Risikomanagement

Question 1

Abgrenzung RM/CM

Answer 1

• nicht erfüllte Compliance ist eine Gefährderung und gehört zu Bedrohungen beim RM
• CM umfasst aber auch Einhaltung von V, Regularien usw; hat daher einen breiteren Fokus
• seit Jahrtausendwende viele neue Regeln (Haftung GF für Bilanzen, Transparenz, Ethik-RiLi, Whistleblower, SOX-konforme IT) - werden nicht von RMS abgedeckt

Question 2

Wie hilfe RM der Governance

Answer 2

• Entscheidungsgrundlage für Governance bei Abwägung zw. Risikoaversion und -affinität sind Daten aus TMS

Question 3

Was ist Risikomanagement

Answer 3

= hat Aufgabe, die Unternehmensführung dabei zu unterstützen, wesentliche Risiken, die dne Unternehmenserfolg oder -bestand gefährden können, rechtzeitig zu erkennen und zu bewältigen

• Unterteilung in Prozesse, die in festgelegten Zeiten zyklisch durchlaufen

Question 4

PDCA-Prozess für Risikomanagement

Answer 4

1. Plan
   Risikoanalyse
2. Do
   Implementierung SIcherheitsmaßnbahmen
3. Check
   Prüfung Wirksamkeit Sicherheitsmaßnahmen
4. Act
   Anpassung Infrastruktur

Question 5

bei “3. Check” Selfassessment

Answer 5

• Selfassessment/Selbsteinschätzung
• Schutz-/Sicherheitsmaßnahmen = Control Measurements/Controls
• Selfassessment wird als offizielles Statement der Geschäftsleitung von Auditoren/Prüfern in Form von Test auf Vollständigkeit + Korrektheit + Gültigkeit überprüft
• Abweichungen = issue
  minor issues (klein)
  major issues (groß)
• je nach G kann bei einem major oder mehreren minor issues Compliance nicht erfüllt

Question 6

Rollen

Answer 6

• Rolle = eine Funktion im Unternehmen, der Rechte und Pflichten zur Erfüllung bestimmter AUfgaben zugeordnet sind
• kann eine oder mehrere Personen; idR hat BEuaftragter Vertreter
• z.B. Risikomanager (IT-Risikoanalyst/Risikokoordinator; RIsikobeauftragter für Einheit X)

Question 7

Was muss die Rollenbeschreibung beinhalten?

Answer 7

• Aufgaben und Verantwortlichkeiten
• Anforderungsprofil bzgl. Ausbildung, Berufserfahrung, Spezialkenntnisse
• Aus- und Fortbildung
• Arbeitsanweisungen und Checklisten
• Besetzungsliste

Question 8

Aufgaben im Risikomanagement

Answer 8

1. Risikoplanung
   Planung des gesamten RM-Prozesses, Schritte brauchen Verantwortiche + Dokumentation
2. Risikoanalyse
   vollständige Analyse aller relevanten Risiken und deren RUsachen
3. Risikobewertung
   Bewertung Risiken im Bezug auf Ausmaße; priorisierte Abarbeitung; für Gewichtung Risikokennzahlen aus erwarteten Schäden
4. Risikostrategie
   Handlungsalternativen und Entscheidungsspielräume identifizieren; was kann gg bestimmte Risiken unternommen und was kostet das; dann Aufstellung Maßnahmenkatalog; Verantwortlich bestimmen
5. Risikoüberwachung
   Entwicklung und Tendenzen; RIsiken und Gewichtungen ändern sich; Überwachung Wirksamkeit der Maßnahmen

Question 9

Was sollte im Maßnahmenkatalog der Risikostrategie stehen?

Answer 9

• Bezeichnung der Maßnahme
• aussagefähige Beschreibung der Maßnahme
• Kosten für Implementierung, Betrieb, Wartung, Überprüfung
• Beschreibung, wie sich Effektivität testen lässt
• Verantwortliche

Question 10

Verantwortung der Geschäftsführung im RM

Answer 10

• Management Commitments
• Ressourcenmanagement
• Schulung, Sensibilisierung, Komüetenzen
• Def. Ziele und Pläe
• dafür sorgen, dass Rollen und Veratnwortlichkeiten etabliert
• Bedeutung RM kommunizieren
• hinreichend Ressourcen bereitstellen
• Entscheidungen über akzeptierte Restrisiken treffen
• Review des RM leiten

Question 11

Ressourcenmanagement

Answer 11

• ausreichend Ressourcen für Etablierung, Implementierung, Betrieb, Erhaltung RM
• Prozesse und verfahren des RM müssen Geschäftsanforderungen entsprechen
• Gesetze und vertragl Verpflichtungen einhalten
• angemessene Sicherheit durch korrekte Anwendung der Maßnamen
• ggf. Überprüfungen und Reaktion auf Ergebnisse; ggf. Effektivität verbesserung

