Risikomanagement - Wikipedia

Maßnahmensatz zur systematischen Identifizierung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken

Risikomanagement ist die Identifizierung, Bewertung und Priorisierung von Risiken (definiert in ISO 31000 als die Wirkung von Zielunsicherheit ) gefolgt von koordinierter und sparsamer Verwendung von Ressourcen zur Minimierung, Überwachung und Kontrolle der Wahrscheinlichkeit oder Auswirkung unglücklicher Ereignisse ^[1] oder zur Maximierung der Realisierung von Möglichkeiten.

Risiken können aus verschiedenen Quellen stammen, darunter Unsicherheiten auf den Finanzmärkten, Bedrohungen durch Projektausfälle (in jeder Phase in Design, Entwicklung, Produktion oder Nachhaltigkeit), rechtliche Verbindlichkeiten, Kreditrisiko, Unfälle, natürliche Ursachen und Katastrophen. vorsätzlicher Angriff eines Gegners oder Ereignisse mit unsicherer oder unvorhersehbarer Ursache. Es gibt zwei Arten von Ereignissen, d. H. Negative Ereignisse können als Risiken klassifiziert werden, während positive Ereignisse als Chancen eingestuft werden. Es wurden mehrere Risikomanagementstandards entwickelt, darunter das Project Management Institute, das National Institute of Standards and Technology, Aktuargesellschaften und ISO-Standards. ^[2][3] Methoden, Definitionen und Ziele variieren stark, je nachdem, ob die Risikomanagementmethode im Kontext von steht Projektmanagement, Sicherheit, Engineering, industrielle Prozesse, Finanzportfolios, versicherungsmathematische Beurteilungen oder Gesundheit und Sicherheit.

Strategien zur Bewältigung von Bedrohungen (Unsicherheiten mit negativen Folgen) umfassen typischerweise das Vermeiden der Bedrohung, die Verringerung der negativen Auswirkungen oder Wahrscheinlichkeit der Bedrohung, die Übertragung der Bedrohung ganz oder teilweise auf eine andere Partei und sogar das Behalten einiger oder aller potenziellen Risiken tatsächliche Konsequenzen einer bestimmten Bedrohung und die Gegensätze für Chancen (ungewisse zukünftige Zustände mit Nutzen).

Bestimmte Aspekte vieler Risikomanagementstandards wurden kritisiert, da sie keine messbare Verbesserung des Risikos haben. während das Vertrauen in Schätzungen und Entscheidungen scheinbar zuzunehmen scheint. ^[1] Beispielsweise stellte eine Studie fest, dass jedes sechste IT-Projekt "schwarze Schwäne" mit gigantischen Überschreitungen war (Kostenüberschreitungen im Durchschnitt 200% und Planüberschreitungen 70%). [19659009] Einführung [ edit ]

Ein weit verbreitetes Vokabular für das Risikomanagement wird von ISO Guide 73: 2009 "Risk management. Vocabulary." ^{definiert. [2]}

Beim idealen Risikomanagement folgt ein Priorisierungsprozess, bei dem die Risiken mit dem größten Verlust (oder den größten Auswirkungen) und der größten Eintrittswahrscheinlichkeit zuerst behandelt werden und Risiken mit einer geringeren Eintrittswahrscheinlichkeit und einem geringeren Verlust in absteigender Reihenfolge behandelt. In der Praxis kann der Prozess der Bewertung des Gesamtrisikos schwierig sein, und das Ausgleichen von Ressourcen zur Minderung von Risiken mit hoher Eintrittswahrscheinlichkeit, aber geringerem Verlust gegenüber einem Risiko mit hohem Verlust, aber geringerer Eintrittswahrscheinlichkeit, kann oft misshandelt werden.

Das Management von immateriellen Risiken identifiziert einen neuen Typ eines Risikos mit einer Wahrscheinlichkeit von 100%, das jedoch von der Organisation wegen mangelnder Identifizierungsfähigkeit ignoriert wird. Wenn zum Beispiel fehlerhaftes Wissen auf eine Situation angewendet wird, tritt ein Wissensrisiko auf. Das Beziehungsrisiko tritt auf, wenn eine unwirksame Zusammenarbeit auftritt. Das Prozess-Engagement-Risiko kann ein Problem sein, wenn ineffektive Betriebsverfahren angewendet werden. Diese Risiken verringern direkt die Produktivität der Wissensarbeiter, die Kosteneffizienz, Rentabilität, Service, Qualität, Reputation, Markenwert und Ergebnisqualität. Mit dem immateriellen Risikomanagement kann das Risikomanagement durch die Erkennung und Reduzierung von Risiken, die die Produktivität verringern, unmittelbaren Wert schaffen.

Das Risikomanagement hat auch Schwierigkeiten bei der Ressourcenzuteilung. Dies ist die Idee der Opportunitätskosten. Ressourcen, die für das Risikomanagement aufgewendet werden, hätten für rentablere Tätigkeiten aufgewendet werden können. Das ideale Risikomanagement minimiert wiederum Ausgaben (oder Arbeitskräfte oder andere Ressourcen) und minimiert auch die negativen Auswirkungen von Risiken.

Gemäß der Definition des Risikos besteht das Risiko in der Möglichkeit, dass ein Ereignis eintritt und die Zielerreichung nachteilig beeinflusst. Daher hat das Risiko selbst die Unsicherheit. Risikomanagement wie COSO ERM kann Manager dabei unterstützen, ihr Risiko gut zu kontrollieren. Jedes Unternehmen verfügt möglicherweise über unterschiedliche interne Kontrollkomponenten, was zu unterschiedlichen Ergebnissen führt. Zu den Rahmenbedingungen für ERM-Komponenten gehören beispielsweise die interne Umgebung, Zielsetzung, Ereignisidentifikation, Risikobewertung, Risikoabwehr, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung.

Methode [ edit ]

Diese Methoden bestehen größtenteils aus den folgenden Elementen, die mehr oder weniger in der folgenden Reihenfolge ausgeführt werden.

1. Identifizieren, charakterisieren von Bedrohungen.


2. beurteilen die Anfälligkeit kritischer Assets für bestimmte Bedrohungen.


3. bestimmen das Risiko (dh die erwartete Wahrscheinlichkeit und die Konsequenzen bestimmter Arten von Angriffen auf bestimmte Assets).


4. zeigt Wege auf, diese Risiken zu reduzieren


5. Priorisierung von Risikominderungsmaßnahmen

Grundsätze [ edit

Die Internationale Organisation für Normung (ISO) identifiziert die folgenden Grundsätze des Risikomanagements: ^{[5] ]}

Risikomanagement sollte:

• Wert schaffen - Ressourcen, die zur Risikominderung aufgewendet werden, sollten geringer sein als die Folge von Untätigkeit


• und integraler Bestandteil organisatorischer Prozesse.


• Teil des Entscheidungsprozesses sein.


• explizit auf Ungewissheit und Annahmen


• eingehen ein systematischer und strukturierter Prozess


• auf der Grundlage der besten verfügbaren Informationen


• sein. Anpassungsfähig sein


• menschliche Faktoren berücksichtigen


• transparent und inklusiv sein


• dynamisch sein, iterativ sein und auf Veränderungen ansprechen


• kontinuierlich verbessern oder verbessern


• kontinuierlich oder periodisch neu beurteilt werden

Prozess [ edit ]

Gemäß der Norm ISO 31000 "Risikomanagement - Grundsätze und Richtlinien für die Umsetzung "^[3] Der Prozess des Risikomanagements umfasst folgende Schritte:

Festlegen des Kontextes [ edit ]

Dies umfasst:

1. 
   
   • Der soziale Geltungsbereich des Risikomanagements
   
   
   • Die Identität und Ziele der Interessengruppen
   
   
   • Die Grundlage für die Bewertung der Risiken, Zwänge.


2. die einen Rahmen für die Aktivität und eine Agenda definiert zur Identifikation


3. Entwicklung einer Analyse der mit dem Prozess verbundenen Risiken


4. Risikominderung oder -lösung unter Verwendung verfügbarer technologischer, personeller und organisatorischer Ressourcen

Identifikation [ edit ]

After Um den Kontext festzulegen, besteht der nächste Schritt im Risikomanagement darin, potenzielle Risiken zu identifizieren. Bei Risiken handelt es sich um Ereignisse, bei deren Auslösung Probleme oder Nutzen entstehen. Daher kann die Risikoidentifikation mit der Ursache unserer Probleme und der unserer Wettbewerber (Nutzen) oder mit dem Problem selbst beginnen.

• Quellenanalyse ^[6] - Risikoquellen können innerhalb oder außerhalb des Systems liegen, das das Ziel des Risikomanagements ist (Minderung anstelle des Managements, da das Risiko nach eigenen Definition Risikofaktoren betrifft, die nicht verwaltet werden können).

Beispiele für Risikoquellen sind: Stakeholder eines Projekts, Mitarbeiter eines Unternehmens oder das Wetter eines Flughafens.

• Problemanalyse ^{[ Benennung erforderlich ]} - Risiken beziehen sich auf identifizierte Bedrohungen. Zum Beispiel: die Gefahr, Geld zu verlieren, der Missbrauch von vertraulichen Informationen oder die Gefahr von menschlichen Fehlern, Unfällen und Opfern. Die Bedrohungen können bei verschiedenen Entitäten bestehen, vor allem bei Aktionären, Kunden und gesetzgebenden Körperschaften wie der Regierung.

Wenn eine Quelle oder ein Problem bekannt ist, können die Ereignisse, die eine Quelle auslösen kann, oder die Ereignisse, die zu einem Problem führen können untersucht werden. Zum Beispiel: Stakeholder, die sich während eines Projekts zurückziehen, können die Finanzierung des Projekts gefährden. vertrauliche Informationen können von Mitarbeitern auch innerhalb eines geschlossenen Netzwerks gestohlen werden; Blitzeinschläge während des Starts können zu Unfällen führen.

Die gewählte Methode zur Erkennung von Risiken kann von Kultur, Branchenpraxis und Compliance abhängen. Die Identifikationsmethoden werden durch Vorlagen oder die Entwicklung von Vorlagen zur Identifizierung von Quelle, Problem oder Ereignis gebildet. Übliche Methoden zur Risikoidentifikation sind:

• Zielbasierte Risikoidentifizierung ^{[ Zitat benötigt ]} - Organisationen und Projektteams haben Ziele. Jedes Ereignis, das die teilweise oder vollständige Erreichung eines Ziels gefährden könnte, wird als Risiko identifiziert.


• Szenario-basierte Risikoidentifikation - In der Szenarioanalyse werden unterschiedliche Szenarien erstellt. Die Szenarien können alternative Wege sein, um ein Ziel zu erreichen, oder eine Analyse der Wechselwirkung von Kräften in einem Markt oder einer Schlacht. Jedes Ereignis, das eine unerwünschte Szenario-Alternative auslöst, wird als Risiko identifiziert - siehe Futures-Studien für von Futurists verwendete Methodik.


• Taxonomie-basierte Risikoidentifikation - Die Taxonomie bei der Taxonomie-basierten Risikoidentifikation ist eine Aufschlüsselung möglicher Risikoquellen. Basierend auf der Taxonomie und dem Wissen über bewährte Verfahren wird ein Fragebogen erstellt. Die Antworten auf die Fragen enthüllen Risiken. ^[7]


• Common-Risk-Check ^[8] - In verschiedenen Branchen sind Listen mit bekannten Risiken verfügbar. Jedes Risiko in der Liste kann auf die Anwendung auf eine bestimmte Situation überprüft werden. ^[9]


• Risk charting ^[10] - Diese Methode kombiniert die oben genannten Ansätze durch Auflistung der gefährdeten Ressourcen, Bedrohungen dieser Ressourcen, modifizierende Faktoren, die das Risiko und die Konsequenzen, die vermieden werden sollen, erhöhen oder verringern können. Das Erstellen einer Matrix unter diesen Überschriften ermöglicht verschiedene Ansätze. Man kann mit Ressourcen beginnen und die Bedrohungen, denen sie ausgesetzt sind, sowie deren Folgen berücksichtigen. Alternativ kann man mit den Bedrohungen beginnen und prüfen, welche Ressourcen sie beeinflussen würden, oder man kann mit den Konsequenzen beginnen und bestimmen, welche Kombination von Bedrohungen und Ressourcen dazu führen würde.

Assessment [ edit ]

Sobald Risiken identifiziert wurden, müssen sie auf ihren potenziellen Schweregrad der Auswirkungen (in der Regel negative Auswirkungen wie Schaden oder Verlust) und die Eintrittswahrscheinlichkeit geprüft werden. Diese Größen können entweder einfach zu messen sein, im Fall des Wertes eines verlorenen Gebäudes, oder im Fall eines unwahrscheinlichen Ereignisses, dessen Eintrittswahrscheinlichkeit unbekannt ist, nicht sicher bekannt sein. Daher ist es wichtig, im Assessment-Prozess die bestbewerteten Entscheidungen zu treffen, um die Umsetzung des Risikomanagementplans ordnungsgemäß zu priorisieren.

Auch eine kurzfristig positive Verbesserung kann sich langfristig negativ auswirken. Nehmen Sie das "Turnpike" -Beispiel. Eine Autobahn wird erweitert, um mehr Verkehr zu ermöglichen. Mehr Verkehrskapazität führt zu einer stärkeren Entwicklung in der Umgebung der verbesserten Verkehrskapazität. Im Laufe der Zeit steigt der Verkehr, um die verfügbare Kapazität zu füllen. Turnpikes müssen dabei in scheinbar endlosen Zyklen erweitert werden. Es gibt viele andere technische Beispiele, bei denen die erweiterte Kapazität (für jede Funktion) bald durch eine erhöhte Nachfrage gefüllt wird. Da Expansion Kosten verursacht, könnte das daraus resultierende Wachstum ohne Prognosen und Management unhaltbar werden.

Die grundlegende Schwierigkeit bei der Risikobewertung besteht in der Bestimmung der Häufigkeit des Auftretens, da statistische Informationen zu allen Arten von Vorfällen in der Vergangenheit nicht zur Verfügung stehen und bei katastrophalen Ereignissen nur wegen ihrer seltenen Häufigkeit besonders spärlich sind. Darüber hinaus ist die Bewertung der Schwere der Folgen (Auswirkungen) für immaterielle Vermögenswerte oft sehr schwierig. Die Vermögensbewertung ist eine weitere Frage, die angegangen werden muss. Daher sind best gebildete Meinungen und verfügbare Statistiken die primären Informationsquellen. Dennoch sollte die Risikobewertung den leitenden Angestellten der Organisation solche Informationen liefern, dass die Hauptrisiken leicht verständlich sind und die Risikomanagemententscheidungen innerhalb der Unternehmensziele priorisiert werden können. Daher gab es mehrere Theorien und Versuche, Risiken zu quantifizieren. Es gibt zahlreiche verschiedene Risikoformeln, aber die am weitesten verbreitete Formel für die Risikoquantifizierung lautet: "Die Häufigkeit (oder Wahrscheinlichkeit) des Auftretens multipliziert mit der Auswirkung des Ereignisses entspricht der Risikogröße." ^{[ vage ]}

Risikooptionen [ edit ]

Risikominderungsmaßnahmen werden normalerweise nach einer oder mehreren der folgenden Hauptrisikooptionen formuliert:

1. Entwerfen Sie von Anfang an einen neuen Geschäftsprozess mit angemessenen integrierten Maßnahmen zur Risikokontrolle und Eindämmung.


2. Risiken, die in laufenden Prozessen akzeptiert werden, werden regelmäßig als normales Merkmal des Geschäftsbetriebs neu bewertet und Maßnahmen zur Risikominderung geändert. [19659020] Risiken auf eine externe Stelle (z. B. eine Versicherungsgesellschaft) übertragen


3. Risiken vollständig vermeiden (z. B. durch Schließung eines bestimmten Geschäftsbereichs mit hohem Risiko)

Spätere Untersuchungen ^[11] haben gezeigt, dass der finanzielle Nutzen des Risikomanagements von Nutzen ist Sie sind weniger abhängig von der verwendeten Formel, sind jedoch stärker von der Häufigkeit und der Art der Risikobewertung abhängig.

In der Wirtschaft ist es unabdingbar, die Ergebnisse der Risikobewertung nach finanziellen, markt- oder planmäßigen Bedingungen darstellen zu können. Robert Courtney Jr. (IBM, 1970) schlug eine Formel zur Darstellung von Risiken in finanzieller Hinsicht vor. Die Courtney-Formel wurde als offizielle Risikoanalyse für die US-Regierungsbehörden akzeptiert. Die Formel schlägt die Berechnung der ALE (annualisierte Verlusterwartung) vor und vergleicht den erwarteten Verlustwert mit den Kosten der Sicherheitssteuerungsimplementierung (Kosten-Nutzen-Analyse).

Potenzielle Risikobehandlungen [ edit ]

Nachdem Risiken identifiziert und bewertet wurden, fallen alle Techniken zur Risikobewältigung in eine oder mehrere der vier Hauptkategorien: ^[12]

• Vermeidung (beseitigen, zurückziehen oder sich nicht beteiligen)


• Verringerung (Optimieren - Vermindern)


• Teilen (Übertragen - Auslagern oder Versichern)


• Zurückbehaltung (Akzeptieren und Budget) [19659058] Ein idealer Einsatz dieser Risikokontrollstrategien ist möglicherweise nicht möglich. Einige von ihnen können Kompromisse beinhalten, die für die Organisation oder die Person, die die Risikomanagemententscheidungen trifft, nicht akzeptabel sind. Eine andere Quelle des US-Verteidigungsministeriums (siehe Link), der Defense Acquisition University, nennt diese Kategorien ACAT für Vermeiden, Kontrollieren, Akzeptieren oder Übertragen. Diese Verwendung des ACAT-Akronyms erinnert an ein anderes ACAT (für Akquisitionskategorie), das in Beschaffungen der US-Verteidigungsindustrie verwendet wird, wobei das Risikomanagement eine wichtige Rolle bei der Entscheidungsfindung und Planung spielt.
  
  
  

  Risikovermeidung [ edit ]

  
  

  Dazu gehört, dass Sie keine Tätigkeit ausüben, die ein Risiko birgt. Ein Beispiel wäre der Kauf einer Immobilie oder eines Unternehmens, um die damit verbundene rechtliche Haftung nicht zu übernehmen. Ein anderes wäre, nicht zu fliegen, um nicht das Risiko einzugehen, dass das Flugzeug entführt würde. Vermeiden mag die Antwort auf alle Risiken sein, aber das Vermeiden von Risiken bedeutet auch, den potenziellen Gewinn zu verlieren, den das Akzeptieren (Halten) des Risikos erlaubt hat. Wenn Sie kein Unternehmen betreten, um das Verlustrisiko zu vermeiden, vermeiden Sie auch die Möglichkeit, Gewinne zu erzielen. Die zunehmende Risikoregulierung in Krankenhäusern hat dazu geführt, dass die Behandlung höherer Risikopositionen zugunsten von Patienten mit geringerem Risiko vermieden wird. ^[13]

  
  

  Risikominderung [ edit ]

  
  

  Risikominderung oder "Optimierung" beinhaltet die Verringerung der Schwere des Verlusts oder der Wahrscheinlichkeit, dass der Verlust auftritt. Beispielsweise sind Sprinkler so konstruiert, dass ein Feuer gelöscht wird, um das Risiko eines Brandverlustes zu verringern. Diese Methode kann einen größeren Verlust durch Wasserschäden verursachen und ist daher möglicherweise nicht geeignet. Halon-Feuerlöschsysteme können dieses Risiko mindern, aber die Kosten können als Strategie untragbar sein.
  

  Wenn man erkennt, dass Risiken positiv oder negativ sein können, bedeutet das Optimieren von Risiken ein Gleichgewicht zwischen dem negativen Risiko und dem Nutzen der Operation oder Aktivität. und zwischen Risikoreduzierung und Aufwand. Durch einen Offshore-Bohrunternehmer, der das Management von Gesundheit, Sicherheit und Umwelt (HSE) effektiv in seiner Organisation anwendet, kann er das Risiko optimieren, um ein tolerierbares Restrisiko zu erreichen. ^[14]

  Moderne Softwareentwicklungsmethoden Verringerung des Risikos durch inkrementelle Entwicklung und Bereitstellung von Software. Frühe Methoden litten unter der Tatsache, dass sie Software erst in der Endphase der Entwicklung lieferten. Probleme, die in früheren Phasen auftraten, bedeuteten kostspielige Nacharbeit und gefährdeten oft das gesamte Projekt. Durch die Entwicklung in Iterationen können Softwareprojekte den Aufwand auf eine einzige Iteration beschränken.
  

  Outsourcing könnte ein Beispiel für eine Risikoteilungsstrategie sein, wenn der Outsourcer eine höhere Fähigkeit zum Managen oder Reduzieren von Risiken aufweisen kann. ^[15] Beispielsweise kann ein Unternehmen nur die Softwareentwicklung, die Herstellung von harten Gütern oder den Kundendienstbedarf auslagern zu einem anderen Unternehmen, während die Geschäftsführung selbst abgewickelt wird. Auf diese Weise kann sich das Unternehmen mehr auf die Geschäftsentwicklung konzentrieren, ohne sich um den Herstellungsprozess, das Management des Entwicklungsteams oder die Suche nach einem physischen Standort für ein Zentrum kümmern zu müssen.
  

  
  

  Risikoteilung [ edit ]

  
  

  Kurz definiert als "Teilen einer anderen Partei mit der Verlust- oder Gewinnwirksamkeit, einem Risiko und den Maßnahmen zur Risikominderung. "
  

  Der Begriff "Risikotransfer" wird häufig anstelle von Risikoteilung verwendet, um irrtümlicherweise davon auszugehen, dass Sie ein Risiko durch Versicherung oder Outsourcing auf einen Dritten übertragen können. Wenn in der Praxis die Versicherungsgesellschaft oder der Auftragnehmer in Konkurs gehen oder vor Gericht landen, wird das ursprüngliche Risiko wahrscheinlich immer noch auf die erste Partei übertragen. In der Terminologie von Praktikern und Gelehrten wird der Kauf eines Versicherungsvertrages oft als "Risikotransfer" bezeichnet. Technisch gesehen bleibt der Käufer des Vertrages jedoch in der Regel für die "übertragenen" Verluste verantwortlich, was bedeutet, dass die Versicherung als Ausgleichsmechanismus nach dem Ereignis genauer bezeichnet werden kann. Beispielsweise überträgt eine Personenschadensversicherung das Risiko eines Autounfalls nicht auf die Versicherungsgesellschaft. Das Risiko liegt immer noch beim Versicherungsnehmer, nämlich der Person, die den Unfall hatte. Die Versicherung sieht lediglich vor, dass im Falle eines Unfalls (des Ereignisses), an dem der Versicherungsnehmer beteiligt ist, dem Versicherungsnehmer möglicherweise eine gewisse Entschädigung gezahlt wird, die dem Leiden / Schaden angemessen ist.
  

  Einige Arten des Risikomanagements lassen sich in mehrere Kategorien einteilen. Risikobindungspools halten das Risiko technisch für die Gruppe, aber die Verteilung auf die gesamte Gruppe erfordert den Transfer zwischen den einzelnen Mitgliedern der Gruppe. Dies unterscheidet sich von herkömmlichen Versicherungen dahingehend, dass zwischen den Mitgliedern der Gruppe keine Prämie ausgetauscht wird, sondern der Verlust für alle Mitglieder der Gruppe bewertet wird.
  

  
  

  Risikobindung [ edit ]

  
  

  Risikobindung beinhaltet die Annahme des Verlusts oder Gewinns eines Risikos, wenn der Vorfall eintritt. Echte Selbstversicherung fällt in diese Kategorie. Risikobindung ist eine praktikable Strategie für kleine Risiken, bei denen die Kosten der Versicherung gegen das Risiko mit der Zeit größer wären als die gesamten erlittenen Verluste. Alle Risiken, die nicht gemieden oder übertragen werden, bleiben standardmäßig erhalten. Dazu gehören Risiken, die so groß oder katastrophal sind, dass sie entweder nicht versichert werden können oder die Prämien nicht durchführbar wären. Krieg ist ein Beispiel, da die meisten Güter und Risiken nicht gegen Krieg versichert sind. Der dem Krieg zugefügte Schaden wird also vom Versicherten einbehalten. Beträge des potenziellen Schadens (Risikos) über den versicherten Betrag hinaus sind das zurückbehaltene Risiko. Dies kann auch akzeptabel sein, wenn die Wahrscheinlichkeit eines sehr großen Schadens gering ist oder wenn die Kosten für die Versicherung größerer Deckungsbeträge so hoch sind, dass dies die Ziele der Organisation zu sehr behindern würde.
  

  
  

  Risikomanagementplan [ edit ]

  
  
  

  Wählen Sie geeignete Kontrollen oder Gegenmaßnahmen aus, um jedes Risiko zu mindern. Die Risikominderung muss von der entsprechenden Managementebene genehmigt werden. Ein Risiko für das Image der Organisation sollte beispielsweise die Entscheidung des Top-Managements haben, während das IT-Management befugt wäre, über Computervirenrisiken zu entscheiden.
  

  Der Risikomanagementplan sollte anwendbare und wirksame Sicherheitskontrollen für das Risikomanagement vorschlagen. Beispielsweise könnte ein beobachtetes hohes Risiko für Computerviren durch den Erwerb und die Implementierung von Antivirensoftware gemindert werden. Ein guter Risikomanagementplan sollte einen Zeitplan für die Durchführung der Kontrolle und Verantwortliche für diese Maßnahmen enthalten.
  

  Nach ISO / IEC 27001 besteht die Phase unmittelbar nach Abschluss der Risikobewertungsphase aus der Erstellung eines Risikobehandlungsplans, der die Entscheidungen darüber dokumentieren soll, wie die einzelnen identifizierten Risiken gehandhabt werden sollen. Risikominderung bedeutet häufig die Auswahl von Sicherheitskontrollen, die in einer Anwendbarkeitserklärung dokumentiert werden sollten, aus der hervorgeht, welche besonderen Kontrollziele und - kontrollen aus der
  Standard wurde ausgewählt und warum.
  

  
  

  Implementierung [ edit ]

  
  

  Die Implementierung folgt allen geplanten Methoden zur Minderung der Auswirkung der Risiken. Abschluss von Versicherungspolicen für die Risiken, die auf einen Versicherer übertragen werden sollen, um alle Risiken zu vermeiden, die vermieden werden können, ohne die Ziele des Unternehmens zu opfern, andere reduzieren und den Rest behalten.
  

  
  

  Überprüfung und Bewertung des Plans [ edit ]

  
  

  Erste Risikomanagementpläne werden niemals perfekt sein. Praxis, Erfahrung und tatsächliche Schadensergebnisse werden Änderungen des Plans erforderlich machen und Informationen liefern, um mögliche unterschiedliche Entscheidungen im Umgang mit den Risiken zu ermöglichen.
  

  Die Ergebnisse der Risikoanalyse und die Managementpläne sollten regelmäßig aktualisiert werden. Dafür gibt es zwei Hauptgründe:
  

  
  
  1. um zu bewerten, ob die zuvor ausgewählten Sicherheitskontrollen noch anwendbar und wirksam sind,
  
  
  2. um die möglichen Änderungen des Risikoniveaus im Geschäftsumfeld zu bewerten. Informationsrisiken stellen beispielsweise ein gutes Beispiel für ein sich schnell änderndes Geschäftsumfeld dar.

  Einschränkungen [ edit ]

  
  

  Eine zu hohe Priorisierung der Risikomanagementprozesse könnte dies verhindern Organisation von einem Projekt abschließen oder sogar anfangen. Dies gilt insbesondere, wenn andere Arbeiten ausgesetzt werden, bis der Risikomanagementprozess als abgeschlossen gilt.
  

  Es ist auch wichtig, die Unterscheidung zwischen Risiko und Ungewissheit zu berücksichtigen. Das Risiko kann anhand der Auswirkungen × Wahrscheinlichkeit gemessen werden.
  

  Wenn Risiken falsch beurteilt und priorisiert werden, kann Zeit für den Umgang mit dem Risiko von Verlusten verschwendet werden, die wahrscheinlich nicht auftreten. Zu viel Zeit für die Beurteilung und Bewältigung unwahrscheinlicher Risiken kann Ressourcen umleiten, die profitabler eingesetzt werden könnten. Es treten unwahrscheinliche Ereignisse auf, aber wenn das Risiko unwahrscheinlich genug ist, kann es besser sein, das Risiko einfach beizubehalten und mit dem Ergebnis umzugehen, falls der Verlust tatsächlich eintritt. Die qualitative Risikobewertung ist subjektiv und nicht konsistent. Die primäre Begründung für einen formalen Risikobewertungsprozess ist rechtlich und bürokratisch.
  

  
  
  

  In der Unternehmensfinanzierung ist Risikomanagement das Verfahren zum Messen, Überwachen und Steuern des finanziellen oder operationellen Risikos in der Bilanz eines Unternehmens. Eine traditionelle Maßnahme ist der Value-at-Risk (VaR) Dort gibt es auch andere Maßnahmen wie Profit at Risk (PaR) oder Margin at Risk. Das Basel-II-Rahmensystem unterteilt die Risiken in Marktrisiken (Preisrisiken), Kreditrisiken und operationelle Risiken und legt für jede dieser Komponenten Methoden zur Berechnung des Kapitalbedarfs fest.
  

  In der Informationstechnologie umfasst das Risikomanagement "Incident Handling", einen Aktionsplan für den Umgang mit Eindringlingen, Cyberdiebstahl, Denial-of-Service, Feuer, Überschwemmungen und anderen sicherheitsrelevanten Ereignissen. Nach Angaben des SANS-Instituts ^[16] handelt es sich um einen sechsstufigen Prozess: Vorbereitung, Identifizierung, Eindämmung, Ausrottung, Wiederherstellung und Lessons Learned.
  

  
  

  Enterprise [ edit ]

  
  
  

  Unter Enterprise Risk Management wird ein Risiko als ein mögliches Ereignis oder Umstand definiert, der das betreffende Unternehmen negativ beeinflussen kann. Die Auswirkungen können sich auf die Existenz, die Ressourcen (Personal und Kapital), die Produkte und Dienstleistungen oder die Kunden des Unternehmens sowie auf die externen Auswirkungen auf die Gesellschaft, Märkte oder die Umwelt auswirken. In einem Finanzinstitut wird für das Risikomanagement von Unternehmen normalerweise die Kombination aus Kreditrisiko, Zinsänderungsrisiko oder Asset Liability Management, Liquiditätsrisiko, Marktrisiko und operationellem Risiko verstanden.
  

  Im allgemeineren Fall kann jedes wahrscheinliche Risiko einen vorformulierten Plan haben, um mit den möglichen Folgen umzugehen (um eine Notfallmöglichkeit zu gewährleisten, falls das Risiko eine Haftung wird ).
  

