Grobe Voransicht des Dokuments: 'Systematisches Risikomanagement in 6 Schritten' (Teil 1):

Viele Unternehmen beschäftigen sich derzeit damit ein Risk Management-Systems einzuführen oder ihr bestehendes System in Richtung operationeller Risiken, Risiken aus Prozessen, Personen, Technik sowie externen Einflüssen, zu erweitern. Die ISO 31000 ist hierfür ein guter Leitfaden. Nach ihr ist eine Einführung gut strukturiert möglich, standardisiert durchführbar und somit kein Hexenwerk mehr. Umso mehr verwundert es, dass sich einige Unternehmen schwertun, ein aktiv gelebtes und aktuelles Risikoinventar zu etablieren, mit Risiken, die aktuell, realistisch bewertet und steuerbar sind sowie schrittweise minimiert werden. Oftmals werden die Systeme als Alibisysteme zur Befriedigung regulatorischer Anforderungen benutzt oder zunächst mit viel Elan gestartet um dann, einige Monate später, mit gleicher Geschwindigkeit zurückgeschraubt zu werden. Die Risiken, die in das System eingepflegt werden, verkommen zu Dauermeldungen, werden nicht regelmäßig aktualisiert oder hängen seit der Aufnahme unverändert ohne eingeführte Gegenmaßnahmen 'in der Luft'. Im Extremfall wird das Risikoinventar ein Kummerkasten für Mitarbeiter, die nicht mehr wissen, wohin mit Ihren Sorgen. Beispielhafte Risikomeldungen aus solchen Systemen können dann sein: Eine mangelhafte Projektplanung verursacht Folgekosten. IT-Sicherheitslücken durch fehlenden Kauf der Software xy. Personalausfall kann zu Verzögerungen im Projekt führen. Die neue Baustelle auf der Autobahnbrücke kann zu Verzögerungen im Lieferprozess führen. Das Kantinenessen ist ein einziges Risiko. Unser First-Level-Support ist ein Risiko, da erreiche ich nie jemanden. Was können die Gründe sein für ein solches stumpfes Schwert? Ein Risk Management-System ist ein sprachlich sehr anfälliges Gebilde. Nehmen wir das zweite Beispiel des fehlenden Software-Kaufs. Nehmen wir an, ein Mitarbeiter meldet uns dieses 'Risiko'. Ist dieses wirklich ein akzeptables Risiko? Fragen wir uns einmal: Was kann ein Entscheider gegen dieses 'Risiko' tun? Es gibt nur eine einzige Möglichkeit, er kann lediglich diese Software kaufen. Weitere Alternativen bleiben ihm nicht. Er wird demnach die Risikowerte, wie Schadenhöhe und Eintrittswahrscheinlichkeit den Kosten für die Gegenmaßnahme (Lizenz- und Prozesskosten) entgegenstellen und sich für oder gegen den Kauf entscheiden. Schaut man sich das 'Risiko' aber mal genauer an, stellt man schnell fest, dass es sich hier um gar kein 'echtes Risiko' handelt. Zunächst einmal ist das Ereignis bereits aufgetreten, liegt also in der Gegenwart. Risiken liegen immer in der Zukunft. Hier mag man noch Argumentieren: '... aber ein Schaden kann ja erst in der Zukunft eintreten.' Betrachtet man den Satz jedoch etwas genauer, wird klar, dass sich das eigentliche Risiko noch hinter dieser Meldung versteckt. Das Risiko oder vielmehr die Risiken sind: 'Produktionsausfälle ...' oder 'Erpressbarkeit aufgrund einer Attacke auf die IT-Systeme von außen.' Das Fehlen der Software ist demnach eine fehlende Gegenmaßnahme gegen das eigentliche Risiko. Und vor allem: Es ist nur eine von mehreren möglichen Gegenmaßnahmen. Eventuell gibt es organisatorische, prozessuale, strukturelle Lösungen oder noch andere Softwarepakete. Vielleicht liegen mögliche Maßnahmen auch in der Nutzung (oder Nicht-Nutzung) von Cloud-Systemen und weiteren, neuen Sicherheitsstufen. Aus diesem Grunde bezeichne ich diese Erstmeldungen, als 'Risikomeldungen' aus denen erst die eigentlichen Risiken extrahiert werden müssen. Plötzlich, durch einfache Umformulierung einer 'Risikomeldung' zu einem echten 'Risiko', sind weitere Gegenmaßnahmen denkbar und abzuwägen. Der Risikomelder gibt nicht die einzige Lösung vor, sondern wird zu einem Teil der Lösungsfindung. Dieses Beispiel zeigt, wieso die falsche Formulierung eines Risikos den gesamten Risk-Management-Prozess aushebeln kann und warum diese 'Risikomeldungen' den Prozess blockieren können. Die Risikomühle zur strukturierten Formulierung von Risiken Auf eine Stufe mit den 'als Risiko formulierten fehlenden Gegenmaßnahmen' lassen sich weitere Arten von 'Risikomeldungen' stellen, wie beispielsweise etwas anders formulierte Schäden (siehe Beispiele 1 und 5), globalen Allgemeinplätzen (Beispiel 3), Meldungen die außerhalb des Einflussbereichs des Risk Managements liegen (Beispiel 4) und einige weitere. Die Bezeichnung eines Betrages als 'Risikomeldung' soll daher die Meldung nicht abwerten, aber vorbereiten, dass bis zur Erarbeitung des eigentlichen Risikos noch ein Weg vor den Protagonisten liegt. Um aus den 'Risikomeldungen' die echten Risiken herauszuarbeiten, hat sich in der Praxis ein Tool bewährt, dass durch die richtigen Fragestellungen die relevanten Daten aus der Risikomeldung zieht und für den Risikomanagement-Prozess vorbereitet: Die Moritz'sche Risikomühle [siehe Abb. 01]. Abb. 01: Die Moritz'sche Risikomühle [Quelle: Frank Moritz] Abb. 01: Die Moritz'sche

Grobe Voransicht des Dokuments: 'Systematisches Risikomanagement in 6 Schritten':  Teil 2, Teil 3