====== Electronic Business Engineering ====== ===== Risikomanagement ===== * **Risiko**: Als Risiko können alle Unwägbarkeiten und Unsicherheiten entsprechend ihrer Eintrittswahrscheinlichkeiten verstanden werden, die die Erreichung von Unternehmenszielen gefährden (relatives Risiko) * **Risikomanagement** * Risikomanagement muss sicherstellen, dass sowohl bestehende als auch zukünftige Risiken erkennbar und kontrollierbar sind. * Unter Risikomanagement versteht man den planvollen Umgang mit Risiken. Dabei kann es sich um allgemeine unternehmerische Risiken handeln oder um spezielle finanzielle, aber auch technische Risiken ([[wpde>Basel_II|Basel II]], Versicherungen) ==== Risikomanagement ==== === traditionell === * finanzielle Risiken * allgemeine Risiken => traditionelles RM tritt nur im Einzelfall ein <> Anforderungen der Globalisierung === modern === * Bestandteil der Unternehmensführung * strategische / operationale Ausrichtung * **Ziel**: Risiken im Vorfeld erkennen und Mittel zur Abwehr bereitstellen * §91 Abs. 2 AktG * Risikomanagement / Frühwarnsystem * internes **Überwachungssytem** ==== Wozu Risikomanagement? ==== === Frühwarnsystem === * festgelegte / kommunizierte Strategie und davon abgeleitete Zielsetzungen * organisatorischer Aufbau * Qualifizierung- und Quantifizierungsmaßstäbe === gesetzlicher Rahmen === * KonTraG * §91 Abs. 2 AktG * Ausstrahlungswirkung auf andere Unternehmensformen (>50 Mitarbeiter, 6 Mio € Umsatz) * international: [[wpde>Sarbanes_Oxley_Act|Sarbanes-Oxley Act]] === Steuerungsinstrument === * Bereiche / Prozesse * Anreizsysteme * Delegierung von Verantwortung **und** Kompetenz * risikoorientierte Kommunikationskultur === Zusammenfassung === * Strukturierte Risikobewertung im Rahmen der Strategiefindung bzw. -rückkopplung * Installation eines Frühwarnsystems * Aufdeckung der Lücke zwischen Zielerreichung und Zielverfehlung und damit verbundener Verlust von Chancen bzw. verbundene Risiken * Festlegung von Verantwortlichkeiten und Handlungen im Risikofall * Implementierung nicht-monetärer Kennzahlen * Umsetzung rechtlicher Vorschriften (KonTraG) * Qualifizierung und Quantifizierung von Risiken ==== Grundelemente des RM ==== === Risikoarten === * Geschäftsrisiken * technologische * leistungswirtschaftliche * finanzwirtschaftliche * [[wpde>Corporate_Governance|Corporate Governance]] * soziale * Externe Risiken * Naturereignisse * soziale * technische * politische * persönliche === organisatorische Voraussetzungen === == Risikopolitik festlegen (Grundsätze) == Durch die Unternehmensführung durchzuführen. Verpflichtend für alle Führungskräfte. **Top-Down-Kommunikation** * Definition Risiko und Risikoarten * Risikopolitik festlegen und kommunizieren * Abgleich Risikopolitik <> Unternehmensziele => dokumentierte Verhaltensregeln für alle Mitarbeiter zur Schaffung eines Risikobewusstseins und einer Risiko- und Kontrollkultur * Ergebnisse * Grundsatzkatalog * Begriffskatalog * Risikosystematik == Risikomanagement-Funktionen festlegen (Risk-Owner) == * **Risk-Owner**: Verantwortungsbereich festlegen, unterstützen Entscheidungsträger des RM * Aufgaben * Konzeptionelle Entwicklung * Maßnahmendefinition für die Implementierung * Pflege und Weiterentwicklung auf Bereichs- und Prozessebene (Identifikation neuer Risiken, Analyse, Risikokommunikation * Entwicklung von Notfallplänen (Maßnahmen im Schadensfall) * Koordination und Integration der Teilsysteme * Entwicklung risikoorientierter Anreizsysteme zur Förderung der Akzeptanz und Umsetzung von Risikomanagement * Dokumentation des Risikomanagementsystems * Berichterstattung == Risikomanagement verteilen (Bereiche und Prozesse) == * Delegierung von Kompetenz an operative Bereiche * Definition von Prozessverantwortlichen * Einbindung von Spezialisten im Notfall * Unterstützung durch die Risk-Owner * Aufgaben * Berichterstattung an GF * Erfassung der