  Aus den obigen Informationen und den durchschnittlichen Kosten pro Mitarbeiter über einen bestimmten Zeitraum oder der Cost-Accrual-Quote kann ein Projektmanager Folgendes abschätzen:
  

  
  
  • die Kosten, die mit dem Risiko verbunden sind, wenn sie entstehen, geschätzt durch Multiplikation der Personalkosten pro Zeiteinheit mit der geschätzten Zeit (19459010) Kostenwirkung C wobei C = Kosten Accrual Ratio * S ).
  
  
  • die wahrscheinliche Zunahme der Zeit, die mit einem Risiko verbunden ist ( Zeitplanabweichung aufgrund von Risiko Rs wobei Rs = P * S):
    
    • Die Sortierung nach diesem Wert stellt die höchsten Risiken für den Zeitplan an erster Stelle. Damit sollen zunächst die größten Risiken für das Projekt angestrebt werden, um das Risiko so schnell wie möglich zu minimieren.
    
    
    • Dies ist etwas irreführend, da Planabweichungen mit einem großen P und einem kleinen S und einem Laster umgekehrt sind nicht gleichwertig. (Das Risiko, dass der RMS Titanic gegenüber den Mahlzeiten der Passagiere etwas zur falschen Zeit serviert wurde.)
  
  
  • der wahrscheinliche Kostenanstieg, der mit einem Risiko verbunden ist ( Kostenabweichung aufgrund von Risiken Rc wobei Rc = P * C = P * CAR * S = P * S * CAR)
    
    • Die Sortierung nach diesem Wert stellt zuerst die höchsten Risiken für das Budget dar.
    
    
    • siehe Bedenken bezüglich der -Planungsvarianz da dies eine Funktion davon ist, wie in der obigen Gleichung veranschaulicht.
    ]

  Das Risiko in einem Projekt oder Prozess kann entweder auf spezielle Ursachen oder auf häufige Ursachen zurückzuführen sein und erfordert eine angemessene Behandlung. Das heißt, die Besorgnis, dass Extremfälle in der unmittelbar darüber liegenden Liste nicht gleichwertig sind, wiederholen.
  

  
  

  Unternehmenssicherheit [ edit ]

  
  

  ESRM ist ein Ansatz für das Management von Sicherheitsprogrammen, bei dem Sicherheitsaktivitäten über Risikomanagementmethoden mit den Aufgaben und Unternehmenszielen eines Unternehmens verknüpft werden. Die Rolle des Sicherheitsführers bei ESRM besteht darin, das Risiko von Schäden an Unternehmensressourcen in Partnerschaft mit den Unternehmensführern zu managen, deren Vermögenswerte diesen Risiken ausgesetzt sind. ESRM umfasst die Aufklärung von Führungskräften über die realistischen Auswirkungen identifizierter Risiken, die Darlegung potenzieller Strategien zur Minderung dieser Auswirkungen und die Umsetzung der vom Unternehmen gewählten Option im Einklang mit dem akzeptierten Maß an Geschäftsrisikotoleranz ^[17]

  
  

  Medizinprodukt [ edit ]

  
  

  Bei Medizinprodukten ist Risikomanagement ein Prozess zur Erkennung, Bewertung und Minderung von Risiken, die mit Personen- und Sachschaden oder mit der Umwelt verbunden sind. Das Risikomanagement ist ein wesentlicher Bestandteil der Entwicklung und Entwicklung von Medizinprodukten, der Produktionsprozesse und der Bewertung der Praxiserfahrung. Es ist auf alle Arten von Medizinprodukten anwendbar. Der Nachweis seiner Anwendung wird von den meisten Aufsichtsbehörden wie der US-amerikanischen FDA verlangt. Das Risikomanagement für Medizinprodukte wird von der Internationalen Organisation für Normung (ISO) in ISO 14971: 2007, Medizinprodukte - Die Anwendung des Risikomanagements auf Medizinprodukte, ein Produktsicherheitsstandard, beschrieben. Der Standard bietet ein Prozessgerüst und damit verbundene Anforderungen an die Verantwortlichkeiten des Managements, die Risikoanalyse und -bewertung, die Risikokontrolle und das Lebenszyklus-Risikomanagement.
  

  Die europäische Version des Risikomanagementstandards wurde 2009 und 2012 erneut aktualisiert, um auf die Richtlinie über Medizinprodukte (MDD) und die Richtlinie über aktive implantierbare Medizinprodukte (AIMDD) von 2007 sowie das In-Vitro-Medizinprodukt zu verweisen Richtlinie (IVDD). Die Anforderungen der EN 14971: 2012 sind nahezu identisch mit der ISO 14971: 2007. Die Unterschiede umfassen drei "(informative)" Z-Anhänge, die sich auf die neuen MDD, AIMDD und IVDD beziehen. Diese Anhänge weisen auf inhaltliche Abweichungen hin, zu denen das Erfordernis der Risikominimierung so weit wie möglich und das Erfordernis der Risikominimierung durch das Design und nicht durch die Kennzeichnung des Medizinprodukts gehören (dh die Kennzeichnung kann nicht mehr sein) zur Minderung des Risikos).
  

  Typische Risikoanalyse- und -bewertungstechniken, die in der Medizintechnikbranche angewendet werden, umfassen die Gefahrenanalyse, Fehlerbaumanalyse (FTA), Fehlermöglichkeits- und Auswirkungsanalyse (FMEA), Gefahren- und Durchführbarkeitsstudie (HAZOP) sowie Risiko-Rückverfolgbarkeitsanalysen zur Risikoabsicherung Kontrollen sind implementiert und wirksam (dh Verfolgung von Risiken, die bei Produktanforderungen, Designspezifikationen, Verifikations- und Validierungsergebnissen usw. festgestellt wurden). Die FTA-Analyse erfordert Diagrammsoftware. Die FMEA-Analyse kann mit einem Tabellenkalkulationsprogramm durchgeführt werden. Es gibt auch integrierte Risikomanagementlösungen für medizinische Geräte.
  

