risikomanagement - amz-sachsen.de · kategorie risikofeld risikobezeichnung relevanz märkte...
TRANSCRIPT
1Die beste Empfehlung. Funk.
Risikomanagement
in der Automobilzuliefer-Praxis
Hendrik F. LöfflerFunk RMCE GmbH
Friedrichshafen| 07. Juni 2016
Nadine Sopart
Funk Risk Consulting GmbH
Dresden | 24. November 2016
2Die beste Empfehlung. Funk.
Agenda
1 Vorstellung Funk Risk Consulting GmbH
2 Risikomanagement in der Automobilzuliefererindustrie
3 Ansatz zur praxisorientierten Umsetzung
4 Erfolgsfaktoren und Stolpersteine
3Die beste Empfehlung. Funk.
Agenda
1 Vorstellung Funk Risk Consulting GmbH
2 Risikomanagement in der Automobilzuliefererindustrie
3 Ansatz zur praxisorientierten Umsetzung
4 Erfolgsfaktoren und Stolpersteine
4Die beste Empfehlung. Funk.
FUNK – Das Systemhaus für Risikolösungen
› Größter inhabergeführter, internationaler Versicherungsmakler und Risk Consultant in Deutschland
und eines der führenden Maklerhäuser in Europa
› 1879 in Berlin gegründet
› Familienunternehmen
in fünfter Unternehmer-Generation
› 1.100 Mitarbeiter in Europa
an 32 Standorten
5Die beste Empfehlung. Funk.
Funk Risk Consulting GmbH
Ein Unternehmen von Funk
› Seit über 15 Jahren als Berater und Coach
im betriebswirtschaftlichen Risikomanagement
› Projekte bei mehr als 400 Unternehmen
› Angewandte Methodiken und Softwarelösungen
technologieführend
› Aufbau von praxisfähigen Risikomanagement-Systeme
› Ausbau / Optimierung vorhandener Systeme
6Die beste Empfehlung. Funk.
Funk Risk Consulting Leistungen
Betriebswirtschaftliches Risikomanagement Ganzheitliches Risikomanagement (mit RIMIKS) Betriebsunterbrechungs-Analyse (mit EVIDENCE)
Aktuelle Themen Cyber-Risiken Optimierung der Risikokosten Business Continuity Management Risikoadjustierte Steuerung von Projekten (Studie)
Veranstaltungen Arbeitskreise (Automobilzulieferer, Ernährung, Energiewirtschaft) Seminare Webinare Sondervorträge
7Die beste Empfehlung. Funk.
Agenda
1 Vorstellung Funk Risk Consulting GmbH
2 Risikomanagement in der Automobilzuliefererindustrie
3 Ansatz zur praxisorientierten Umsetzung
4 Erfolgsfaktoren und Stolpersteine
8FUNK RMCE Ι Competence & Excellence in Risk Consulting
Gibt es in Ihrem Unternehmen ein praxiserprobtes
Risiko- und Compliancemanagement?
Ca. 60% haben noch gar kein System
Ca. 75% haben noch kein Compliancemanagement
Kein System44 %
In Einführung13 %
NurCompliance-management
6 %
Nur Risiko-management
19 %
Intergriertes Risiko- und
Compliance-management
19 %
9Die beste Empfehlung. Funk. 9
In welcher Abteilung ist die Umsetzungsverantwortung
0%
20%
40%
60%
80%
100%
120%
Geschäftsführung Andere Abteilungen
29%
71%
63%
38%
13%
88%
14%
86%
0%
100%
43%
57%
Risiko-Management
Compliance-Managementsystem
Internes Kontrollsystem
Interne Revision
EHS (Umweltmanagement, Arbeitssicherheit, Safety)
Business Continuity Management
• In nur 29% der Unternehmen
ist das Risikomanagement im
Rahmen der Umsetzungs-
verantwortung in der
Geschäftsführung angesiedelt.
• Hieraus können sich
Haftungsrisiken für das
Management ergeben.
10Die beste Empfehlung. Funk. 10
In welcher Form werden die Erkenntnisse in den Kontext
der Unternehmenssteuerung gestellt?
72%
63%
23%
3% 4%
Die Erkenntnisse fließen quantitativ in die Unternehmnungsplanung mit ein
Die Erkenntnisse fließen qualitativ in die Unternehmnungsplanung mit ein
Die Erkenntnisse werden qualitativ nur in der Fachabteilung berücksichtigt
Die Erkenntnisse werden kaum berücksichtigt
Keine Angabe
• Die Mehrheit der Unternehmen
bewertet die Erkenntnisse
quantitativ und stellt die
gewonnenen Informationen damit
in den Kontext der
Unternehmensplanung.
