Risikomanagement und Unternehmenskultur E-Book

Die Autoren

Seit 1984 ist Peter R. Bitterli, dipl. Math. ETH, CISA, CISM, CGEIT, im breiten Gebiet der Revision, Kontrolle und Sicherheit der Informationstechnologie (IT) tätig - intern wie extern und sowohl in der (Informatik-) Revision als auch in der (Informatik-) Sicherheit. Als Gründungsmitglied des ISACA Switzerland Chapter und während 25 Jahren als Vorstandsmitglied hat er die Landschaft der IT-Revision in der Schweiz massgeblich mitgeprägt, sei als als Dozent und Modulleiter der Akademie für Wirtschaftsprüfung, als Lehrbeauftragter der Universität Zürich oder als Dozent in Kursen an verschiedenen Fachhochschulen. Als Mitglied des Fachstabs Informatik der EXPERTsuisse gestaltet er Prüfungsstandards, Prüfungsanleitungen oder Prüfungsempfehlungen im IT-Bereich mit; er hat in den letzten Jahren verschiedene Publikationen veröffentlicht und ist häufig eingeladener Referent an internationalen Fachtagungen.

Der seit 1996 promovierte Jurist (Universität Fribourg) Beat Graf arbeitete während knapp 10 Jahren zuerst im Firmenkundengeschäft und anschliessend rund 7 Jahre im Konzernrechtsdienst einer Schweizer Grossbank. Danach war er Gründungspartner und Geschäftsführer einer Beratungsfirma in St.Gallen, welche unter anderem in der rechtlichen Beratung diversen Banken im Workout-Bereich, im Restrukturierungs-und Sanierungsgeschäft sowie der Beratung und Gründung von Unternehmen tätig war. Seit über 10 Jahren arbeitet er im Fürstentum Liechtenstein, heute in der Funktion des Präsidenten des Treuhänderrates einer der grössten Treuhandgesellschaften. Gleichzeitig ist er im Verwaltungsrat einer börsenkotierten Liechtensteinischen Privatbank sowie verschiedenen Treuhand- und Finanzdienstleistungsgesellschaften im In- und Ausland. 2007 schloss er die Ausbildung zum Master of Advanced Studies in Risk Management an der Hochschule Luzern ab. An der Universität Liechtenstein hat er zwei Lehraufträge im Bereich Risikomanagement und Compliance.

Marcel Schühle, MAS Risk Management Hochschule Luzern, CISA, CISM, Risiko Manager SAQ und EOQ, ist seit 1998 in der Finanzbranche in hoch regulierten und Finanzplatz kritischen Umgebungen als Chief Information Security Officer (CISO), IT-Risiko-Manager und IT Compliance-Verantwortlicher tätig. Von 2001 bis 2015 war er Mitglied der Arbeitsgruppe Informationssicherheit der schweizerischen Bankiervereinigung AGIS, die er in den Jahren 2002 sowie 2010 bis 2014 präsidiert hat. Zudem partizipiert er seit 2001 in diversen Arbeitsgruppen der schweiz. Kommission für Standardisierung im Finanzbereich SKSF. Seit 2008 unterrichtet er nebenamtlich als Privat-Dozent an der Hochschule Luzern im Institut für Betriebs- und Regionalökonomie IBR im Rahmen des Master of Advanced Studies in Risk Management die Themen IT Risiko Management, Einfluss psychologischer und soziologischer Aspekte auf die Ausgestaltung des unternehmensweiten Risiko-Managements sowie Risiko-Management-Methoden und Instrumente.

Umschlagseite

Das Bild der Umschlagsseite stammt von Alain Desarzens, der neben seinem Beruf als Dozent der Passion des künstlerischen Ausdrucks nachgeht. Es wurde von Peter R. Bitterli fotographiert und graphisch umgestaltet.

Inhaltsverzeichnis

Vorwort

Risikoanalyse und Risikomanagement - begriffliche Grundlagen

Die unterschiedlichen Interpretationen der wichtigsten Begriffe

Rahmenwerke für Risikomanagement

Die wichtigsten Frameworks im Überblick

Kultur als kritischer Erfolgsfaktor für das Risikomanagement

Unternehmenskultur als entscheidender Einflussfaktor

Risikowahrnehmung

Die psychologische Ebene des Risikomanagements

Wahrnehmungs- und kulturneutrales Risikomanagement

Ansatz zur Verminderung der subjektiven Risikobewertung

Anwendungsbeispiele Risikoanalyse

Beispiele verschiedener Methoden und Darstellungen

Literaturnachweis und -hinweise

Vorwort

Die Auseinandersetzung mit Unternehmenskultur und unternehmensweitem Risikomanagement liegt zweifelsohne im Trend; sie gewann unter anderem durch grössere Firmenzusammenbrüche und Wirtschaftsskandale zunehmend an Bedeutung. Während die Unternehmenskultur vorwiegend auf die Rahmenbedingungen eines Risikomanagements beeinflussend wirkt, werden Risiken durch Personen identifiziert, beurteilt und behandelt und unterliegen naturgemäss der individuellen und damit subjektiv geprägten Wahrnehmung. Nachfolgend ist indessen nicht allein die je gesonderte Betrachtung von Interesse, sondern vielmehr das Zusammenspiel zwischen der Unternehmenskultur, der subjektiven und individuellen (Risiko-)Wahrnehmung und dem unternehmensweiten Risikomanagement. Im Fokus stehen dabei kulturell bedingte Gefahren, die für ein Risikomanagement erfolgskritischen Kulturelemente sowie auch mögliche Instrumente und Methoden mit dem Ziel einer kultur- und wahrnehmungsneutralen Risiko-Betrachtung.

Im Vergleich der bekanntesten Risikomanagement-Normen wird manifest, dass sich diese bezüglich Prozesse inhaltlich nur geringfügig unterscheiden, weshalb der Erfolg, ein Risikomanagement einzuführen, nicht von der Wahl der Norm abhängig sein dürfte. Alle gängigen Normen betonen indes die Wichtigkeit der Unternehmenskultur sowie der subjektiven Risikowahrnehmung. Somit kann die Unternehmenskultur als ein kritischer Erfolgsfaktor für das unternehmensweite Risikomanagement angesehen werden. Grösstenteils mangelt es aber in allen untersuchten Normen an konkreten Umsetzungshilfen, diese Einflüsse zu berücksichtigen und zielgerichtet zu steuern.

Betrachtet man die Unternehmenskultur als eine für den wirtschaftlichen Erfolg massgebliche Variable, so bedingt dies die Erfassung, Visualisierung und Beurteilung derselben, damit allfällige Veränderung bzw. Auffälligkeiten rechtzeitig erkannt werden können. Die bewusste Pflege und Gestaltung dieses an sich heute unbestrittenen Erfolgsfaktors “Unternehmenskultur” setzt eben gerade auch deren Vergleichbarkeit voraus. Vor diesem Hintergrund wurde versucht, die Unternehmenskultur auf eine übersichtliche und vergleichbare Weise sowie beschränkt auf die wichtigsten Kulturelemente (Dimensionen) darzustellen.

Sind die Rahmenbedingungen für das Risikomanagement definiert, formuliert sowie kommuniziert, gilt es, die wahrnehmungsbezogenen Faktoren im Laufe des Risikomanagement-Prozesses so zu steuern, dass eine möglichst transparente und wahrnehmungsneutrale Sicht über die Risiken einer Unternehmung resultiert. Zur Erreichung dieser objektiven Sicht sind für die Analyse der Risiken quantitative den semi-quantitativen und qualitativen Verfahren vorzuziehen. Wo solche Verfahren keine oder nur sehr beschränkte Anwendung finden können, wird gezeigt, wie mit verschiedenen Ansätzen, teilweise aus dem System Engineering, qualitative Methoden möglichst “objektiviert” werden können.