  Durch einen Entwurf einer Anleitung hat die FDA eine weitere Methode namens "Safety Assurance Case" für die Sicherheitsanalyse von Medizinprodukten eingeführt. Die Sicherheitsüberprüfung ist eine strukturierte Argumentation für Systeme, die für Wissenschaftler und Ingenieure geeignet sind, und wird durch ein Beweismaterial untermauert, das einen überzeugenden, verständlichen und stichhaltigen Fall liefert, dass ein System für eine bestimmte Anwendung in einer gegebenen Umgebung sicher ist. With the guidance, a safety assurance case is expected for safety critical devices (e.g. infusion devices) as part of the pre-market clearance submission, e.g. 510(k). In 2013, the FDA introduced another draft guidance expecting medical device manufacturers to submit cybersecurity risk analysis information.
  

  
  

  Project management[edit]

  
  
  

  Project risk management must be considered at the different phases of acquisition. In the beginning of a project, the advancement of technical developments, or threats presented by a competitor's projects, may cause a risk or threat assessment and subsequent evaluation of alternatives (see Analysis of Alternatives). Once a decision is made, and the project begun, more familiar project management applications can be used:^[18][19][20]

  
  
  

  An example of the Risk Register for a project that includes 4 steps: Identify, Analyze, Plan Response, Monitor and Control.^[21]
  
  
  • Planning how risk will be managed in the particular project. Plans should include risk management tasks, responsibilities, activities and budget.
  
  
  • Assigning a risk officer – a team member other than a project manager who is responsible for foreseeing potential project problems. Typical characteristic of risk officer is a healthy skepticism.
  
  
  • Maintaining live project risk database. Each risk should have the following attributes: opening date, title, short description, probability and importance. Optionally a risk may have an assigned person responsible for its resolution and a date by which the risk must be resolved.
  
  
  • Creating anonymous risk reporting channel. Each team member should have the possibility to report risks that he/she foresees in the project.
  
  
  • Preparing mitigation plans for risks that are chosen to be mitigated. The purpose of the mitigation plan is to describe how this particular risk will be handled – what, when, by whom and how will it be done to avoid it or minimize consequences if it becomes a liability.
  
  
  • Summarizing planned and faced risks, effectiveness of mitigation activities, and effort spent for the risk management.

  Megaprojects (infrastructure)[edit]

  
  

  Megaprojects (sometimes also called "major programs") are large-scale investment projects, typically costing more than $1 billion per project. Megaprojects include major bridges, tunnels, highways, railways, airports, seaports, power plants, dams, wastewater projects, coastal flood protection schemes, oil and natural gas extraction projects, public buildings, information technology systems, aerospace projects, and defense systems. Megaprojects have been shown to be particularly risky in terms of finance, safety, and social and environmental impacts.^[22] Risk management is therefore particularly pertinent for megaprojects and special methods and special education have been developed for such risk management.^[23]

  
  

  Natural disasters[edit]

  
  

  It is important to assess risk in regard to natural disasters like floods, earthquakes, and so on. Outcomes of natural disaster risk assessment are valuable when considering future repair costs, business interruption losses and other downtime, effects on the environment, insurance costs, and the proposed costs of reducing the risk.^[24][25] The Sendai Framework for Disaster Risk Reduction is a 2015 international accord that has set goals and targets for disaster risk reduction in response to natural disasters.^[26] There are regular International Disaster and Risk Conferences in Davos to deal with integral risk management.
  

  
  

  Wilderness[edit]

  
  

  The management of risks to persons and property in wilderness and remote natural areas has developed with increases in outdoor recreation participation and decreased social tolerance for loss. Organizations providing commercial wilderness experiences can now align with national and international consensus standards for training and equipment such as ANSI/NASBLA 101-2017 (boating)^[27]UIAA 152 (ice climbing tools)^[28]and European Norm 13089:2015 + A1:2015 (mountaineering equipment)^[29][30]. The Association for Experiential Education offers accreditation for wilderness adventure programs^[31]. The Wilderness Risk Management Conference provides access to best practices, and specialist organizations provide wilderness risk management consulting and training^{[32][33][34][35]}.
  

  
  

  Information technology[edit]

  
  
  

  IT risk is a risk related to information technology. This is a relatively new term due to an increasing awareness that information security is simply one facet of a multitude of risks that are relevant to IT and the real world processes it supports.
  

  ISACA's Risk IT framework ties IT risk to enterprise risk management.
  

  Duty of Care Risk Analysis (DoCRA)^[36] evaluates risks and their safeguards and considers the interests of all parties potentially affected by those risks.
  

  CIS RAM provides a method to design and evaluate the implementation of the CIS Controls™.
  

  
  

  Petroleum and natural gas[edit]

  
  

  For the offshore oil and gas industry, operational risk management is regulated by the safety case regime in many countries. Hazard identification and risk assessment tools and techniques are described in the international standard ISO 17776:2000, and organisations such as the IADC (International Association of Drilling Contractors) publish guidelines for Health, Safety and Environment (HSE) Case development which are based on the ISO standard. Further, diagrammatic representations of hazardous events are often expected by governmental regulators as part of risk management in safety case submissions; these are known as bow-tie diagrams (see Network theory in risk assessment). The technique is also used by organisations and regulators in mining, aviation, health, defence, industrial and finance.
  

  
  

  Pharmaceutical sector[edit]

  
  

  The principles and tools for quality risk management are increasingly being applied to different aspects of pharmaceutical quality systems. These aspects include development, manufacturing, distribution, inspection, and submission/review processes throughout the lifecycle of drug substances, drug products, biological and biotechnological products (including the use of raw materials, solvents, excipients, packaging and labeling materials in drug products, biological and biotechnological products). Risk management is also applied to the assessment of microbiological contamination in relation to pharmaceutical products and cleanroom manufacturing environments.^[37]

  
  

  Risk communication[edit]

  
  

  Risk communication is a complex cross-disciplinary academic field related to core values of the targeted audiences.^[38][39] Problems for risk communicators involve how to reach the intended audience, how to make the risk comprehensible and relatable to other risks, how to pay appropriate respect to the audience's values related to the risk, how to predict the audience's response to the communication, etc. A main goal of risk communication is to improve collective and individual decision making. Risk communication is somewhat related to crisis communication. Some experts coincide that risk is not only enrooted in the communication process but also it cannot be dissociated from the use of language. Though each culture develops its own fears and risks, these construes apply only by the hosting culture.
  