• Im Vergleich zu allen Branchen
(38%) sind 72% ein sehr hoher
Wert und zeigt, dass
Automobilzulieferer verstärkt
wertorientiert agieren und in der
Entwicklung ihrer Systeme weiter
fortgeschritten sind als andere
Branchen.
11Die beste Empfehlung. Funk.
12Die beste Empfehlung. Funk.
Wie hoch schätzen Sie die Gefahr für Ihr Unternehmen, dass
eines der nachfolgenden Szenarien eintritt?*
*Quelle: Studie zum Stand der gegenwärtigen Wahrnehmung von Cyberrisiken in deutschen Unternehmen (Funk-Gruppe)
6%
4%
21%
11%
22%
16%
24%
49%
32%
47%
22%
33%
22%
6%
19%
7%
2%
5%
3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Gefährdung durch mobile Endgeräte der Mitarbeiter
Intern bedingte Störung/Gefährdung
Computerbetrug / Erpressung
Datendiebstahl / Wirtschaftsspionage
Gezielter Cyberangriff
Sehr gering Eher gering Mittel Eher hoch Sehr hoch
78%
72%
13Die beste Empfehlung. Funk.
Hat Ihr Unternehmen bereits eine Bewertung eines
möglichen Schadenausmaßes nach einer Datenmanipulation
durchgeführt?
Ja6 %
Nein56 %
Weiß ich nicht38 %
„Die IT-Abteilung ist hierzu nicht eigenständig in
der Lage. Hier sind bereichsübergreifende Ansätze
gefragt.“
14Die beste Empfehlung. Funk.
Bitte bewerten Sie die nachstehend genannten möglichen
Konsequenzen eines Cyberrisikos/-angriffs im Hinblick auf die
Bedeutung für Ihr Unternehmen.*
8%
4%
18%
6%
23%
19%
8%
26%
26%
43%
27%
35%
38%
31%
28%
22%
27%
8%
15%
15%
3%
6%
1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Beeinträchtigung von Image / Reputation
Missbrauch / Verlust von Kundendaten
Monetäre Verluste durch Computerbetrug / Erpressung
Verletzung von Betriebsgeheimnissen Dritter / Haftungssituationen
Verlust von Intellectual Property
Schädigung physischer Güter
Geschäfts- / Betriebsunterbrechung
Sehr gering Eher gering Mittel Eher hoch Sehr hoch
*Quelle: Studie zum Stand der gegenwärtigen Wahrnehmung von Cyberrisiken in deutschen Unternehmen (Funk-Gruppe)
62%
67%
70%
66%
15Die beste Empfehlung. Funk.
Agenda
1 Vorstellung Funk Risk Consulting GmbH
2 Risikomanagement in der Automobilzuliefererindustrie
3 Ansatz zur praxisorientierten Umsetzung
4 Erfolgsfaktoren und Stolpersteine
16Die beste Empfehlung. Funk.
Risikomanagement-Prozess
Spezifikation
Spezifikation› Zusammenfassung der Anforderungen
› Sichtung vorhandener Dokumente
› Befragung und Prüfung der
Schnittstellen
› Aufbau der Organisationsstruktur
Risikoidentifikation
› Aufbau der Risikofelder
› Definition der relevanten Risiken
› Bestimmung der Risikoverantwortlichen
Risikobewertung
› Qualitative und quantitative Bewertung
der Risiken
› Bewertung bspw. mittels
Dreiecksverteilung
Risikobewältigung
› Erstellung eines Chancen-Risiko-
Profils
› Ableiten des relevanten Handlungs-
bedarfes
› Definition des Risikobewältigungs-
Mix
Risikoaggregation
› Darstellung der Gesamtrisikoposition des
Unternehmens durch Aufzeigen der
Auswirkungen aller identifizierten Risiken
› Abgleich mit der Risikotragfähigkeit
17Die beste Empfehlung. Funk.
Risikomanagement-Prozess
Spezifikation
Spezifikation› Zusammenfassung der Anforderungen
› Sichtung vorhandener Dokumente
› Befragung und Prüfung der
Schnittstellen
› Aufbau der Organisationsstruktur
Risikoidentifikation
› Aufbau der Risikofelder
› Definition der relevanten Risiken
› Bestimmung der Risikoverantwortlichen
Risikobewertung
› Qualitative und quantitative Bewertung
der Risiken
› Bewertung bspw. mittels
Dreiecksverteilung
Risikobewältigung
› Erstellung eines Chancen-Risiko-
Profils
› Ableiten des relevanten Handlungs-
bedarfes
› Definition des Risikobewältigungs-
Mix
Risikoaggregation
› Darstellung der Gesamtrisikoposition des
Unternehmens durch Aufzeigen der
Auswirkungen aller identifizierten Risiken
› Abgleich mit der Risikotragfähigkeit
18Die beste Empfehlung. Funk.
