Risikomanagement praktisch
Worum geht es?
Risiken erkennen
Der Schlüssel zu jedem guten Risikomanagement ist die Identifikation von Bedrohungen. Werden elementare Bedrohungen übersehen, nützt auch eine ausgefeilte Metrik nicht viel.
Ein Risikomanagement-System muss allein schon deshalb einfach sein, damit jeder, der ein Risiko sieht, nicht von komplizierten Prozessen und Metriken von der Erfassung abgehalten wird.
Risiken vergleichbar machen
Ein gutes Risikomanagement lebt davon, dass möglichst alle Bedrohungen erfasst und einheitlich bewertet und damit vergleichbar sind. Nur so kann bei der Behandlung sinnvoll priorisiert werden. Niemand kann sich um alle (möglichen) Probleme gleichzeitig kümmern.
Es geht um die Einschätzung möglicher Szenarien, also um die Vorhersage der Zukunft. Eine zu hohe Granularität in der Bewertung kann die Illusion einer Genauigkeit erzeugen, die es niemals geben wird. Allein deshalb sollte ein Risikomanagement einfach sein.
Um Risiken zu bewerten, wird üblicherweise der mögliche Schaden (Schadenpotential) ins Verhältnis mit seiner Eintrittswahrscheinlichkeit gesetzt.
Ein möglicher, einfacher Weg
Sowohl für das Schadenpotential als auch die Eintrittswahrscheinlichkeit werden in jeweils vier Stufen definiert. Das klingt vielleicht zu einfach; die Praxis zeigt jedoch, dass hierüber bereits sehr differenziert Risikobehandlungen priorisiert werden können. Und wie gesagt, eine höhere Granularität täuscht eine Genauigkeit vor, die es gar nicht geben kann; denn wir prognostizieren hier gerade die Zukunft.
Wichtig: Egal, wie viele Stufen man wählt, es sollte stets eine gerade Zahl sein. Bei ungeraden Zahlen gibt es eine Mitte und Menschen neigen oft zu unverbindlichen Entscheidungen, wo es denn geht. Bei vier Stufen muss man sich festlegen; man muss überlegen; es gibt keine Mitte. Wir wollen jedoch von denjenigen, die ein Risiko kennen, authentische Antworten bekommen.
Wahrscheinlichkeit eines Schadensereignisses
Es gibt verschiedene Risikoarten, die mit unterschiedlichen Kriterien betrachtet werden müssen. Die Eintrittswahrscheinlichkeit sollte allerdings bei allen Risikobewertungen nach derselben Metrik erfolgen.
| Wahrscheinlichkeit | Beschreibung | einfache Beispiele |
|---|---|---|
| 4 sehr hoch | zu erwarten bis gewiss | Ausrutschen auf ausgelaufenem Oil auf glattem Boden |
| 3 eher hoch | vorstellbar bis zu befürchten | Unfall beim Überqueren einer stark befahrenen Straße im Dunkeln, bei schlechter Sicht ohne Fußgängerüberweg |
| 2 eher niedrig | vorstellbar, aber praktisch eher unmöglich | Unfall beim Überqueren einer gut beleuchteten Straße mit Fußgänger-Ampel bei Grün für Fußgänger |
| 1 sehr niedrig | denkbar, aber nur theoretisch relevant; keine Alltagsgefahr | Meteoriteneinschlag genau auf den eigenen Standort |
–
Schadenpotentiale
Bei der Bewertung von Schadenpotentialen soll in verschiedene Risikoarten unterteilt werden. So können jeweils treffende Beispiele formuliert werden; denn denjenigen, die eine Einwertung vornehmen, soll das Ganze ja so einfach wie möglich von der Hand gehen.
Ein Unternehmen benötigt möglichst ein umfassendes bzw. vollständiges Bild seiner (bewerteten) Risiken. Je einfacher die Bewertung anzuwenden ist, desto authentischer dürfte am Ende das Gesamtbild sein. Der zentrale Risikomanager will ja etwas von den Menschen, die im operativen Geschäft den möglichen Schäden ins Auge sehen – nämlich eine Bewertung. Also kommt man diesen Menschen mit einer möglichst einfachen Metrik entgegen.
Datenschutz-Risiken
Bewertet wird ein möglicher Schaden bei der Gefährdung der Rechte und Freiheiten der Betroffenen; das ist DSGVO-Sprache – die Beispiele machen es anschaulicher.
| Schaden | einfache Beispiele / Erläuterung aus Sicht der Betroffenen |
|---|---|
| 4 sehr hoch | Nachhaltige Rufschädigung, die auf die weitere Gestaltung des Lebens einwirkt (z.B. durch Offenlegung erheblich kompromittierender persönlicher Details im Internet). |
| 3 eher hoch | Gravierendes Problem, jedoch mittels Gegenmaßnahmen soweit behebbar, dass keine Langfristschäden die weitere Gestaltung des Lebens beeinträchtigen (z.B. Identitätsdiebstahl). |
| 2 eher niedrig | Eng begrenztes Problem, jedoch als Datenschutzvorfall zu bewerten (reparabel und ohne ernstzunehmende Auswirkungen auf die weitere Gestaltung des Lebens der Betroffenen). |
| 1 sehr niedrig | Incident, insofern ärgerlich aber ohne tatsächliche Probleme für die Betroffenen. |
–
Gesundheitsrisiken
Gesundheitliches Schadenpotential ist z.B. bei der (für Arbeitgeber obligatorischen) Gefährdungsbeurteilung von Arbeitsplätzen zu erfassen.
| Schaden | einfache Beispiele / Erläuterung |
|---|---|
| 4 sehr hoch | Tödlich oder bleibende Schäden |
| 3 eher hoch | Stärkere Schmerzen, psychische Belastung und ggf. Krankenstand |
| 2 eher niedrig | Keine Beeinträchtigung oder allenthalben lästig |
| 1 sehr niedrig | Keine Beeinträchtigung oder max. spürbar oder kurzzeitig lästig. |
–
Reputationsschäden / Imageproblem
Es geht um den guten Ruf des Unternehmens. Diese nur schwierig messbare Größe kann Einfluss darauf haben, ob Kunden oder Mitarbeiter mit dem Unternehmen arbeiten möchten.
| Schaden | einfache Beispiele / Erläuterung |
|---|---|
| 4 sehr hoch | Nachhaltige Rufschädigung mit Einfluss auf bestehende und neue Vertragsbeziehungen; nicht oder nur schwierig durch Gegenmaßnahmen wieder zu neutralisieren. |
| 3 eher hoch | Rufschädigung, die für eine absehbare Zeit Einfluss auf bestehende und neue Vertragsbeziehungen nehmen könnte; könnte mit ggf. teuren Gegenmaßnahmen (Imagekampagnen) weitgehend neutralisiert werden. |
| 2 eher niedrig | Möglicherweise kurzzeitige und geringfügige Beeinträchtigung; jedoch insoweit unbedeutend, da sie für Stakeholder kaum entscheidungsrelevant wird. |
| 1 sehr niedrig | Keine wahrnehmbare Beeinträchtigung des guten Rufs des Unternehmens. |
–
Materielle Schäden
Materielle Schäden sind in Euro zu beziffern (Schätzung).
Ein Schaden von z.B. 100.000 Euro kann für mittelständische Unternehmen bereits ruinös sein. Bei einem Großkonzern wird man diesen Betrag am Ende wohl nicht einmal in der Bilanz bemerken. Die geschätzten Euros müssen also bei der Bewertung noch in Relation zur Größe oder wirtschaftlichen Kraft des Unternehmens gesetzt werden. Die Beispiele erläutern, dass auch dies nicht schwierig ist.
| Schaden | einfache Beispiele / Erläuterung |
|---|---|
| 4 sehr hoch | Schaden in Höhe der Kapitaldecke (Eigenkapital) plus der zu erwartende Gewinn des laufenden Jahres (Eintritt des Risikos würde zur Überschuldung und ggf. zur Insolvenz führen). |
| 3 eher hoch | Schaden in Höhe des zu erwartenden Gewinns des laufenden Jahres (bereits ein einziges Schadenereignis würde das Unternehmen im laufenden Jahr in die Verlustzone drücken). |
| 2 eher niedrig | Schadenhöhe zwischen Bagatellgrenze und zu erwartendem Gewinn des laufenden Jahres. Wird kein Jahresgewinn erwartet, ist durch die Geschäftsleitung ein Betrag festzulegen. |
| 1 sehr niedrig | Betrag unterhalb einer festzulegenden Bagatellgrenze. |
–
Der Risikowert
Damit Risiken vergleichbar werden, bildet man den Risikowert. Hierzu wird einfach die Zahl der Eintrittswahrscheinlichkeit mit der Zahl der Schadenhöhe multipliziert. Je höher das Ergebnis (der Risikowert), desto mehr Aufmerksamkeit sollte man dem Risiko schenken.
Die Logik hinter dieser Metrik ist simpel: Potentiell schwerwiegende Schäden können vernachlässigt werden, wenn sie unwahrscheinlich sind. Stattdessen benötigen auch kleinere Probleme Aufmerksamkeit, wenn ihr Eintreten sehr wahrscheinlich ist.
Der Risikowürfel veranschaulicht das: Ein unwahrscheinlicher aber schwerwiegender Schaden wird einen Risikowert von 4 haben. Kleinere, aber sehr wahrscheinliche Probleme haben dagegen eine 8.
Das Schöne an dieser einfachen Metrik: Man hat alle Risiken vergleichbar gemacht. Bei den hier gewählten Abstufungen wäre es für eine Unternehmensleitung plausibel, alle Risiken mit Werten größer 8 generell aufzugreifen, um eine Entscheidung für eine Strategie zu treffen (Risikomanagement ist der bewusste und systematische Umgang mit Bedrohungen): Vermeidung, Verminderung, Akzeptanz oder Risikoüberwälzung*. Wird ‘Akzeptanz’ gewählt, bleibt der Risikowert wo er ist. Alle anderen Strategien sollten beim nächsten turnusmäßigen Review zu niedrigeren Risikowerten führen, weil durch die Maßnahmen ja auch die Bedrohung reduziert wurde.
*) Die vier Strategien zur Risikobehandlung werden hier erläutert.
Ethische Grenzen
Bewusst schwere Verletzungen oder sogar den Tod eines Mitarbeitenden in Kauf zu nehmen, geht natürlich gar nicht. Folglich fällt die Risikostrategie ‘Akzeptanz’ unter ethischen Gesichtspunkten für hohe Schadenpotentiale bei allen Risikoarten, die Leid für einen Menschen bedeuten natürlich aus.
Es klingt fast unmenschlich und mindestens Empathie befreit, wenn man der vorstehenden Metrik folgend, wirtschaftlichen Bedrohungen mehr Aufmerksamkeit schenkt als einer Gesundheitsbedrohung. Beispiel: hohe wirtschaftliche Bedrohungen (= 3) mit hoher Eintrittswahrscheinlichkeit (= 3) wäre mehr Aufmerksamkeit zu widmen als einem maximalen (!) Gesundheitsrisiko (Tod oder bleibende Schäden = 4) bei niedriger Eintrittswahrscheinlichkeit (also vorstellbar = 2).
Das wirtschaftliche Risiko hätte einen Risikowert von 9 (3 x 3). Das Gesundheitsrisiko hätte einen Risikowert von 8 (4 x 2). Die Prio muss also auf der Behandlung des wirtschaftlichen Risikos liegen. Ist das O.K.?
Es wäre schön, wenn man jegliches Leid von Mitmenschen fernhalten könnte. Kann man aber nicht. Es gilt nicht als unethisch, Menschen aufzufordern, ein Auto zu fahren – obwohl hier durchaus ein Restrisiko für Leib und Leben besteht. Nach vorstehender Metrik hat Autofahren einen Risikowert von 8.
Die gewählte Metrik sorgt dafür, dass aus der Kombination von Schadenspotential und Eintrittswahrscheinlichkeit durchaus ethisch vertretbare Ergebnisse entstehen (einfach mal mit Beispielen ausprobieren). Und wenn die ‘Vorgaben’ der Metrik nicht mit den eigenen oder im Unternehmen geltenden ethischen Standards in Einklang zu bringen sind, dann entscheidet man bewusst anders. Wichtig beim professionellen Risikomanagement ist das systematische Bewerten und das bewusste Entscheiden. Und dabei sollte die hier beschriebene simple Metrik* sicherlich gut helfen.
*) Wichtig: Wir erheben nicht den Anspruch das Risikomanagement oder diese Metrik erfunden zu haben. Unser Ansatz hier ist, aus anderen bekannten Modellen eine einfache Essenz erstellt zu haben und diese hoffentlich so einfach beschrieben zu haben, dass sie problemlos anwendbar ist.