Risiken am Ort des Entstehens * Umsetzung des RM in den Bereichen * Anreizsysteme schaffen => ineffektive Prozesse werden in den Bereichen identifiziert, Verantwortung für Aufbau, Pflege und Umsetzung des RM verbleibt in den Bereichen == Risikokontrolle == * unabhängige Instanz zwischen Management, GF und Abschlussprüfung, die keiner organisatorischen Einheit bedarf -> Vergabe an Externe möglich * Überwachung von Funktionstüchtigkeit, Angemessenheit und Wirksamkeit der Risikomanagement-Maßnahmen hinsichtlich * Wirtschaftlichkeit * Rechtmäßigkeit * Zweckmäßigkeit * Ordnungsmäßigkeit ==== Risikomanagementprozess ==== * **RM-Prozess**: Risikoidentifikation -> Risikoanalyse -> Risikosteuerung -> Risikoüberwachung * umfasst alle Maßnahmen zum systematischen Umgang mit Risiken im Unternehmen * Rückkopplung über die Prozessschritte fördert Stabilität und Weiterentwicklung des RP * Risiko wird als Steuerungsgröße operationalisiert und aktive gestaltet * Überwachung * operativ: Unternehmensführung * strategisch: Aufsichtsgremien => dynamischer Prozess === Risikoidentifikation / Strategieanalyse / Risikoanalyse === * Identifikation und strukturierte Erfassung weswentlicher Risikokategorien * Szenario-Technik * Postmortem-Analyse * Expertenbefragungen * Checklisten * Kreativitätstechniken * Qualitative / quantitative Bewertung ja nach Einsatzbereich des RM (Finanzwesen, Versicherung, Projektmanagement etc.) * Rendite * Performance (Risikomanagement) * Gewinn * Arithmetische Rendite * Geometrische Rendite * Annualisierte Rendite * Stetige, logarithmierte Rendite * Volatilität * Mittelwert, Erwartungswert * Varianz * Standardabweichung * Korrelationskoeffizient * Value at Risk * Wirkungszusammenhänge * Ansatz bei **Strategie und Zielen** des Unternehmens * Analyse Stärken / Schwächen * SWOT * PEST * Wertbringer -> kritische Erfolgsfaktoren (KEF) * Top-Down-Verfahren * Entwicklung eines Risikoschemas * Entwicklung eines Risiko**portfolios** * Spiegelung möglicher Risiken an Szenarien => Kontinuität erforderlich === Risikosteuerungsstrategien === * Risikovermeidung, z.B. durch Verzicht auf ein Geschäft oder Aufgabe eines Geschäftsfelds * Risikoübertragung, -überwälzung z.B. auf Marktpartner (Outsourcing) oder Versicherungen * Risikoverminderung, z.B. Risikodiversifikation * Risikoakzeptierung, z.B. Kompensation durch Dotierung der Risikovorsorge * Risikobeseitigung, z.B. durch Abstellen eines organisatorischen Mangels ==== RM - und dann? ==== * Die Illusion zu wissen * Selbstüberschätzung * Magisches Denken * Nachträgliches Besserwissen * Ankereffekt * Eingängigkeit * Blindheit für Wahrscheinlichkeiten * Beeinflussbarkeit durch Szenarien * Probleme * Bürokratie * schlechte Literatur * lückenlose Kontrolle <> kooperativer Führungsstil * größstes Risiko sind die handelnden Personen * schwierige Bewertung von Risiken ==== Wandel im Verständnis des RM ==== Gefahr -> Unsicherheit -> Chance ^ von ^ nach ^ | Risikoüberwachung in operativen Schwerpunkten, delegierbar | Chefsache | | in einzelnen Bereichen | unternehmensweit | | subjektive Risikoeinschätzung | Quantifizierung von Risiken | | Risiken negativ | Risiken als Chance | ==== Integriertes RM ==== * Aufgaben * Unternehmensweite Sicht des RM * Entwicklung, Implementierung und Einsatz von zentralen RM-Methoden und -verfahren * Information und Kommunikation der unternehmensweiten RM-Architektur * Definition des Kontrollumfeldes * Risikocontrolling und Entwicklung eines zusammenfassenden Risikoberichts * Unterstützung der operativen Einheiten bei RMbezogenen Projekten * Voraussetzungen * Zugang zu unternehmenskritischer Information * Umfassende Kenntnis von Gesamtunternehmen * Ausgeprägte MIS-Routinen * Unabhängigkeit ==== RM heute ==== * Defizite * Erstellung von Risikoreports zum Jahresende ohne systematische Einbindung des Risikomanagements in die Geschäftsprozesse und Berichtswege * Einzellösungen für spezifische Sachverhalte * Keine systematische Prüfung der Eignung und Funktionstüchtigkeit des Systems * Oft keine Abdeckung von bereichsübergreifenden Risiken * Historisch gewachsene Verantwortungsbereiche * Kernelemente einer Integration * Explizite Berücksichtigung von Chancen und Risiken bei der Strategiefestsetzung und im Planungs-/Budgetierungsprozess * Durchgängiges Instrumentarium zum "Herunterbrechen" der Strategie im Unternehmen, z.Bsp. mittels Balanced Scorecard * Explizite Einbindung von risikorelevanter Information in die Standardberichte * Konsolidierter Risikobericht für das Gesamtunternehmen, u.a. auch als Basis für externe Berichterstattung ==== Anforderungen aus Sicht eines Wirtschaftsprüfers ==== === Bausteine === * Ziele und Risikopolitik * Geltungsbereich * Risikokategorien * Instrumente zum Risikomanagement * Definition von Betrachtungsbereichen * Organisatorische Einbindung * Festlegung der Aufgaben * Bewertungsstandards und Wesentlichkeit * Berichts- und Entscheidungsverfahren === Betrachtungsbereiche === * Ziel * vollständige Abdeckung des gesamten Unternehmens * Deckungsgleichheit von Verantwortung und Entscheidungs-/Handlungskompetenz * mögliche Abgrenzung * rechtliche Einheiten * Geschäftsfelder, Regionen, Kerngeschäftsprozesse === organisatorische Einbindung === * Verantwortliche * Berichtswege * Entscheidungswege * Behandlung von RM auf Ebene der GF === Bewertungsstandards und Wesentlichkeit === * Risikomesskriterien * IdW: Schadenshöhe und -wahrscheinlichkeit * Quantitative ("Schadenserwartungswert", Value at Risk) * Qualitativ (Niedrig, mittel, hoch, katastrophal) * Müssen der Aufgabenstellung entsprechen * Indikatoren * Mögliche Bezugsgrößen für Wesentlichkeit * Betriebsergebnis/Absoluter Betrag/Eigenkapital * Erreichen der Unternehmensziele * Budgetabweichung in Prozent * Cash Flow/EBIT ==== RM bei der Projektarbeit ==== * RM-Planung * Risikoidentifikation * Risikoanalyse * qualitativ * quantitiv * Planung zur Risikobewältigung * Risikoüberwachung und -verfolgung ==== Bewertungsverfahren ==== === TCO === * aus den 80er Jahren * umfasst nicht nur Anschaffungskosten, sondern alle Aspekte der späteren Nutzung * Identifikation Kostentreiber / versteckte Kosten * direkte Kosten * lassen sich (durch Umlage) berechnen * haben nachweislich eine Auswirkung auf den Unternehmenserfolg * sind budgetierbar * Beispiel Arbeitsplatzrechner * Hard- / Software Costs * Operations Costs * Administration Costs * indirekte Kosten * Folge unproduktiver Nutzung durch den Endanwender * Messung schwierig, da Unterschiede bei den Prozessen der Endanwender * nach Krcmar 23-46% der Gesamtkosten * Beispiel Arbeitsplatzrechner * Peer Support * Casual Learning und Self Support * Formal Learning * File and Data Management * Application Development * Downtime == Kritik == * oft Vernachlässigung von Miete, Strom etc. und des kalkulatorischen Wagnisses / unternehmerischen Risikos * schwierig nachzuweisen, ob eine Verbesserung der indirekten Kosten erfolgswirksam wird (Bsp. Arbeitsplatzrechner) === Kosten-Nutzen-Analyse === * Gegenüberstellung von gewichtetem Nutzen und Kosten * Schätzung als Basis der Personal und Ressourcenplanung * Schätzung ggf. als Basis für Angebotspreis * Planwerten sind für Kontrolle möglich (rechtzeitiges Erkennen von Abweichungen) * Basis für Projektentscheidungen * Soll das Projekt realisiert werden? * Welche der Alternativen soll durchgeführt werden? * Welche Priorität erhält das Projekt? * Argumentationshilfe === Nutzwertanalyse === * Analyse einer Menge komplexer Handlungsalternativen * Ordnung anhand Präferenzen des Entscheidungsträgers * ermittelt aus mehreren schwer vergleichbaren Parametern die nutzenoptimalste Variante * Nutzwerte als Zahlen, die einfach vergleichbar sind * Vorteile * Flexibilität * direkte Vergleichbarkeit der Alternativen anhand der Zahlwerte -> Reduktion von "Bauchentscheidungen" * Anpassung an große Zahl spezieller Erfordernisse * Transparenz der Entscheidungsfindung * genaue Prüfung der Entscheidungskriterien * gut geeignet für weiche Kriterien * Nachteile * hoher Zeitaufwand * Subjektivität der Gewichtung * Vergleichbarkeit der Alternativen * Vorgehensweise * Ziele ermitteln * Ziele gewichten * Sensitivitätsanalyse * K.O.