Thought Leadership
Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente der Unternehmenssteuerung. Da jedoch oft finanzielle und personelle Ressourcen fehlen, wird auf ein „Alibi“-Risikomanagement zurückgegriffen. So findet lediglich eine Identifikation der monetären Risiken statt, oft durch die Führungskräfte.
Risikomanagement ist jedoch ein fortlaufender Prozess, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden und muss über die gesamte Lebensdauer der Organisation angewendet werden. Mit dem richtigen unterstützenden Werkzeug ist aber auch diese Aufgabe leicht zu bewältigen und schafft Mehrwerte bei der täglichen Arbeit.
Wir sind beinahe täglich von Risiken umgeben. Wenn es uns im Privatleben jedoch leichter fällt, Risiken zu erkennen und zu bewerten, ist das Risikobewusstsein in vielen Unternehmen, häufig nicht ausreichend vorhanden. So würden wahrscheinlich nur die wenigsten auf die Idee kommen, eine stark befahrene Straße zu überqueren, ohne sich vorher umzuschauen. Das Risiko eines Unfalls stände in einem klaren Missverhältnis zu der Möglichkeit der „gewonnen Zeit“. Der Ausfall von Maschinen, mangelnde Mitarbeiter-Motivation oder der Verlust von unternehmensrelevanten Informationen sind dagegen Risiken, die oft unbeachtet bleiben. Aber auch höhere Gewalten wie Unwetter oder Feuer zählen zu den Risiken, die die Organisation nicht unterschätzen sollte.
Gelebtes Risikomanagement
Es ist sinnvoll, seine Risiken stetig im Blick zu haben und nicht tragbaren Risiken entgegen zu treten. Das heißt die Risikoanalyse und -behandlung muss als ein wiederkehrender Prozess stattfinden und in der Organisation gelebt werden. Folgender Ablauf skizziert den Lebenszyklus eines erfolgreichen Risikomanagements:
Zu Beginn ist es wichtig zu wissen auf welcher meiner Unternehmenswerte wie Wissen, Infrastruktur, Prozesse und Menschen welche Risiken wirken. Dies schafft die Grundlage für die Risikobewertung. Hierbei werden Eintrittswahrscheinlichkeit, die Auswirkung und dadurch der Risikowert ermittelt. Anschließend geht es um die Risikosteuerung, in dem ich als Organisation festlege, wie ich mit dem Risiko umgehen will. Von Akzeptieren über Verlagern und Reduzieren bis hin zur Vermeidung ist alles möglich und liegt selbstverständlich in der Verantwortung der Organisation bzw. der Geschäftsleitung. Schließlich müssen Aufwand und Nutzen in einem rationellen Verhältnis stehen.
Auf Basis der Risikobehandlungsstrategie müssen geeignete Maßnahmen gefunden werden, um die ermittelten und bewerteten Risiken zu behandeln. Anschließend findet die Risikoüberwachung statt. Es gilt zu beobachten, ob sich die einzelnen Risiken im Zeitverlauf verändern oder sogar eintreten, welches eine erneute Risikobewertung zur Folge haben sollte.
Für ein Risikomanagement ist es wichtig, es als Teil der internen Abläufe des Unternehmens zu gestalten und in die Unternehmenssteuerung des Top Managements zu integrieren. Ein methodisches Vorgehen lässt sich in die folgenden Phasen unterteilen, die aufeinander aufbauen und regelmäßig auf ihre Aktualität hin überprüft werden sollten.
1. Risikoszenarien erstellen
Zu Beginn jedes Risikomanagements gilt es die Risikoszenarien festzulegen. Diese bilden die Grundlage für die spätere Risikobewertung. An dieser Stelle dienen bereits integrierte Risikoszenarien wie z.B. die G0 Gefährdungen aus dem BSI (Bundesamt für Sicherheit in der Informationstechnik) als Hilfestellung.
2. Risikomethode festlegen
Die Grundelemente für die Risikoermittlung bilden die Risikomatrix, die Schutzziele sowie das Akzeptanzlevel. Diese sollten im Zuge der Risikomethode festgelegt werden. Die Stufen der Risikomatrix können dabei beliebig auf die individuellen Bedürfnisse der Organisation angepasst werden. Eine grafische Vorschau der Risikomatrix vereinfacht die Festlegung des Akzeptanzlevels sowie der einzelnen Stufen.
3. Risikoanalyse und -bewertung durchführen
Hierbei soll die Eintrittswahrscheinlichkeit der Risikoszenarien bewertet und die Auswirkung festgelegt werden. Für Unternehmenswerte (Assets) wie Personal, Prozesse, Infrastruktur, die dem gleichen Risiko zugeordnet werden, lassen sich Gruppierungen vornehmen. Eine Risikoanalyse findet damit pro Gruppe statt. Das minimiert deutlich die Analysen sowie Maßnahmen.
4. Risikobehandlung: Maßnahmen erstellen und steuern
Aufgaben und Maßnahmen zur Behandlung von Risiken müssen erstellt und Verantwortlichen zugewiesen werden. Vordefinierte Kriterien zur Risikoakzeptanz sowie der ermittelte Risikowert können die Priorisierung der Risikobehandlung deutlich erleichtern.
5. Aufgabenmanagement: Bearbeitungsstatus verfolgen
Über ein Aufgabenmanagement lassen sich die angelegten Aufgaben und Maßnahmen verwalten und steuern. Dies gibt einen Überblick über die anfallenden sowie zu erledigenden Aufgaben.
Risikomanagement als Bestandteil der Informationssicherheit und des Datenschutzes
Sowohl die Einführung und der Betrieb eines ISMS (Informationssicherheits-Managementsystem) als auch die Dokumentation des Datenschutzes erfordern ein zentral gesteuertes Risikomanagement. Der Unterschied bildet hierbei lediglich die Betrachtungsweise: Beim Datenschutz findet die Bewertung des Risikos aus der Sicht der Betroffenen statt. Das bedeutet, dass die personenbezogenen Daten im Fokus stehen. Ein ISMS erweitert diese Perspektive zu einer ganzheitlichen Sichtweise. Dabei werden die Risiken bezogen auf das Unternehmen bzw. die geschäftskritischen Prozesse bewertet. Das bedeutet wiederum, dass die gesamten schützenswerten Informationen betrachtet werden. Obwohl die Überschneidungen beim Risikomanagement also scheinbar auf der Hand liegen, erkennen viele Organisationen noch nicht ausreichend die Zusammenhänge. Die zuständigen Abteilungen im ISMS und im Datenschutz arbeiten aneinander vorbei, anstatt die Synergieeffekte zu nutzen und einen gemeinsamen Datenbestand zu verwenden. Das führt sowohl zu Mehrarbeit als auch zu einem inkonsistenten und damit fehlerhaften Datenbestand. Und dabei sei angemerkt, dass man davon ausgehen kann, dass bereits bei einem mittelständischen Unternehmen Aufwände im sechsstelligen Bereich pro Jahr verschwendet werden können.
Der einfache Weg zum Ziel
Ein unterstützendes Werkzeug beim Risikomanagement kann es vor allem in den Bereichen Analyse, Bewertung, Behandlung und Überwachung geben. Die Organisationen sparen dabei wertvolle Zeit, denn sie müssen sich nicht aufwendig in die komplexe Thematik einarbeiten. Eine Software leitet den Anwender durch den Prozess der Analyse, Bewertung und Behandlung und gibt an den relevanten Stellen Unterstützung. So lassen sich die Unternehmenswerte wie Prozesse, Personal oder Infrastruktur, die jeweils dem gleichen Risiko zugeordnet sind, in Gruppen zusammenfassen. Eine Risikoanalyse findet damit pro Gruppe statt und minimiert die Maßnahmen. Wiederkehrende Behandlungsprozesse zur Risikoakzeptanz, Risikominimierung und Risikovermeidung lassen sich effizient über das Aufgabemanagement verwalten. Die erstellten Maßnahmen zur Risikobehandlung können über das Aufgabenmanagement gesteuert und übersichtlich dargestellt werden.
Ein weiterer Mehrwert: Die Risikomatrix ist dynamisch. Organisationen können die Risikomethode im System auf ihre individuellen Bedürfnisse anpassen. Wird z.B. bei der Risikomatrix eine zusätzliche Stufe eingeführt, müssen die Assets lediglich neu bewertet werden. Die gesamten Inhalte als solches bleiben aber weiterhin bestehen. Eine separate Assetpflege ist weiterhin mit einer Softwarelösung nicht mehr notwendig. Denn Assets, wie die IT-Infrastruktur oder das Personal, lassen sich automatisch in die Lösung importieren.
Fazit
Die Komplexität sowie die Abhängigkeiten in der heutigen Gesellschafft steigen immer mehr an. In Organisationen bedeutet das nicht selten, dass die Mitarbeiter mit immer mehr Aufgaben vertraut werden. Dabei kann häufig der Überblick verloren gehen. Ein zentral gesteuertes Risikomanagement ist Teil der Unternehmenssteuerung und sollte als lebender Prozess in der Organisation integriert sein. Mit der richtigen Lösung ist die Einführung eines Risikomanagements schnell und einfach erledigt. Eine praxisorientierte Vorgehensweise leitet den Anwender durch die einzelnen Schritte und liefert entsprechende Unterstützungsmöglichkeiten. Damit meistert man diese Herausforderung, selbst ohne ein Risikomanagementexperte sein zu müssen.
Die Softwarelösungen, wie INDITOR ISO oder INPRIVE von Contechnet, liefern ein professionelles Risikomanagement. Die vordefinierten Risikokriterien wie z.B. finanzielle oder Innen- und Außenwirkungen erleichtern die Einstufung der Auswirkung deutlich. Weiterhin entstehen Synergieeffekte in den Bereichen IT-Notfallplanung, ISMS und Datenschutz, da der Datenbestand, wie Personal, Prozesse oder Infrastruktur gemeinsam genutzt werden kann.
Jens Heidland, Leiter Consulting bei Contechnet
it-sa 2018, Stand 9-338 in Halle 9