  
  

  See also[edit]

  
  

  References[edit]

  
  
  
  

  1. ^ ^{a b} Hubbard, Douglas (2009). The Failure of Risk Management: Why It's Broken and How to Fix It. John Wiley & Sons. p. 46.
     
  
  
  2. ^ ^{a b} ISO/IEC Guide 73:2009 (2009). Risk management — Vocabulary. International Organization for Standardization.
     
  
  
  3. ^ ^{a b} ISO/DIS 31000 (2009). Risk management — Principles and guidelines on implementation. International Organization for Standardization.
     
  
  
  4. ^ Flyvbjerg, Bent & Budzier, Alexander (2011). "Why Your IT Project May Be Riskier Than You Think". Harvard Business Review. 89 (9): 601–603.
     
  
  
  5. ^ "Committee Draft of ISO 31000 Risk management" (PDF). International Organization for Standardization. 2007-06-15. Archived from the original (PDF) on 2009-03-25.
     
  
  
  6. ^ "Risk Identification" (PDF). Comunidad de Madrid. p. 3.
     
  
  
  7. ^ CMU/SEI-93-TR-6 Taxonomy-based risk identification in software industry. Sei.cmu.edu. Retrieved on 2012-04-17.
     
  
  
  8. ^ "Risk Management Systems Checklist (Common Items)" (PDF). www.fsa.go.jpn.
     
  
  
  9. ^ Common Vulnerability and Exposures list. Cve.mitre.org. Retrieved on 2012-04-17.
     
  
  
  10. ^ Crockford, Neil (1986). An Introduction to Risk Management (2 ed.). Cambridge, UK: Woodhead-Faulkner. p. 18. ISBN 0-85941-332-2.
      
  
  
  11. ^ "CRISC Exam Questions". Retrieved 23 Feb 2018.
      
  
  
  12. ^ Dorfman, Mark S. (2007). Introduction to Risk Management and Insurance (9 ed.). Englewood Cliffs, N.J: Prentice Hall. ISBN 0-13-224227-3.
      
  
  
  13. ^ McGivern, Gerry; Fischer, Michael D. (1. Februar 2012). "Reactivity and reactions to regulatory transparency in medicine, psychotherapy and counseling" (PDF). Social Science & Medicine. 74 (3): 289–296. Doi: 10.1016 / j.socscimed.2011.09.035. PMID 22104085.
      
  
  
  14. ^ IADC HSE Case Guidelines for Mobile Offshore Drilling Units 3.2, section 4.7
      
  
  
  15. ^ Roehrig, P (2006). "Bet On Governance To Manage Outsourcing Risk". Business Trends Quarterly.
      
  
  
  16. ^ SANS Glossary of Security Terms Retrieved on 2016-11-13
      
  
  
  17. ^ ASIS https://www.asisonline.org/publications--resources/news/blog/esrm-an-enduring-security-risk-model/
      
  
  
  18. ^ Lev Virine and Michael Trumper. Project Decisions: The Art and Science. (2007). Management Concepts. Vienna. VA. ISBN 978-1-56726-217-9
      
  
  
  19. ^ Lev Virine and Michael Trumper. ProjectThink: Why Good Managers Make Poor Project Choices. Gower Pub Co. ISBN 978-1409454984
      
  
  
  20. ^ Peter Simon and David Hillson, Practical Risk Management: The ATOM Methodology (2012). Management Concepts. Vienna, VA. ISBN 978-1567263664
      
  
  
  21. ^ Kokcharov I. What Is Risk Management? http://www.slideshare.net/igorkokcharov/what-is-project-risk-management
      
  
  
  22. ^ Flyvbjerg, Bent (2003). Megaprojects and Risk: An Anatomy of Ambition. Cambridge University Press. ISBN 0521804205.
      
  
  
  23. ^ Oxford BT Centre for Major Programme Management
      
  
  
  24. ^ Berman, Alan. Constructing a Successful Business Continuity Plan. Business Insurance MagazineMarch 9, 2015. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
      
  
  
  25. ^ Craig Taylor; Erik VanMarcke, eds. (2002). Acceptable Risk Processes: Lifelines and Natural Hazards. Reston, VA: ASCE, TCLEE. ISBN 9780784406236. Archived from the original on 2013-12-03.
      
  
  
  26. ^ Rowling, Megan (2015-03-18). "New global disaster plan sets targets to curb risk, losses | Reuters". Reuters. Retrieved 2016-01-13.
      
  
  
  27. ^ "American National Standard ANSI/NASBLA 101-2017: Basic Boating Knowledge--Human Propelled" (PDF). Retrieved 2018-11-01.
      
  
  
  28. ^ "UIAA Standard 152: Ice Tools" (PDF). Retrieved 2018-11-01.
      
  
  
  29. ^ "EN 13089 Mountaineering equipment - Ice-tools - Safety requirements and test methods (includes Amendment A1:2015)". Retrieved 2018-11-01.
      
  
  
  30. ^ "Irish Standard I.S.EN 13089:2011+A1:2015 Mountaineering equipment - Ice-tools - Safety requirements and test methods" (PDF). Retrieved 2018-11-01.
      
  
  
  31. ^ "Association for Experiential Education". Retrieved 2018-11-01.
      
  
  
  32. ^ "NOLS Risk Services". Retrieved 2018-11-01.
      
  
  
  33. ^ "Outdoor Safety Institute". Retrieved 2018-11-01.
      
  
  
  34. ^ "Viristar". Retrieved 2018-11-01.
      
  
  
  35. ^ "Adventure Risk Management". Retrieved 2018-11-01.
      
  
  
  36. ^ "Duty of Care Risk Analysis Standard (DoCRA)". DoCRA.
      
  
  
  37. ^ Saghee M, Sandle T, Tidswell E (editors) (2011). Microbiology and Sterility Assurance in Pharmaceuticals and Medical Devices (1st ed.). Business Horizons. ISBN 978-8190646741.CS1 maint: Multiple names: authors list (link) CS1 maint: Extra text: authors list (link)
      
  
  
  38. ^ Risk Communication Primer—Tools and Techniques. Navy and Marine Corps Public Health Center
      
  
  
  39. ^ Understanding Risk Communication Theory: A Guide for Emergency Managers and Communicators. Report to Human Factors/Behavioral Sciences Division, Science and Technology Directorate, U.S. Department of Homeland Security (May 2012)
      
  
  
  
  
  

  External links[edit]