- / Soll-Kriterien definieren * Gewichtung der Kriterien * Auswahl der Kriterien * Operationalität * Hierarchiebezogenheit * Unterschiedlichkeit * Nutzensunabhängigkeit ===== ITIL ===== * **ITIL**: IT Infrastructure Library ==== ITIL und ISO ==== * ITIL setzt auf ISO auf ([[wpde>ISO_9004#EN_ISO_9004|DIN EN ISO 9004]]) * Prozessorientierung * wie bei [[wpde>ISO_9004#EN_ISO_9000|ISO 9000:2000ff]] Unterteilung der Funktionen und Organisation der Prozesse in Einzelelemente und Clustering zu Servicefunktionen * Fokus auf IT-Infrastruktur * nicht technologieorientiert, sondern service- und prozessorientierter Qualitätsansatz ==== ITIL und Six-Sigma ==== * **Six-Sigma**: Methodologie um Leistungen oder Wertentwicklungen durch Identifikation der Fehler/Schwachstellen in den Prozessen zu messen. * abgeleitet von der Normalverteilung * 1σ = 68,27% * 6σ = 99,99985% * Überprüfung von potentiellen Verbesserungen eines Geschäftsprozesses anhand des Rechnungswesens * Gefahr: Überbewertung kurzfristiger finanzieller Erfolge und Vernachlässigung langfristiger qualitativer Erfolge ==== Einführung ==== * Entwicklung in England durch CCTA. Bücher von OGC seit 1989. * Verbreitung in England, Niederlande. Deutschland wachsende Bedeutung. * Grundlage für die Entwicklung eines Bewusstseins und einer gemeinsamen Terminologie für IT Service Management * Erleichterung der Kommunikation * Best-Practice-Ansatz * Beschreibung von erfolgreichen Modellen/Organisationsformen -> Anpassung auf individuelle Bedürfnisse * Flexibilität -> Ungenauigkeit der Beschreibung -> Notwendigkeit von Sekundärliteratur * ITIL = organisatorisches Rahmenkonzept * keine Projektmanagementmethode, sondern soll den dauerhaften Betrieb der IT-Infrastruktur gewährleisten * Definition von Aufgabenstellungen, die hierfür nötig sind * korrespondiert mit [[wpde>Etom|eTOM]], ISO * [[wpde>Microsoft_Operations_Framework|MOF]] basiert auf ITIL ==== Struktur ==== * Aufteilung in sieben Kernpublikationen * Aufteilung in Managementbereiche (Prozesse) === Service Support === * **Funktion** "Service Desk" * garantiert Erreichbarkeit der IT-Organisation * SPOC des Anwenders * Koordination nachfolgender Supporteinheiten * übernimmt Aufgaben anderer Prozesse (Incident Management, Change Management etc.) * Dokumentation der Kundenanfragen und Überwachung deren Abarbeitung * Incident Management * Zuständig für schnellstmögliche Wiederherstellung des definierten Betriebszustandes eines Services * Erfassung der Service Requests der Anwender über einen Service Desk * erste Hilfestellung und Koordination der weiteren Schritte * Information des Anwenders über Fortschritt der Fehlerbehebung * Problem Management * Ursachenforschung und nachhaltige Beseitigung von Incidents * Bereitstellung von Workarounds für Incident Management und Erarbeitung von Lösungen für Known Errors aus dem Change Management * Störungsvermeidung (Proaktives Management) durch Trendanalyse * Change Management * Autorisierung und Dokumentierung von Änderungen an der IT-Infrastruktur * Planung der Reihenfolge der einzelnen Schritte um Überschneidungen früh zu erkennen * Change Manager, CAB * Koordination, Durchführung, Abnahme der Änderungen * Configuration Management * Bereitstellung der Informationen für IT Service Management * Überwachung der Aktualität * zentrale Rolle in der Kommunikation und Informationsversorgung der einzelnen Prozesse * CMDB enthält stets aktuelle Informationen über die CI * Release Management * Freigabe neuer Hard- und Software * Planung und Bereitstellung von Rollout-Verfahren === Service Delivery === Gemeinsamkeiten der planerischen Prozesse. Teilweise konkurrierende Zielsetzung der Prozesse. Periodischer Ablauf. Erstellen eines Plans. * Service Level Management * Vereinbarung von SLA * Service Level Manager ist zuständig für: Aktualisierung, Anpassung, Überprüfung der KPI in den SLA und OLA/UC * Grundlage: Servicekatalog und Service Level Requirement * Financial Management for IT Services * Budgetplanung, Kostenkontrolle, Leistungsverrechnung * ausgewogenes Verhältnis zwischen Qualität und Kosten anhand von Kundenanforderungen * Capacity Management * Erstellen, Überwachen des Kapazitätsplans anhand der Geschäftsanforderungen * Business / Service / Ressource Capacity Management * Application Sizing, Tuning, Service Modellierung, Demand Management * IT Service Continuity Management * Maßnahmen für Katastrophenfälle * Einbettung in übergeordneten Prozess Business Continuity Management * Risikoanalyse * Zusammenarbeit mit Change Management und anderen Bereitstellungsprozessen * Availability Management * Definition eines Verfügbarkeitsniveaus anhand der Geschäftsanforderungen * Planung und Überwachung anhand von KPI === Security Management === * beschreibt ein definiertes Sicherheitsniveau für die IT Umgebung * Vertraulichkeit, Integrität, Verfügbarkeit * Risikoanalyse * IT-Grundschutz = minimaler Sicherheitsanspruch === Information and Communications Technology (ICT) Infrastructure Management === * Design and Planning * Entwicklung und Wartung von IT-Strategien und Prozesesn für den Aufbau und die Einführung von IT-Infrastrukturlösungen im ganzen Unternehmen * Koordination aller Aspekte von IT-Design und -Planung * Bereitstellen eines einheitlichen Interfaces der IT-Planung * Hilfestellung bei der Erstellung von Policies und Standards * Deployment * Projektmanagementverfahren zur Einführung neuer Hard- und Software * Bindeglied zwischen Development, Change Management, Operations und Technical Support * Projektpläne für neue oder veränderte CIs * benötigte Ressourcen ermitteln * Riskmanagement * Erfahrungen und Erkenntnisse schnell zur Verfügung stellen * Änderungen durchführen * Status reporten und dokumentieren * Dokumentation bereitstellen * Operations * Aktivitäten und Maßnahmen zur Bereitstellung und Instandhaltung der IT-Infrastruktur * Basis für alle IT-Services (Kerngeschäft) * technikfokussiert inkl. Steuerung, Monitoring, Controlling * liefert Informationen für alle Managementbereiche * Managed Objects sind die Ressourcen der IT-Infrastruktur * vielfältige Schnittstellen zu anderen Prozessen -> OLAs, Prozessdefinitionen * Technical Support * Aufbau von Kenntnissen über Evaluation, Unterstützung und Prüfung aktueller und zukünftiger IT-Infrastrukturlösungen * Zentralisierung des technischen Know-Hows * Vision eines end-to-end Services * Anbieten von analysierten und interpretierten Daten * Erforschung/Entwicklung neuer Technologien * Budgetplanung / -kontrolle * Materialbeschaffung, Lieferungsmanagement, Bedarfsfestlegung (Design and Planning) * Festlegen von Freigabeverfahren (Deployment) * technische Referenzadresse für alle Berührungspunkte zwischen IT und Dritten * technische Planung, Abwicklung, Steuerung von Support, Administration * Analyse und Managementreport über IT-Infrastruktur * Dokumentation === Application Management === * beschreibt den IT-Service-Lifecycle aus Requirements - Design - Build - Deploy - Operate - Optimise === Planning to Implement Service Management === * gibt eine Anleitung dazu, wie ITIL zur Nutzung in eine konkrete IT eingeführt werden kann === The Business Perspective === * beschreibt die Verbindung der IT zu Ihren Kunden === Software Asset Management === * beschäftigt sich mit der Infrastruktur und den Prozessen die notwendig sind, um den Lebenszyklus von Software Assets zu steuern und zu verwalten.