Question 12

Schulung, Sensibilisierung und Kompetenzen

Answer 12

• zuständiges Personal im RM braucht entsprechende fachl Komüpetenzen
• Effektivität Schulungen muss überprüft
• Aufzeichnung von Schulungen, Fähigkeite, Erfahrungen, Quali

Question 13

Management-Review des RM

Answer 13

• muss regelm Review, um Tauglichkeit, Angemessenheit, Effizienz des RM sicherzustellen

dazu folgende Reports:
- Resultate RM-Audits und Reviews
- Feedback, Status der Maßnahmen
- Bedrohungen oder SChwachstellen, die nicht ausreichend behandelt
- Konformität RM zur aktuellen Gesetzen
- Konformität Informationssicherheit
- Stand Umsetzung und Wartung
- Wirksamkeit Maßnahmen

diese Reports müssen beinhalten:
- Verbeserungsvorschläge
- Änderungen
- notwendige Ressourcen

Question 14

Stellung des RM im Unternehmen

Answer 14

• in Großunternehmen eigene Corporate Risk Management Abteilung; berichtet direkt an Geschäftsleitung
• kleinere idR Sicherheitsbeauftragten
• am besten im QM oder Controlling etablieren

Question 15

Bestellung des Risikomanagers

Answer 15

• bestellt durch Unternehmensleitung
• hohe Anforderungen
• kann auch extern besetzt durch Sicherheitsunternehmen

Question 16

Aufgaben des RIsikomanagers

Answer 16

• Risikotrategie in Abstimmung mit Geschäftsleitung erstellen und umsetzen
• Aus Risikostrategie RIsikomanagementprozess und alle zugehörigen Begleitungdokumente entwickeln, abstimmen und umsetzen
• Risk-Awareness
• zentrales Risiko-Informationssystem einrichten und aktuell halten
• Analyse der Risiken durchführungen und aussagefähige Risikobewertung
• Maßnahmenkataloge und in Abstimmung mit GF über angestrebtes Restiriksko umsetzen
• identifizierte Risiken überwachen und Reports von den einzelnen Risikobeauftragten
• Reporting aufbauen, betreiben und darin Verfahren über Nachweise über implementierte Maßnahmen
• Wartung aller Elemente
• entsprechende ZUgangsberechtiungen und Zugriffsrechte; Weisungsbefugnis ggü Risikokoordinator und Risikobeuaftragten
• Vorgaben für Umsetzung und Kontrolle von Maßnahmen

Question 17

ISO 31000-Standard (Rahmenwerk RMS)

Answer 17

• internationale Norm für RM
• sieht Vorgehen nach PDCA vor

Question 18

PDCA-Prozess bei ISO 31000

Answer 18

1. Plan
   
   • Rahmenwerk/Grundlagen für weiteres Vorgehen
   • Zieledes Unternehmens und Kontext
   • Risk-Management-Policy; Regelwerk, wie mir RIsiken umzugehen
   • Identifikation Eigentümern von Risken (Risk Owners): Personen, die für das Management spezieller Risiken zust
   • Integration RM in Unternehmensprozess
   • Verwaltung von Ressourcen (Perosnal, Weiterbildung, DOkumentation)
   • interne Kommunkaiton und Berichterstattung an GF und Compliance-Management
   • externe Kommunikaiton an Anteilseigner und sonstige
2. D
   
   • Rahmenwerk wird implementiert
   • Identifikation und Bewertung RIsiken
   • Indentifikation und Bewertung Möglichkeiten Umgang mit RIsiken
   • Auswahl Maßnahmenziele und Maßnahmen
   • Erstellung Eignungsbericht
   • Zustimung Management
3. Check
   
   • bisher umgesetzte Sicherheitspolitik wird bewertet
   • ggf. Performance verbesserung
   • Fehler aufdecken
   • ggf. interne Audits
4. Act
   
   • Verbesserungspotential umsetzen und Fehler beseitigen

Question 19

Struktur der Risikoanalyse nach ISO 31000

Answer 19

Risiko wird nach drei Variablen bestimmt:
1. größter Schaden
2. Wahrscheinlichkeit des Eintritts
3. möglich Ausnutzbarkeit von Schwachstellen für diese Bedrohung

Struktur der Risikoanalyse:
1. Festlegung Kontext für RMS
2. Identifikation der Risiken
3. Analyse der Risiken
4. Bewertung der Risiken
5. Behandlung der Risiken

Basismethoden um an benötigte Daten zu kommen:
- standardisierte Befragungen
- Prüfung Dokumente und Unterlagen (z.B. Ereignislisten, Meldungen, etc.)
- Betriebsbesichtigungen
- interne Audits
- interne und externe Informationsliten

Risikoakzeptanz
- bleibt immer Restrisiko, dessen vollständige Eliminierung wirtschaftlich nicht sinnvoll
- muss ständig angepasst: bei wachsendem Risiko weitere Maßnahmen, bei fallendem Restrisiko Maßnahmen einsparen (CHeck-Phase)