritischer Information
    • Umfassende Kenntnis von Gesamtunternehmen
    • Ausgeprägte MIS-Routinen
    • Unabhängigkeit

RM heute

  • Defizite
    • Erstellung von Risikoreports zum Jahresende ohne systematische Einbindung des Risikomanagements in die Geschäftsprozesse und Berichtswege
    • Einzellösungen für spezifische Sachverhalte
    • Keine systematische Prüfung der Eignung und Funktionstüchtigkeit des Systems
    • Oft keine Abdeckung von bereichsübergreifenden Risiken
    • Historisch gewachsene Verantwortungsbereiche
  • Kernelemente einer Integration
    • Explizite Berücksichtigung von Chancen und Risiken bei der Strategiefestsetzung und im Planungs-/Budgetierungsprozess
    • Durchgängiges Instrumentarium zum "Herunterbrechen" der Strategie im Unternehmen, z.Bsp. mittels Balanced Scorecard
    • Explizite Einbindung von risikorelevanter Information in die Standardberichte
    • Konsolidierter Risikobericht für das Gesamtunternehmen, u.a. auch als Basis für externe Berichterstattung

Anforderungen aus Sicht eines Wirtschaftsprüfers

Bausteine

  • Ziele und Risikopolitik
  • Geltungsbereich
  • Risikokategorien
  • Instrumente zum Risikomanagement
  • Definition von Betrachtungsbereichen
  • Organisatorische Einbindung
  • Festlegung der Aufgaben
  • Bewertungsstandards und Wesentlichkeit
  • Berichts- und Entscheidungsverfahren

Betrachtungsbereiche

  • Ziel
    • vollständige Abdeckung des gesamten Unternehmens
    • Deckungsgleichheit von Verantwortung und Entscheidungs-/Handlungskompetenz
  • mögliche Abgrenzung
    • rechtliche Einheiten
    • Geschäftsfelder, Regionen, Kerngeschäftsprozesse

organisatorische Einbindung

  • Verantwortliche
  • Berichtswege
  • Entscheidungswege
  • Behandlung von RM auf Ebene der GF

Bewertungsstandards und Wesentlichkeit

  • Risikomesskriterien
    • IdW: Schadenshöhe und -wahrscheinlichkeit
    • Quantitative ("Schadenserwartungswert", Value at Risk)
    • Qualitativ (Niedrig, mittel, hoch, katastrophal)
    • Müssen der Aufgabenstellung entsprechen
    • Indikatoren
  • Mögliche Bezugsgrößen für Wesentlichkeit
    • Betriebsergebnis/Absoluter Betrag/Eigenkapital
    • Erreichen der Unternehmensziele
    • Budgetabweichung in Prozent
    • Cash Flow/EBIT

RM bei der Projektarbeit

  • RM-Planung
  • Risikoidentifikation
  • Risikoanalyse
    • qualitativ
    • quantitiv
  • Planung zur Risikobewältigung
  • Risikoüberwachung und -verfolgung

Bewertungsverfahren

TCO

  • aus den 80er Jahren
  • umfasst nicht nur Anschaffungskosten, sondern alle Aspekte der späteren Nutzung
  • Identifikation Kostentreiber / versteckte Kosten
  • direkte Kosten
    • lassen sich (durch Umlage) berechnen
    • haben nachweislich eine Auswirkung auf den Unternehmenserfolg
    • sind budgetierbar
    • Beispiel Arbeitsplatzrechner
      • Hard- / Software Costs
      • Operations Costs
      • Administration Costs
  • indirekte Kosten
    • Folge unproduktiver Nutzung durch den Endanwender
    • Messung schwierig, da Unterschiede bei den Prozessen der Endanwender
    • nach Krcmar 23-46% der Gesamtkosten
    • Beispiel Arbeitsplatzrechner
      • Peer Support
      • Casual Learning und Self Support
      • Formal Learning
      • File and Data Management
      • Application Development
      • Downtime
Kritik
  • oft Vernachlässigung von Miete, Strom etc. und des kalkulatorischen Wagnisses / unternehmerischen Risikos
  • schwierig nachzuweisen, ob eine Verbesserung der indirekten Kosten erfolgswirksam wird (Bsp. Arbeitsplatzrechner)

Kosten-Nutzen-Analyse

  • Gegenüberstellung von gewichtetem Nutzen und Kosten
  • Schätzung als Basis der Personal und Ressourcenplanung
  • Schätzung ggf. als Basis für Angebotspreis
  • Planwerten sind für Kontrolle möglich (rechtzeitiges Erkennen von Abweichungen)
  • Basis für Projektentscheidungen
    • Soll das Projekt realisiert werden?
    • Welche der Alternativen soll durchgeführt werden?
    • Welche Priorität erhält das Projekt?
  • Argumentationshilfe

Nutzwertanalyse

  • Analyse einer Menge komplexer Handlungsalternativen
  • Ordnung anhand Präferenzen des Entscheidungsträgers
  • ermittelt aus mehreren schwer vergleichbaren Parametern die nutzenoptimalste Variante
  • Nutzwerte als Zahlen, die einfach vergleichbar sind
  • Vorteile
    • Flexibilität
    • direkte Vergleichbarkeit der Alternativen anhand der Zahlwerte → Reduktion von "Bauchentscheidungen"
    • Anpassung an große Zahl spezieller Erfordernisse
    • Transparenz der Entscheidungsfindung
    • genaue Prüfung der Entscheidungskriterien
    • gut geeignet für weiche Kriterien
  • Nachteile
    • hoher Zeitaufwand
    • Subjektivität der Gewichtung
    • Vergleichbarkeit der Alternativen
  • Vorgehensweise
    • Ziele ermitteln
    • Ziele gewichten
    • Sensitivitätsanalyse
    • K.O.- / Soll-Kriterien definieren
    • Gewichtung der Kriterien
  • Auswahl der Kriterien
    • Operationalität
    • Hierarchiebezogenheit
    • Unterschiedlichkeit
    • Nutzensunabhängigkeit

ITIL

  • ITIL: IT Infrastructure Library

ITIL und ISO

  • ITIL setzt auf ISO auf (DIN EN ISO 9004)
  • Prozessorientierung
  • wie bei ISO 9000:2000ff Unterteilung der Funktionen und Organisation der Prozesse in Einzelelemente und Clustering zu Servicefunktionen
  • Fokus auf IT-Infrastruktur
  • nicht technologieorientiert, sondern service- und prozessorientierter Qualitätsansatz

ITIL und Six-Sigma

  • Six-Sigma: Methodologie um Leistungen oder Wertentwicklungen durch Identifikation der Fehler/Schwachstellen in den Prozessen zu messen.
  • abgeleitet von der Normalverteilung
    • 1σ = 68,27%
    • 6σ = 99,99985%
  • Überprüfung von potentiellen Verbesserungen eines Geschäftsprozesses anhand des Rechnungswesens
    • Gefahr: Überbewertung kurzfristiger finanzieller Erfolge und Vernachlässigung langfristiger qualitativer Erfolge

Einführung

  • Entwicklung in England durch CCTA. Bücher von OGC seit 1989.
  • Verbreitung in England, Niederlande. Deutschland wachsende Bedeutung.
  • Grundlage für die Entwicklung eines Bewusstseins und einer gemeinsamen Terminologie für IT Service Management
    • Erleichterung der Kommunikation
  • Best-Practice-Ansatz
    • Beschreibung von erfolgreichen Modellen/Organisationsformen → Anpassung auf individuelle Bedürfnisse
    • Flexibilität → Ungenauigkeit der Beschreibung → Notwendigkeit von Sekundärliteratur
  • ITIL = organisatorisches Rahmenkonzept
  • keine Projektmanagementmethode, sondern soll den dauerhaften Betrieb der IT-Infrastruktur gewährleisten
    • Definition von Aufgabenstellungen, die hierfür nötig sind
  • korrespondiert mit eTOM, ISO
  • MOF basiert auf ITIL

Struktur

  • Aufteilung in sieben Kernpublikationen
    • Aufteilung in Managementbereiche (Prozesse)

Service Support

  • Funktion "Service Desk"
    • garantiert Erreichbarkeit der IT-Organisation
    • SPOC des Anwenders
    • Koordination nachfolgender Supporteinheiten
    • übernimmt Aufgaben anderer Prozesse (Incident Management, Change Management etc.)
    • Dokumentation der Kundenanfragen und Überwachung deren Abarbeitung
  • Incident Management
    • Zuständig für schnellstmögliche Wiederherstellung des definierten Betriebszustandes eines Services
    • Erfassung der Service Requests der Anwender über einen Service Desk
    • erste Hilfestellung und Koordination der weiteren Schritte
    • Information des Anwenders über Fortschritt der Fehlerbehebung
  • Problem Management
    • Ursachenforschung und nachhaltige Beseitigung von Incidents
    • Bereitstellung von Workarounds für Incident Management und Erarbeitung von Lösungen für Known Errors aus dem Change Management
    • Störungsvermeidung (Proaktives Management) durch Trendanalyse
  • Change Management
    • Autorisierung und Dokumentierung von Änderungen an der IT-Infrastruktur
      • Planung der Reihenfolge der einzelnen Schritte um Überschneidungen früh zu erkennen
    • Change Manager, CAB
    • Koordination, Durchführung, Abnahme der Änderungen
  • Configuration Management
    • Bereitstellung der Informationen für IT Service Management
      • Überwachung der Aktualität
    • zentrale Rolle in der Kommunikation und Informationsversorgung der einzelnen Prozesse
    • CMDB enthält stets aktuelle Informationen über die CI
  • Release Management
    • Freigabe neuer Hard- und Software
    • Planung und Bereitstellung von Rollout-Verfahren

Service Delivery

Gemeinsamkeiten der planerischen Prozesse. Teilweise konkurrierende Zielsetzung der Prozesse. Periodischer Ablauf. Erstellen eines Plans.

  • Service Level Management
    • Vereinbarung von SLA
      • Service Level Manager ist zuständig für: Aktualisierung, Anpassung, Überprüfung der KPI in den SLA und OLA/UC
      • Grundlage: Servicekatalog und Service Level Requirement
  • Financial Management for IT Services
    • Budgetplanung, Kostenkontrolle, Leistungsverrechnung
    • ausgewogenes Verhältnis zwischen Qualität und Kosten anhand von Kundenanforderungen
  • Capacity Management
    • Erstellen, Überwachen des Kapazitätsplans anhand der Geschäftsanforderungen
    • Business / Service / Ressource Capacity Management
    • Application Sizing, Tuning, Service Modellierung, Demand Management
  • IT Service Continuity Management
    • Maßnahmen für Katastrophenfälle
    • Einbettung in übergeordneten Prozess Business Continuity Management
    • Risikoanalyse
    • Zusammenarbeit mit Change Management und anderen Bereitstellungsprozessen
  • Availability Management
    • Definition eines Verfügbarkeitsniveaus anhand der Geschäftsanforderungen
    • Planung und Überwachung anhand von KPI

Security Management

  • beschreibt ein definiertes Sicherheitsniveau für die IT Umgebung
  • Vertraulichkeit, Integrität, Verfügbarkeit
  • Risikoanalyse
  • IT-Grundschutz = minimaler Sicherheitsanspruch

Information and Communications Technology (ICT) Infrastructure Management

  • Design and Planning
    • Entwicklung und Wartung von IT-Strategien und Prozesesn für den Aufbau und die Einführung von IT-Infrastrukturlösungen im ganzen Unternehmen
    • Koordination aller Aspekte von IT-Design und -Planung
    • Bereitstellen eines einheitlichen Interfaces der IT-Planung
    • Hilfestellung bei der Erstellung von Policies und Standards
  • Deployment
    • Projektmanagementverfahren zur Einführung neuer Hard- und Software
    • Bindeglied zwischen Development, Change Management, Operations und Technical Support
    • Projektpläne für neue oder veränderte CIs
    • benötigte Ressourcen ermitteln
    • Riskmanagement
    • Erfahrungen und Erkenntnisse schnell zur Verfügung stellen
    • Änderungen durchführen
    • Status reporten und dokumentieren
    • Dokumentation bereitstellen
  • Operations
    • Aktivitäten und Maßnahmen zur Bereitstellung und Instandhaltung der IT-Infrastruktur
    • Basis für alle IT-Services (Kerngeschäft)
    • technikfokussiert inkl. Steuerung, Monitoring, Controlling
    • liefert Informationen für alle Managementbereiche
    • Managed Objects sind die Ressourcen der IT-Infrastruktur
    • vielfältige Schnittstellen zu anderen Prozessen → OLAs, Prozessdefinitionen
  • Technical Support
    • Aufbau von Kenntnissen über Evaluation, Unterstützung und Prüfung aktueller und zukünftiger IT-Infrastrukturlösungen
    • Zentralisierung des technischen Know-Hows
    • Vision eines end-to-end Services
    • Anbieten von analysierten und interpretierten Daten
    • Erforschung/Entwicklung neuer Technologien
    • Budgetplanung / -kontrolle
    • Materialbeschaffung, Lieferungsmanagement, Bedarfsfestlegung (Design and Planning)
    • Festlegen von Freigabeverfahren (Deployment)
    • technische Referenzadresse für alle Berührungspunkte zwischen IT und Dritten
    • technische Planung, Abwicklung, Steuerung von Support, Administration
    • Analyse und Managementreport über IT-Infrastruktur
    • Dokumentation

Application Management

  • beschreibt den IT-Service-Lifecycle aus Requirements - Design - Build - Deploy - Operate - Optimise

Planning to Implement Service Management

  • gibt eine Anleitung dazu, wie ITIL zur Nutzung in eine konkrete IT eingeführt werden kann

The Business Perspective

  • beschreibt die Verbindung der IT zu Ihren Kunden

Software Asset Management

  • beschäftigt sich mit der Infrastruktur und den Prozessen die notwendig sind, um den Lebenszyklus von Software Assets zu steuern und zu verwalten.
phwt/ebe.txt · Zuletzt geändert: 2015-01-04 19:12 (Externe Bearbeitung)