Eine zentrale Grundvoraussetzung für ein effizientes und zielgerichtetes Risikomanagement ist die hierarchische Anordnung der Sicherheitsabteilung oder der Sicherheitsverantwortlichen im Unternehmen. Lucien Schibli, Teamleiter und Consultant für Safety und Security bei Amstein + Walthert Sicherheit AG, gibt Einblicke darüber, was ein effizientes und zielgerichtetes Risikomanagement im Unternehmen ausmacht.
Das Ziel der Unternehmenssicherheit sollte stets sein, die Firma vor Bedrohungen und Gefährdungen bestmöglich zu schützen und Massnahmen zu treffen, damit die Geschäftstätigkeit mit minimalen wirtschaftlichen Einbussen auch unter besonderen Umständen weitergeführt werden kann. Dies kann jedoch nur gelingen, wenn der Umgang mit Risiken zur Chefsache erklärt wird. Die Geschäftsleitung entscheidet über das Mass an bewusst in Kauf genommenen Restrisiken und verantwortet potenzielle Schäden. Es ist daher angebracht, die Sicherheit als Stabsstelle direkt der Geschäftsführung zuzuordnen und diese nicht irgendeiner Organisationseinheit zu unterstellen.
Die drei wesentlichen Säulen des Risikomanagements
Ein erfolgreiches Risikomanagement basiert in der Regel auf drei wesentlichen Grundlagen, welche nur als Gesamtprodukt einen wirtschaftlich sinnvollen Umgang mit Risiken ermöglichen. Als erstes sollte eine Business Impact Analyse (BIA) erstellt werden. Ein fundiertes Verständnis der Funktionsweise der Unternehmung, deren interne und externe Abhängigkeiten sowie insbesondere der wirtschaftlichen Folgen eines Ausfalls von Teilsystemen, ist die Basis jedes Risikomanagements. Die Positionierung der Sicherheit als Stabsstelle der Geschäftsführung vereinfacht hierbei ganz erheblich die interdisziplinäre Informationsbeschaffung und erspart mühsame Kompetenzstreitigkeiten und träge Prozesse.
Sobald dieses Verständnis geschaffen und monetär beziffert wurde, kann eine Risikoanalyse erarbeitet werden. Diese basiert in der Regel auf einer Mischform von eigenen und externen Erfahrungswerten sowie dem aktuellen Stand der Forschung. Wichtig ist, dass zu Beginn möglichst vielfältige Gefährdungen und Bedrohungen identifiziert werden. Durch deren Bewertung in Eintretenswahrscheinlichkeit und Schadensausmass werden die Szenarien zu Risiken. Nun gilt es, zusammen mit der Geschäftsleitung zu entscheiden, welchen Risiken in welchem Mass entgegengewirkt werden soll (Reduktion der Eintretenswahrscheinlichkeit resp. Schadensausmass), welche Risiken abgewälzt werden können (bspw. Versicherungen, Outsourcing) und welche Restrisiken das Unternehmen bewusst in Kauf nehmen will. Selbstverständlich sollten dabei neben wirtschaftlichen Entscheidungskriterien stets auch die Rechtsgüter berücksichtigt werden.
Die dritte Säule besteht aus dem Business Continuity Management (BCM). Durch die Erarbeitung von Eventualplanungen zur Aufrechterhaltung der Geschäftstätigkeit bei Eintreten von identifizierten Szenarien (insbesondere solcher, bei welchen sich Eintretenswahrscheinlichkeit oder Schadensausmass nicht wesentlich beeinflussen lassen), werden das Risiko der Gefährdung der Geschäftsexistenz sowie der wirtschaftliche Schaden minimiert. Durch die Etablierung des BCM wird das Fundament des Risikomanagements fertiggestellt.
Mögliche Gestaltung einer Risikomatrix
Stolperstein «Credible Worst Case» Szenario
Die gängig etablierte Art und Weise der Visualisierung von Risiken sowie deren vereinfachte «Berechnung» führen leider oft dazu, sogenannte «Credible Worst Case» Szenarien zu vernachlässigen resp. zu ignorieren. Es ist nachvollziehbar, dass sich Unternehmen nicht auf jedes erdenkliche Szenario vorbereiten können. Jedoch gibt es plausible Ereignisse, deren Eintretenswahrscheinlichkeit sehr gering ist, das Schadensausmass jedoch potenziell sehr hoch. Solche Szenarien müssen vom Risikomanagement zwingend berücksichtigt werden (vgl. Grafik). Beispiele hierfür sind Epidemien, Pandemien oder Strommangellagen.
Risikomanagement ist ein Prozess, kein Archiv
Wenn die Grundlagen erst einmal erstellt und die Massnahmen etabliert sind, ist es wichtig, das Risikomanagement als dynamischen Prozess zu verstehen. Ziel sollte nicht sein, eine möglichst grosse und schöne Dokumentation in einem Regal oder einer Ordnerstruktur zu haben, sondern aktuelle Analysen, welche die gesellschaftliche, wirtschaftliche und politische Landschaft und deren Entwicklung berücksichtigen resp. antizipieren. Nur so kann für die Geschäftsleitung ein Mehrwert hinsichtlich Entscheidfindungsprozess generiert werden.
Anzeige:
