Ein Interview mit dem Senior Project Manager von der RUCON Gruppe
Jedes einzelne Unternehmen hat täglich mit einer Vielzahl von Herausforderungen und Bedrohungen zu kämpfen, davon kann jede für sich bereits gravierende Schäden hinterlassen. Oftmals ist es ein Abwägen, bei dem die Entscheidungen von Unternehmen zu Unternehmen unterschiedlich ausfallen können. Das Risikomanagement beschäftigt sich mit der Identifikation, Bewertung und Behandlung aller Risiken, die allgemein als Wagnis angesehen werden, und welche die Handlungsmöglichkeiten und den wirtschaftlichen Erfolg gefährden. Ziel des Risikomanagements ist es, gerade für die Organisationsleitung Gefahren rechtzeitig zu erkennen und zu bewältigen.
Einflussfaktoren im Risikomanagementprozess eines Unternehmens sind unter anderem:
- wirtschaftliche Gegebenheiten
- rechtliche und vertragliche Anforderungen
- interne Anforderungen z.B. der Risikoappetit der Führung aber auch
- Anforderungen sogenannter Interessierter Parteien und
- organisatorische und technische Gegebenheiten
Risikomanagement startet schon Zuhause
Auch wenn es uns nicht bewusst ist, selbst im Privaten betreiben wir Risikomanagement. Die Unfallversicherung, Krankenversicherung oder Familienversicherung stellen Maßnahmen dar, um Schutz zu gewähren und Risiken vorzubeugen, damit beispielsweise auch bei Krankheiten eine entsprechende Behandlung möglich ist, ohne finanziell in Not zu geraten.
Michael Franke, Senior Berater bei der RUCON-Gruppe, hat durch seine weitreichenden Kenntnisse eine eindeutige Meinung zum Thema Risikomanagement und stand uns für ein Interview zur Verfügung. Seine eigenen Erfahrungen sowie grundlegende Fakten begleiten das Gespräch und bilden einen realen und direkten Bezug zur modernen Unternehmensführung. Herr Franke betont die Wichtigkeit eines Risikomanagementprozesses für die Organisation und Resilienz eines Unternehmens.
Mit diesem Beitrag soll auf das sehr aktuelle Thema und teilweise noch zu sehr vernachlässigte „Steuerungsinstrument“ für das Topmanagement, wie Herr Franke es nennt, aufmerksam gemacht werden.
Luisa Schmielewski (un)fassbare Seminare: „Welchen Stellenwert hat das Risikomanagement in Unternehmen?“
Michael Franke (RUCON): „Es ist rechtlich gefordert bei AGs oder GmbHs beispielsweise, dort zielt es auf die wirtschaftlichen Risiken ab. Risikomanagement ist allerdings nicht so präsent wie es sein sollte. Es steht zu wenig im Fokus, wobei es eigentlich als Steuerungsmittel im Top-Management oder bei der Geschäftsführung dient und ein wesentlicher Aspekt im Tagesgeschäft sein sollte. Der Risikomanagementprozess ist einer der zentralen Bestandteile zur Steigerung der Widerstandsfähigkeit eines Unternehmens. Wir sprechen von „Organisational Resilience„.“
Luisa Schmielewski (un)fassbare Seminare: „In welchen Bereichen tauchen Risiken am häufigsten auf?“
Michael Franke (RUCON): „Nun, das hängt stark vom Unternehmen selbst ab. Grundsätzlich lauern überall Gefahren / Risiken, egal in welcher Branche man sich befindet oder ob ein Unternehmen produziert oder eine Dienstleistung erbringt. Allen gemein dürften aber Risiken im Bereich der IT sein. Sowohl durch den Eintrag von Schadcode als auch den Verlust wichtiger Unternehmensdaten. Also Risiken im Zusammenhang mit der Informationssicherheit.“
Luisa Schmielewski (un)fassbare Seminare: „Beeinflusst das Risikomanagement automatisch das Kostenmanagement?“
Michael Franke (RUCON): „Ja, definitiv, denn Maßnahmen die Schwachstellen beseitigen um den Eintritt oder die Auswirkungen einer Bedrohung zu minimieren kosten meistens Geld! Aber man kann z.B. auch Rückstellungen für bestimmte, vor allem bekannte, Risiken nutzen. So beugt man vor und erhält einen Puffer im Falle eines Schadeneintritts. Für die Abschätzung können die in der Risikobewertung ermittelten Risikokennzahlen genutzt werden. Am Ende dient der Invest in die im Risikobehandlungsplan beschlossen Maßnahmen jedoch dazu Schäden zu minimieren oder zu verhindern und somit Kosten zu sparen.“