Spezifikation: Konzeptionsworkshop
› Festlegen der Projektziele
› Erstellung eines gemeinsamen Projektplans (Ressourcen, Zeit und Meilensteine)
› Projektvorbereitung: Dokumente zur Risikosituation
› Geschäftsbericht
› Organigramm
› bereits vorhandene Unterlagen zum Risikomanagement
› QM-Prozessbeschreibungen
19Die beste Empfehlung. Funk.
Risikomanagement-Prozess
Risikoidentifikation
Spezifikation
› Zusammenfassung der Anforderungen
› Sichtung vorhandener Dokumente
› Befragung und Prüfung der
Schnittstellen
› Aufbau der Organisationsstruktur
Risikoidentifikation› Aufbau der Risikofelder
› Definition der relevanten Risiken
› Bestimmung der Risikoverantwortlichen
Risikobewertung
› Qualitative und quantitative Bewertung
der Risiken
› Bewertung bspw. mittels
Dreiecksverteilung
Risikobewältigung
› Erstellung eines Chancen-Risiko-
Profils
› Ableiten des relevanten Handlungs-
bedarfes
› Definition des Risikobewältigungs-
Mix
Risikoaggregation
› Darstellung der Gesamtrisikoposition des
Unternehmens durch Aufzeigen der
Auswirkungen aller identifizierten Risiken
› Abgleich mit der Risikotragfähigkeit
20Die beste Empfehlung. Funk.
Aufbau exemplarischer Risikofelder (Struktur)
› Strukturierung und Clusterung von
Risiken
› Risikofelder und -bezeichnungen
Individuell abänderbar
› Die einzelnen Felder sollten
unterschiedlichen Personen zugeordnet
werden
21Die beste Empfehlung. Funk.
Risikoidentifikation – Methoden
› Einsatz von Risikochecklisten
› Interdisziplinäre Risikoworkshops
› Durchführung von Einzelinterviews
› Einsatz externer Berater
› Nutzung von Vorlagen (z. B. fertige
Textbausteine zur Risikobeschreibung)
› Brainstorming
22Die beste Empfehlung. Funk.
Risikoidentifikation – einfaches Inventar
Kategorie Risikofeld Risikobezeichnung Relevanz
Märkte Marktattraktivität und Wettbewerbskräfte Risiken aus hoher Wettbewerbsintensität 5
Märkte Marktattraktivität und Wettbewerbskräfte Wettbewerbskonzentration, Konsolidierung von Wettbewerbern 4
Märkte Absatzmengen, -preise Ungünstige Absatzentwicklung (längerfristiger Trend) 4
Strategie Geschäftsfeldstruktur, Geschäftsbereiche,
Bereichsentwicklung
Abhängigkeit von einzelnen Geschäftsbereichen
(Märkten oder Produktgruppen)
3
Strategie Geschäftsfeldstruktur, Geschäftsbereiche,
Bereichsentwicklung
Nichterreichen der kritischen wirtschaftlichen Größe
(Markt- oder Produktsegmente, Größen- und Verbundvorteile)
3
Märkte Marktattraktivität und Wettbewerbskräfte Hohe Konjunkturempfindlichkeit, konjunkturelle Schwäche,
ungünstige konjunkturelle Entwicklung
3
Märkte Marktattraktivität und Wettbewerbskräfte Große Preisempfindlichkeit („Elastizität”) der Nachfrage 2
Märkte Markt- und Wettbewerbsposition Ungünstige Marktposition bzw. geringer Marktanteil 2
Märkte Absatzmengen, -preise Absatzmengenschwankungen, -entwicklung 2
Märkte Absatzmengen, -preise Absatzpreisschwankungen, -entwicklung 2
Märkte Kundenstruktur Unzureichende Wirtschaftlichkeit von Kundengruppen, unzureichende
Profitabilität
1
Märkte Beschaffungsmarkt Materialkosten(preis)schwankungen 1
23Die beste Empfehlung. Funk.
Einzelrisikobetrachtung
› Zuordnung der Verantwortlichkeit
› Risikobeschreibung
› Risikobewertung
› Frühwarnindikatoren
› Definition und Steuerung von Gegenmaßnahmen (Brutto/Netto)
› Korrelationen mit anderen Risiken
› Passende Maßnahmen
24Die beste Empfehlung. Funk.
