Umfassendes Risiko Management – einfach gemacht

Auflistung der Risiken

Der erste Schritt bei einem umfassenden Risiko Management besteht in der Festlegung des Geltungsbereiches (Scope) der Bewertung. In vielen Fällen sollen die Risiken eines Gesamtunternehmens bewertet werden. Je nach Firmengrösse kann hier aber auch ein Teilbereich – z.B. eine Business Unit oder eine Länderorganisation – betrachtet werden.

Anschliessend werden diejenigen Risiken aufgelistet, die objektiv und nach Bauchgefühl einen grossen finanziellen Schaden verursachen können. Zum Beispiel kann hier „Zerstörung der Produktionsstätte 2 durch Brand oder Bombenanschlag“ aufgeführt werden. Oder „Stromausfall im Verwaltungsgebäude“. Diese Liste kann recht lang werden, aber lassen Sie sich davon nicht abschrecken.

Ob Sie Risiken aus einer bestehenden SWOT Analyse hier einfügen, kommt auf den deren Schwerpunkt an.

Ist die Liste erstellt, kommt die Stunde der Schätzungen und Annahmen. Zu jedem der identifizierten Risiken sollen zwei Werte ergänzt werden:

• Schaden beim Eintreten des Risikos
• Wahrscheinlichkeit, dass das Risiko eintritt.

Der Schaden wird am Besten in Franken beziffert. Die Eintretenswahrscheinlichkeit sollte über einen gewissen Zeitraum (z.B. 5 oder 10 Jahre) und in Prozent geschätzt werden. Die Herausforderung hier ist nun, diese beiden Schätzwerte konsistent über die Risikoliste anzuwenden.

Vorgehensmethoden

Für die Identifikation und die Bewertung der Risiken eignen sich Brainstorming und Gruppenarbeiten mit anschliessender Abstimmung. Der zweite Ansatz bringt erfahrungsgemäss bessere Resultate, da hier die Punkte zweimal aufgegriffen werden und in der Regel unterschiedliche Vorgehensweisen abgeglichen werden müssen. Hat man sich auf die entsprechenden Werte geeinigt, kann die Auswertung in Angriff genommen werden.

Die Auswertung ist recht einfach. Es werden pro identifiziertes Risiko die beiden Schätzwerte Kosten im Schadensfall und Eintretenswahrscheinlichkeit miteinander multipliziert, Das Resultat (Produkt) der Rechenoperation stellt das bewertete Risiko dar. Die Liste wird nun nach diesem bewerteten Risiko sortiert, so dass der höchste Wert oben ist. Die Durchsicht der Liste zeigt die kritischen Bereiche.

Etwas Abstand gewinnen

Es empfiehlt sich, die bewertete Liste etwas ruhen zu lassen und erst nach ein paar Tagen wieder durchzuschauen.

• Haben sich Einschätzungen oder Bewertungen geändert?
• Soll die eine oder andere Position angepasst werden.
• Kann eine Kollegin aus einem anderen Team eine präzisere Bewertung abgeben?
• Wäre eine Senior Management Review eventuell hilfreich?

Zermartern Sie sich nicht den Kopf, falls bei der ersten und zweiten Runde nicht alles gerade zu laufen scheint. Die Risikobewertung sollte grundsätzlich alle 6 bis 12 Monate wiederholt werden. Nur so kann auf geänderte Situationen mehr oder weniger zeitnah eingegangen werden.

Hat sich die Risikoliste mit den Bewertungen gefestigt und konnte im Wesentlichen ein Konsens erzielt werden, beginnt die richtige Arbeit.

Zuständigkeit und Termin

Für die Behandlung wird jedem Risiko eine verantwortliche Person zugeordnet und ein Termin für die Definition der Massnahmen und/oder der Umsetzung festgelegt. In einer ersten Runde wird in den meisten Fällen versucht werden, die Risiken zu reduzieren, also zu mitigieren.

Die Massnahmen, die für die Risikobehandlung eingeleitet werden, sollten dokumentiert und nachvollziehbar sein. Ein Ticket System kann die notwendige Unterstützung bereitstellen.

Behandlung der Risiken

Jedes Risiko kann auf mindestens eine Art behandelt werden:

• Mitigation
• Transfer
• Akzeptanz

Bei der Mitigation geht es um die Reduktion der Eintretenswahrscheinlichkeit und /oder der potentiellen Schadenssumme. Hier können proaktive oder reaktive Massnahmen vorgesehen werden. Feuerlöscher reduzieren nicht die Wahrscheinlichkeit eines Brandausbruchs, bei korrekter und zeitnaher Anwendung wird ein Brand weniger Schaden anrichten – eine klar reaktive Massnahme.

Laufendes Überwachen der Temperatur eines Produktionsprozesses und automatisches Abschalten nach Erreichen eines kritischen Wertes wäre dann eine proaktive Massnahme, die sicherstellt, dass kein Feuer ausbricht.

Können Risiken nicht einfach oder mit vernünftigen Kosten mitigiert werden, ist zu prüfen ob ein Transfer möglich ist. Dies bedeutet in der Regel, dass ein entsprechender Versicherungsschutz gesucht und beschafft wird. Je nach Ausprägung des Risikos und der zu versichernden Schadenssumme kann dies eventuell ein schwieriges Unterfangen sein. Abhilfe bieten oftmals Versicherungsbroker wie die Lloyd’s London, die hier ein grosses Mass an Flexibilität an den Tage legen.

Sind die Risiken auf ein handhabbares Mass reduziert, bleibt oftmals ein Restrisko, das nicht wirtschaftlich weiter behandelt werden kann. Das Pareto Prinzip gilt auch hier. Hier können Unternehmen die Risiken akzeptieren und allenfalls interne Vorkehrungen treffen.

Die Risiken – oder Restrisiken – die nicht weiter mitigiert oder transferiert werden können – müssen vom Unternehmen akzeptiert werden. Hier ist die Geschäftsleitung in der Pflicht. Diese verbleibenden Risiken müssen den Verantwortlichen bewusst sein.

Kosten/Nutzen Abwägungen

Da auch bei der Risikobehandlung nichts passiert, ohne dass die notwendigen Ressourcen (Zeit, Geld) bereitgestellt werden, müssen nun die möglichen Varianten gegenübergestellt werden. Auch hier sind in der Regel mehrere Iterationen notwendig.

Liste aktuell halten

Mit der Behandlung der Risiken werden diese von der Liste verschwinden oder anders bewertet werden. Neue Risiken kommen aber laufend dazu. Somit ist es sinnvoll und notwendig, diese Risikobewertung alle 6 bis 12 Monate zu wiederholen.

Compliance aufrecht erhalten

Alle Compliance Standards, welche eine Risikobewertung beinhalten, erfordern, dass diese Bewertung periodisch – meist mindestens einmal pro Jahr – wiederholt wird. So können die Anforderungen der Compliance Standards eingehalten werden.

Als Richtlinien für Risikobewertungsmodelle können u.a. folgende Standards beigezogen werden: OCTAVE, ISO 27005 und NIST SP 800-30.