Luisa Schmielewski (un)fassbare Seminare: „Sind die Ergebnisse des Risikomanagements absolut oder nur vage?“
Michael Franke (RUCON): „Es gibt valide Werte durch Statistiken an denen man sich orientieren kann. Das ist nicht immer möglich, aber wichtig ist eine möglichst hohe Vergleichbarkeit bzw. Klarheit über die aktuelle Situation und Risikolandschaft zu haben oder eigene Erfahrungen. Sie ist notwendig für eine richtige Interpretation bzw. Einschätzung und den daraus resultierenden Risikobehandlungsplänen. Durch den kontinuierlichen Betrieb des Risikomanagements wird die unternehmensindividuelle Risikolandschaft jedoch zunehmend konkret und greifbar.“
Luisa Schmielewski (un)fassbare Seminare: „Was sind häufige Ursachen und Folgen?“
Michael Franke (RUCON): „Häufig wird Risikomanagement nur betrieben um einer gesetzlichen Anforderung nachzukommen und nicht um es als präventives Steuerungsinstrument zu nutzen. Hinzu kommt das die Bewertungszyklen oft sehr lang sind und nicht der Dynamik der Bedrohungslandschaft gerecht werden. Dies fällt insbesondere bei Bedrohungen in Bereich der IT auf. Schäden entstehen dann, um beim Beispiel IT zu bleiben, dadurch, dass keine geeigneten technischen oder organisatorischen Maßnahmen ergriffen werden um Beispielsweise das Eindringen von Schadcode in ein Unternehmensnetzwerk zu verhindern.“
Luisa Schmielewski (un)fassbare Seminare: „Wie lässt sich die Eintrittswahrscheinlichkeit berechnen?“
Michael Franke (RUCON): „In dem man Statistiken nutzt, durch interne Vorgaben oder aus eigenen Erfahrungswerten. Wichtig ist wie gesagt die Vergleichbarkeit, um möglichst genaue Rückschlüsse ziehen zu können. Das Risiko in Form einer Risikokennzahl für das Unternehmen bemisst sich dann durch die Multiplikation von Eintrittswahrscheinlichkeit und Schadensausmaß und gibt dem Top Management so einen validen und vergleichbaren Messwert als Entscheidungsgrundlage.“
Luisa Schmielewski (un)fassbare Seminare: „Werden tolerierte Risiken immer eingehalten oder ist eine Überschreitung manchmal notwendig?“
Michael Franke (RUCON): „Nun, Unternehmen sind ebenso dynamisch wie deren Risikolandschaft, da muss man ggfs. auch mal Grenzen überschreiten. Man spricht von einem gewissen „Risikoappetit“, also ein Maß an Risikobereitschaft. Man sollte allerdings wissen, wo man sich in seiner Risikolandschaft befindet. Ein „Blindflug“ ist weder notwendig noch ist er akzeptabel. Dem Topmanagement sollten die Wertgrenzen zwischen Retention und Ruin bewusst sein.
Luisa Schmielewski (un)fassbare Seminare: „Gibt es neue Vorschriften oder Richtlinien in denen Risikomanagement gefordert wird?“
Michael Franke (RUCON): „Normen wie die ISO 27005 oder die ISO 31000 sind gute Ratgeber für ein solides Risikomanagement um z.B. die Anforderungen des KonTraG zu erfüllen. Die am 25.Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung beinhaltet beispielsweise eine Risikobewertung in Form der „Data Privacy Impact Analysis (DPIA oder PIA)” beim Umgang mit hochsensiblen Personendaten. Hier geht es darum, wie hoch der Impact für die Person ist, wenn die Daten von Personen missbraucht werden.“
Risikomanagement ist folglich unumgänglich für eine erfolgreiche Unternehmensführung. Wenn wir selbst in unserem privaten Alltag nicht ohne auskommen, zumindest ein Mangel unser Leben erschweren würde, dann wird dies in der Wirtschaft mit all seinen Gefahren kaum möglich sein.
Dazu ein Schlusswort von unserem sympathischen Gast, im Sinne des Ansatzes der RUCON Gruppe…
„Für die „Organisation and Resilience“ eines Unternehmens ist das operative Risikomanagement ein extrem wichtiger Bestandteil und sollte im Tagesgeschäft durch das Top-Management hartnäckig verfolgt werden, um den von uns propagierten Ansatz „survive and prosper“ kontinuierlich voranzutreiben und damit den Fortbestand eines Unternehmens kontinuierlich zu fordern, zu fördern und abzusichern.“