Risikomanagement-Prozess
Risikobewertung
Spezifikation
› Zusammenfassung der Anforderungen
› Sichtung vorhandener Dokumente
› Befragung und Prüfung der
Schnittstellen
› Aufbau der Organisationsstruktur
Risikoidentifikation
› Aufbau der Risikofelder
› Definition der relevanten Risiken
› Bestimmung der Risikoverantwortlichen
Risikobewertung› Qualitative und quantitative Bewertung
der Risiken
› Bewertung bspw. mittels
Dreiecksverteilung
Risikobewältigung
› Erstellung eines Chancen-Risiko-
Profils
› Ableiten des relevanten Handlungs-
bedarfes
› Definition des Risikobewältigungs-
Mix
Risikoaggregation
› Darstellung der Gesamtrisikoposition des
Unternehmens durch Aufzeigen der
Auswirkungen aller identifizierten Risiken
› Abgleich mit der Risikotragfähigkeit
25Die beste Empfehlung. Funk.
Relevanzskala – eine qualitative Einschätzung
Zur Komplexitätsreduzierung
Relevanz Abweichung vom operativen Betriebsergebnis
Ausprägung
in % in T€
von bis von bis
1 0 10 % 0 300Unbedeutende Risiken, die kaum spürbare Abweichungen vom operativen Betriebsergebnis verursachen
2 10 % 30 % 300 900Mittlere Risiken, die spürbare Abweichungen vom operativen Betriebsergebnis bewirken
3 30 % 100 % 900 3.000Bedeutende Risiken, die das operative Betriebsergebnis stark beeinflussen oder sich auch langfristig auswirken
4 100 % 300 % 3.000 9.000Schwerwiegende Risiken, die zu großen Abweichungen von operativen Betriebsergebnissen führen und / oder sich auch langfristig erheblich auswirken
5 300 % 500 % 9.000 15.000Bestandsgefährdende Risiken, die mit einer wesentlichen Wahrscheinlichkeit den Fortbestand des Unternehmens gefährden
26Die beste Empfehlung. Funk.
Risikoinventar mit priorisierten Risiken
1. Meilenstein für die Einführung
Kategorie Risikofeld Risikobezeichnung Relevanz
Märkte Marktattraktivität und Wettbewerbskräfte Risiken aus hoher Wettbewerbsintensität 5
Märkte Marktattraktivität und Wettbewerbskräfte Wettbewerbskonzentration, Konsolidierung von Wettbewerbern 4
Märkte Absatzmengen, -preise Ungünstige Absatzentwicklung (längerfristiger Trend) 4
Strategie Geschäftsfeldstruktur, Geschäftsbereiche,
Bereichsentwicklung
Abhängigkeit von einzelnen Geschäftsbereichen
(Märkten oder Produktgruppen)
3
Strategie Geschäftsfeldstruktur, Geschäftsbereiche,
Bereichsentwicklung
Nichterreichen der kritischen wirtschaftlichen Größe
(Markt- oder Produktsegmente, Größen- und Verbundvorteile)
3
Märkte Marktattraktivität und Wettbewerbskräfte Hohe Konjunkturempfindlichkeit, konjunkturelle Schwäche,
ungünstige konjunkturelle Entwicklung
3
Märkte Marktattraktivität und Wettbewerbskräfte Große Preisempfindlichkeit („Elastizität”) der Nachfrage 2
Märkte Markt- und Wettbewerbsposition Ungünstige Marktposition bzw. geringer Marktanteil 2
Märkte Absatzmengen, -preise Absatzmengenschwankungen, -entwicklung 2
Märkte Absatzmengen, -preise Absatzpreisschwankungen, -entwicklung 2
Märkte Kundenstruktur Unzureichende Wirtschaftlichkeit von Kundengruppen, unzureichende
Profitabilität
1
Märkte Beschaffungsmarkt Materialkosten(preis)schwankungen 1
27Die beste Empfehlung. Funk.
Risikobewertung
Auswahl an verschiedenen Bewertungsszenarien
Dreiecksverteilung
(18 von 30 =)
60 %
(9 von 30 =)
30 %(3 von 30 =) 10 %
Feste HöheNormalverteilungLognormalverteilung
= Quantitative Beschreibung eines Risikos durch eine geeignete Wahrscheinlichkeitsverteilung und Berechnung des
Risikomaßes zum Vergleich von Risiken
28Die beste Empfehlung. Funk.
Risikomanagement-Prozess
Risikoaggregation
Spezifikation
› Zusammenfassung der Anforderungen
› Sichtung vorhandener Dokumente
› Befragung und Prüfung der
Schnittstellen
› Aufbau der Organisationsstruktur
Risikoidentifikation
› Aufbau der Risikofelder
› Definition der relevanten Risiken
› Bestimmung der Risikoverantwortlichen
Risikobewertung
› Qualitative und quantitative Bewertung
der Risiken
› Bewertung bspw. mittels
Dreiecksverteilung
Risikobewältigung
› Erstellung eines Chancen-Risiko-
Profils
› Ableiten des relevanten Handlungs-
bedarfes
› Definition des Risikobewältigungs-
Mix
Risikoaggregation› Darstellung der Gesamtrisikoposition des
Unternehmens durch Aufzeigen der
Auswirkungen aller identifizierten Risiken
› Abgleich mit der Risikotragfähigkeit
29Die beste Empfehlung. Funk.
Ziel: Risikogleichgewicht
› Da alle Risiken letztlich gemeinsam auf das Unternehmen
einwirken sind unendlich viele Risikokombinationen möglich
› Zur Berechnung einer Gesamtrisikoposition bedient man
sich deshalb einer Prognose in Form einer „repräsentativen
Stichprobe“ (Monte Carlo-Simulation)
Risiko-
umfang
Risiko-
tragfähigkeit
30Die beste Empfehlung. Funk.
Risikomanagement-Prozess
Risikobewältigung
Spezifikation
› Zusammenfassung der Anforderungen
› Sichtung vorhandener Dokumente
› Befragung und Prüfung der
Schnittstellen
› Aufbau der Organisationsstruktur
Risikoidentifikation
› Aufbau der Risikofelder
› Definition der relevanten Risiken
› Bestimmung der Risikoverantwortlichen
Risikobewertung
› Qualitative und quantitative Bewertung
der Risiken
› Bewertung nach Eintrittswahrscheinlichkeit
und Ausmaß
Risikobewältigung› Erstellung eines Chancen-Risiko-
Profils
› Ableiten des relevanten Handlungs-
bedarfes
› Definition des Risikobewältigungs-
Mix
Risikoaggregation
› Darstellung der Gesamtrisikoposition des
Unternehmens durch Aufzeigen der
Auswirkungen aller identifizierten Risiken
› Abgleich mit der Risikotragfähigkeit
31Die beste Empfehlung. Funk.
Risikobewältigung
Risikocontrolling
Ursachenbezogene Maßnahmen Wirkungsbezogene Maßnahmen
Risikofinanzierung
Schadenherabsetzung
(mehrere Lager)
Schadenverhütung
(Brandschutz)
Risikoüberw
älzung
(Verträge)
Risikosteuerung
(Allianzen)
Bee
influ
ssba
re R
isik
en
vermeiden
selbsttragen
versichern/
finanzieren
vermindern
begrenzen
Ris
iken
au
s
un
tern
ehm
eris
cher
Tät
igke
it
Kerngeschäft,Erfolgsfaktoren
N i c h t e r k a n n t e R i s i k e n
A k z e p t i e r t e R i s i k e n
32Die beste Empfehlung. Funk.
Agenda
1 Vorstellung Funk Risk Consulting GmbH
2 Risikomanagement in der Automobilzuliefererindustrie
3 Ansatz zur praxisorientierten Umsetzung
4 Erfolgsfaktoren und Stolpersteine
33Die beste Empfehlung. Funk.
Erfolgreiche Risikomanagement-Systeme
› Integration von Risikomanagement in bestehende
Unternehmenskultur und -organisation
› Bewusster Umgang mit Risiken als
Führungsaufgabe, operative Durchführung delegieren
› Konkrete organisatorische Maßnahmen, klar geregelte
Verantwortlichkeiten festlegen
› Schaffen einer Risikokultur: durch Kommunikation auf allen
Ebenen Sensibilität und Risikobewusstsein schaffen (Rolle
Risikomanager!)
› Wiederkehrenden Risikomanagement-Prozess durch
Softwareunterstützung aufrecht erhalten
34Die beste Empfehlung. Funk.
Nicht zu vergessen – Es gibt auch Stolpersteine
Die Top 5
› Schneller Start bei der Umsetzung – wenig Konzeption
› Verwechslung von Risiken und fehlende Begründung der
Risikobewertung
› Integration der bestehenden
Organisations-, Planungs- und Berichtssysteme
› Schadensummen von Risiken werden addiert
› Chancen werden stiefmütterlich behandelt
35Die beste Empfehlung. Funk.