Risikoanalyse & Risikomanagement – begriffliche Grundlagen

Die in der Risikoanalyse resp. im Risikomanagement geläufigen Begriffe sind nicht immer eindeutig: einerseits sind Begriffe mehrfach belegt und andererseits verwenden wir oft verschiedene Begriffe für ein- und dasselbe.

Unter einer Gefahr (danger verstehen wir

einen Zustand, aus dem ein Schaden entstehen kann;

die mögliche Ursache für ein Schadensereignis;

die in einem betrachteten Zustand schlummernde Möglichkeit des Auftretens eines schädigenden Ereignisses.

Die Gefahr besitzt keine Masseinheit. Beispiele von Gefahren sind: Überschwemmung, Erdbeben, Lawinen, Brand, Stromausfall, Viren, ...

Unter einer Gefährdung (exposure) verstehen wir den möglichen, auf ein bestimmtes Objekt bezogenen Verlust aufgrund des Auftretens eines negativen Ereignisses. Wir interessieren uns also dafür, wie eine Gefahr sich in einem bestimmten Umfeld konkretisieren könnte. Beispiele von Gefährdungen sind: die Brücke wird durch eine Lawine zerstört, das Rechenzentrum wird durch einen Brand beschädigt, usw. – wir betrachten also die Situation aus der Sicht des Objektes.

objektbezogene Betrachtung

Unter einer Bedrohung (threat) verstehen wir eine Aktion oder ein Ereignis, welches der Sicherheit schaden kann – also ein Faktor oder Umstand, der die Einhaltung der (Sicherheits-) Anforderungen eines Systems gefährden oder verhindern kann. Hier betrachten wir die Situation von aussen.

angriffsbezogene Betrachtung

Es ist in der Praxis schwierig, die Begriffe Gefährdung (eher aus Optik der Verwundbarkeit) und Bedrohung (eher aus Optik des “Angreifers”) sauber auseinander zu halten – wir verwenden sie aus diesem Grund in den meisten Fällen als Synonyme.

In manchen Risikoanalysemethoden wird Bezug genommen auf allenfalls mangelhafte passive Sicherheit, also konkrete Schwächen in einem System, Prozess usw. Solche Verwundbarkeiten (vulnerabilities) bestehen unabhängig von konkreten Gefährdungen resp. Bedrohungen und sind einer Sache eigen – sie können dann aber durch konkrete Bedrohungen “ausgenützt” werden und führen so zu einem möglichen Schaden. Verwundbarkeiten machen demnach ein System anfälliger für einen Angriff oder erhöhen die Wahrscheinlichkeit dafür, dass ein Angriff erfolgreich ist. Beispiele von Verwundbarkeiten sind brennbares Material (z.B. Papier) im Rechenzentrum, eine Verglasung im Erdgeschoss mit normalen Fenstergläsern statt Sicherheitsglas oder ein schlecht konfigurierter Firewall.

“statische“ Betrachtung

Ein Risiko (risk) ist die Möglichkeit eines Ereignisses mit einem negativen Effekt auf z.B. die Organisation und ihre Systeme (generell also die Möglichkeit, einen Schaden zu “erleiden”). In den gängigen Definitionen wird heute jegliche – positive wie negative – Abweichung von den Zielsetzungen Risiko als bezeichnet, auch wenn der Begriff in der Umgangssprache wie teilweise immer noch in der Fachliteratur vorwiegend negativ geprägt ist. In der Umgangssprache ist es zudem üblich, Gefahren und Gefährdungen mit dem Begriff “Risiko” zu bezeichnen, was eigentlich nicht ganz korrekt ist.

Das Risiko ist ein Mass für die Grösse der Gefährdung eines bestimmten Objektes und wird berechnet als Produkt der Eintretenswahrscheinlichkeit w eines Schadensereignisses und des potentiellen Schadensausmasses A. Das Risiko entspricht demnach geometrisch einer Fläche.

In der Regel hat man keine Einzelrisiken, sondern eine ganze Sammlung von Risiken.

Das zu ermittelnde Gesamtrisiko setzt sich aus einer unermesslichen Zahl von Einzelrisiken zusammen:

Obwohl die obige mathematische Formel für das Gesamtrisiko bestechend einfach aussieht, ist diese Art der quantitativen Risikoanalyse nur in Ausnahmefällen praktikabel: Oft fehlen verlässliche Erfahrungswerte für die Eintretenswahrscheinlichkeit und das Schadensausmass – vor allem bei seltenen Ereignissen.

aufwändige Risikoanalysen nur in Ausnahmefällen praktikabel

Und wenn man mit Hilfe dieser Formel das Gesamtrisiko für alle Bereiche einer Unternehmung bestimmen wollte, wäre der Aufwand für die Durchführung einer solchen umfassenden Analyse riesig (z.B. müsste in der Berechnung auch berücksichtigt werden, dass sich ein bestimmtes Risiko wiederum aus ähnlichen Teilrisiken zusammensetzt mit individuellen Eintretenswahrscheinlichkeiten und Schadensausmassen). Es ist deshalb wenig erstaunlich, dass sich dieser aufwändige Ansatz in der Praxis nur in wenigen Fällen bewährt hat. Man behilft sich stattdessen mit einer Sammlung und Bewertung typischer Risiko-Szenarien und spricht in diesem Zusammenhang auch von einer Risikolandschaft (risk landscape), welche die Einzelrisiken qualitativ zueinander in Beziehung setzt (siehe nachfolgende Abbildung).

Da die Eintretenswahrscheinlichkeiten und Schadenshöhen von Risiken oft nur sehr grob geschätzt werden können, werden in der Regel die beiden Beurteilungsmassstäbe (also die Eintretenswahrscheinlichkeit und das Schadensausmass) in 4–6 Stufen unterteilt und in einigen Darstellungen die dadurch entstandenen Flächen auch farblich als mehr oder weniger “gefährlich” gekennzeichnet. Risiken werden dann aufgrund dieser Grobeinteilung in eines der Felder eingeteilt. Da (anscheinend) die Zürich Versicherung innerhalb der Schweiz die Methode als erstes propagiert haben soll, ist sie in der Schweiz auch unter dem Namen Zürich-Methode bekannt.

Ein Geschäftsrisiko (business risk) ist das Risiko, das auf Grund einer spezifischen Geschäftstätigkeit besteht und die Zielerreichung gefährdet. Geschäftsrisiken entstehen also durch signifikante Einflüsse, Ereignisse, Umstände, Handlungen (oder das Fehlen von Handlungen!), welche die Fähigkeit des Unternehmens beeinträchtigen, seine Geschäftsziele zu erreichen [ISA 315]. Typische Einflussfaktoren auf das Geschäftsrisiko sind:

Art der Produkte oder Dienstleistungen und ihre Erstellung

Konkurrenzsituation (national/international) und Marktentwicklung

Branchenzugehörigkeit und (gute) Vergleichbarkeit mit anderen in dieser Branche

Unternehmensgrösse, finanzielle Basis, Liquidität

generelle technologische Entwicklungen (auch innerhalb der Informatik)

der Grad der Beeinflussung der Geschäftstätigkeit durch Dritte (Outsourcing)

Geschäftsrisiko wird durch Geschäftstätigkeit verursacht

Im Zusammenhang mit dem Geschäftsrisiko spricht man auch vom inhärenten Risiko (inherent risk), das mit einer bestimmten (Geschäfts-) Tätigkeit unabdingbar verknüpft ist. Beispiele für inhärente Risiken sind: Wechselkursrisiko bei Fremdwährungsgeschäften, Kreditrisiko bei der Kreditvergabe, Debitorenrisiko bei Versand gegen Rechnung. Das inhärente Risiko der meisten Bereiche im Informatikumfeld ist üblicherweise gross, da die potentiellen Effekte von Fehlern in der Regel mehrere Anwendungen gleichzeitig betreffen.

Das inhärente Risiko kann durch das Unternehmen vor allem dadurch reduziert werden, dass es auf diese spezifische Geschäftstätigkeit verzichtet. Der Sicherheitsbeauftragte oder Prüfer selbst kann die inhärenten Risiken nicht beeinflussen, er sollte sie jedoch kennen. Er muss sich zudem bewusst sein, dass hohe inhärente Risiken nur durch entsprechend starke Kontrollen abgefangen werden können. Wo diese nicht vorhanden sind, sollte auf eine Reduktion der kritischen Geschäfte hingewirkt werden.

Vom Kontrollrisiko (control risk) sprechen wir, wenn die Kontrollen zwar vorhanden, aber nicht oder nur ungenügend wirksam sind. Fehler werden in diesen Fällen nicht verhindert, zu spät entdeckt oder nicht zeitgerecht resp. nicht richtig korrigiert. Hinweise auf ein erhöhtes Kontrollrisiko in einem Unternehmen sind zum Beispiel:

(schlechte) Erfahrungen früherer Revisionen, Kundenreklamationen

Hinweise in Medien, Abstufung durch Rating-Agenturen, hohe Personalfluktuation

starke saisonale Schwankungen der Zahl der Transaktionen

Die Kontrollrisiken werden einzig durch die Geschäftsprozesse und die darin enthaltenen aber ungenügenden Kontrollen und damit durch das geprüfte Unternehmen selbst verursacht. Einen grossen Einfluss darauf haben:

Kontrollumfeld, Unternehmenskultur, Druck auf Verantwortliche

Fachkompetenz und Motivation der Mitarbeiter, Arbeitsmarkt

Integrität und Fachkompetenz des Managements sowie ihre Einstellung zum Internen Kontrollsystem (IKS)

grössere Reorganisationen, Fusionen, Outsourcing von Geschäftsprozessen

Wechsel in der Geschäftsleitung, beim Eigentümer und bei Schlüsselpersonen

fehlende Weisungen, fehlende Dokumentation, fehlende oder schwache Kontrollen

Abhängigkeiten von Schlüsselpersonen, ungenügende Funktionentrennung

«Die Art, wie ein Internes Kontrollsystem entworfen und implementiert wird, hängt stark von der Grösse und Komplexität des Unternehmens ab. Insbesondere kleine Unternehmen wenden in der Regel weniger formale Mittel und einfachere Prozesse und Verfahren an, um ihre Ziele zu erreichen. Beispielsweise haben kleine Einheiten mit aktivem Management [...] häufig keine umfangreichen Beschreibungen von Verfahren oder schriftlichen Richtlinien» [ISA 315; Ziff. 45].

IKS hängt stark vom Unternehmen ab

Einige der unter den Einflussfaktoren für Geschäftsrisiken aufgeführten Punkte wirken sich auch auf das IKS aus; so zum Beispiel die eingesetzte Informationstechnologie. Das Unternehmen kann nicht nur direkt, sondern auch indirekt Einfluss nehmen auf das Kontrollrisiko, in dem es z.B. die Mitarbeiter ausbildet und für ein positives Arbeitsklima sorgt. Der Prüfer resp. Sicherheitsbeauftragte seinerseits kann durch adäquate verfahrensorientierte Prüfungshandlungen die Angemessenheit und Wirksamkeit des IKS und somit auch das Kontrollrisiko beurteilen. Indem er in seinem Bericht die vorhandenen Schwachstellen aufzeigt und sinnvolle Empfehlungen zu ihrer Behebung abgibt, kann er mittelfristig zur Reduktion des Kontrollrisikos beitragen. Die Verantwortung für die Implementation von Massnahmen trägt aber immer das Unternehmen selbst.

Die Aufgabe des Prüfers (und im Prinzip auch die Aufgabe eines Sicherheitsbeauftragten) besteht darin, das IKS zu analysieren und zu beurteilen. Entdeckt der Prüfer dabei einen wesentlichen Fehler nicht, so sprechen wir vom Aufdeckungsrisiko (detection risk). Ein hohes Aufdeckungsrisiko kann durch das Prüfteam u.a. wie folgt verursacht werden:

inadäquate Prüfungsplanung

notwendige Schritte oder Verfahren werden ausgelassen

die Prüfungshandlungen werden nicht korrekt angewandt

Resultate von Prüfungen, Stichproben usw. werden falsch interpretiert

Feststellungen

(findings)

werden nicht richtig gewichtet

Das Aufdeckungsrisiko kann der Prüfer durch Art und Umfang seiner Prüfungshandlungen wesentlich beeinflussen. Dazu benötigt er aber ein solides Grundverständnis der Geschäftstätigkeit des geprüften Unternehmens und der dort angewandten Informationstechnologie sowie aktuelle Kenntnisse über das IKS.

Das Prüfrisiko oder Prüfungsrisiko (audit risk) ist eine Kombination von inhärentem Risiko, Kontrollrisiko und Aufdeckungsrisiko. Das Prüfungsrisiko hängt also ab vom revidierten Unternehmen selbst (Aspekte inhärentes Risiko und Kontrollrisiko) sowie von der Fachkompetenz des eingesetzten Prüfungsteams (Aspekt: Aufdeckungsrisiko).

Bei grossen Geschäftsrisiken und schwachem IKS sind die Anforderungen an die Prüfer besonders hoch. Hier gilt es, durch kompetente und umfassende Prüftätigkeit das Aufdeckungsrisiko und damit das gesamte Prüfrisiko angemessen zu vermindern.

nur kompetente Prüfer reduzieren Prüfrisiko

Unter Risikoanalyse (risk analysis) verstehen wir die systematische Ermittlung von Risiken. In den meisten Fällen wollen wir zwar gar nicht alle (Einzel-) Risiken ermitteln, sondern vielmehr eine Beurteilung des Gesamtrisikos vornehmen – man sollte daher eigentlich besser den Begriff Risikobeurteilung (risk assessment) verwenden. In der Praxis wird leider nicht genügend sorgfältig differenziert. Ebenfalls unterscheiden müsste man zwischen Risikoanalyse und Risikomanagement (risk management).

unterschiedlichste Arten von Risikoanalysen

Es gibt unterschiedlichste Ansätze zur Durchführung von Risikoanalysen. So unterscheiden wir z.B. zwischen quantitativen und qualitativen Methoden, wobei in der Praxis auch zahlreiche Kombinationen eingesetzt werden. Im Weiteren können wir unterscheiden zwischen Methoden, welche auf die Ursachen-Erkennung von Risiken ausgerichtet sind (so dass diese Ursachen im Anschluss reduziert oder in ihren Auswirkungen vermindert werden können), und solchen, welche primär ein Gesamturteil abgeben sollen (so dass entsprechende Verhaltensregeln getroffen werden können). Ein Beispiel für Letzteres ist die Einstufung des Lawinenrisikos in bestimmte Risikokategorien (so z.B. in die Gefahrenstufen “gering”, “mässig”, “erheblich” und “gross”). Je nach Risikokategorie können dann die entsprechenden Massnahmen getroffen werden – im vorherigen Beispiel verzichtet jeder vernünftige Mensch (bei entsprechenden Kenntnissen) auf Skitouren und Variantenabfahrten bei der höchsten Gefahrenstufe “gross”.

Bei quantitativen Risikoanalysen gehen wir davon aus, dass wir die Risiken irgendwie mit ausreichender Genauigkeit messen können. Ein möglicher Ansatz für quantitative Risikoanalysemethoden ergibt sich aus der klassischen Risikodefinition mit den beiden Faktoren “Eintretenswahrscheinlichkeit eines Schadensereignisses” und das damit verbundene “Schadensausmass”. Wie bereits eingangs erwähnt, ist die Bestimmung dieser Grössen oft mit erheblichen Schwierigkeiten verbunden, so dass dieser Ansatz nur für wenige Bereiche sinnvoll ist.

quantitative Risikoanalyse

Ein weiterer quantitativer Risikoanalyse-Ansatz ist derjenige der Annual Loss Expectancy (ALE) – auf Deutsch in etwa der “erwartete jährliche Verlust”. Bei diesem vor allem im Engineering verwendeten Ansatz werden die Risiken aufgrund des erwarteten jährlichen Schadens bewertet und darauf basierend die notwendigen Entscheide getroffen, z.B. für die Implementation der entsprechenden Sicherheitsmassnahmen. Die ALE-Ermittlung ist auch unabdingbare Voraussetzung, um den (monetären) Nutzen von Sicherheitsmassnahmen zu ermitteln, also für Diskussionen im Zusammenhang mit Return on Security Investment (ROSI). Die Aspekte von ALE, ROSI usw. werden an anderer Stelle im Zusammenhang mit dem umfassenderen Risikomanagement behandelt.

ALE und ROSI

Das Problem mit ALE, ROSI und auch mit den meisten anderen quantitativen Risikoanalyseansätzen ist, dass die entsprechenden Zahlen bekannt sein müssen. Auf der einen Seite können Schadenskosten häufig nur schwer in monetären Grössen bestimmt werden: Was kostet z.B. in CHF ein Schwerverletzter, ein Tag Produktionsausfall, eine negative Schlagzeile in der Tagespresse, ein Gerichtsfall? Und wie ermittle ich auf der anderen Seite die Eintretenswahrscheinlichkeiten von eher seltenen Ereignissen? Die notwendigen Zahlen sind häufig nicht verfügbar oder unzuverlässig, so dass die eigentlich angestrebte Exaktheit von quantitativen Risikoanalysemethoden nicht möglich ist oder – noch schlimmer – der Entscheidungsträger sich in falscher Sicherheit wiegt.

quantitative Risikoanalysemethoden nur beschränkt anwendbar

Die Lösung dieses Problems ist – analog der Darstellung in der Risikolandschaft – die Verwendung von Wertebereichen an der Stelle eines exakten Massstabs. Absolute Zahlen (also “Quantitäten”) werden ersetzt durch qualitative Begriffe, welche kennzeichnend sind für alle Werte in diesem Bereich; also z.B. die Verwendung von Begriffen wie “klein”, “mittel” und “gross” oder Kategorien wie “A”, “B”, “C” usw. Wir sprechen in diesem Zusammenhang von qualitativen Risikoanalysemethoden, welche für die Praxis in der Regel genügend genau und vom Aufwand her vertretbar sind.

qualitative Risikoanalyse

Bei der nachfolgenden Diskussion der verschiedenen Varianten und vorgestellten Beispielen muss man sich dessen bewusst sein, dass die Wahl der richtigen Methode vor allem von den übergeordneten Zielen abhängt – und dass es für jede zu untersuchende Risikosituation in aller Regel immer verschiedene mögliche Lösungsansätze gibt.

DerBegriffRisikomanagement (risk management) setzt sich aus den Begriffen Risiko und Management zusammen. Management leitet sich ursprünglich aus dem lateinischen Manus (Hand) ab und ist nach ISO 9000:2000 definiert als “[…] aufeinander abgestimmte Tätigkeiten zum Leiten und Lenken einer Organisation“. Management beinhaltet also die Elemente Koordination, Führung und Steuerung.

Setzt man die Bedeutungen von Risiko und Management nun zusammen, umfasst der Begriff Risikomanagement sämtliche aufeinander abgestimmten Tätigkeiten zum Leiten und Lenken potenziell negativer Ereignisse, welche das Erreichen der Unternehmensziele gefährden können. Unternehmensweites Risikomanagement (enterprise risk management; ERM) erweitert diese Definition noch um den gesamtheitlichen, themen- und abteilungsübergreifenden Aspekt.

Risikomanagement als Oberbegriff

Ein unternehmensweites Risikomanagement umfasst demnach die ganzheitliche, in die Gesamtführung der Unternehmung integrierte Steuerung der Risiken. Der Begriff “ganzheitlich“ bezieht sich auf sämtliche in der Unternehmung vorhandenen Risiken sowie auf deren Interdependenzen. Für die nachfolgenden Ausführungen werden Risikomanagement, unternehmensweites Risikomanagement und Risikomanagement-System synonym verwendet.

Nebst den Begriffen rund um das Risikomanagement, die aus sprachgebräuchlichen Zusammensetzungen mit “Risiko“ gebildet werden und in der Regel selbsterklärend sind, gibt es einzelne Begriffe, denen im Risikomanagement eine spezielle Bedeutung zukommt und im vorliegenden Kontext von grösserer Relevanz sind.

Risikomanagement-Philosophie und Risiko-Kultur weisen eine enge Bindung zueinander auf. Analog dem Begriff Unternehmensphilosophie kann die Risikomanagement-Philosophie als Grundsatz für das Risikomanagement definiert werden. Die Risikomanagement-Philosophie beschreibt den erstrebten Soll-Zustand einer Risiko-Kultur – oder anders ausgedrückt, ist Risikomanagement-Philosophie der Risiko-Kultur dann gleichzusetzen, wenn die definierten Grundsätze durch die gesamte Belegschaft mitgetragen und gelebt werden.

Risiko-Appetit (risk appetite) beschreibt ein Rest-Risiko, das eine Unternehmung bewusst bereit ist zu akzeptieren. Dieser Wert kann qualitativ (z.B. gross, mittel, tief) und/ oder quantitativ z.B. in Geldeinheiten ausgedrückt werden und dient gemäss COSO als Teil der Risikomanagement-Grundsätze dazu, die richtigen Strategien zu verfolgen, die mit dem Risiko-Appetit sowie der Risiko-Tragfähigkeit einer Unternehmung korrespondieren. Der Risiko-Appetit sollte dabei die Risiko-Tragfähigkeit einer Unternehmung nicht überschreiten.

Wie hoch ist der “Appetit“?

Rahmenwerke für Risikomanagement

Zu Beginn des 20. Jahrhunderts bis in die späten fünfziger Jahre war Risikomanagement naturgemäss vor allem in der Versicherungsbranche eine bekannte Grösse. Das durch die Versicherungsgesellschaften betriebene Risikomanagement fokussierte sich hauptsächlich auf die Höhe der Prämien der durch die Versicherung zu übernehmenden Risiken. Mit der zunehmenden Industrialisierung und Automatisierung in Unternehmungen wurde die Qualitätssicherung immer wichtiger, und es entstanden ab den sechziger Jahren Analysemethoden für Qualitätsmanagement, wie z.B. die FMEA (Failure Mode and Effects Analysis, IEC 60812), die Ereignisablaufanalyse (DIN 25419) oder die Fehlerbaumanalyse (DIN 25424 – 1/2), deren Hauptfokus sich auf Identifikation, Bewertung und Minderung von Risiken richteten. Ziel dieser Methoden war, Fehler bereits vor dem Eintreten eines Schadens zu verhindern oder deren Ursachen zu erforschen.

unterschiedliche Methoden für verschiedene Ziele

Durch die Zunahme der Globalisierung, des Wettbewerbs- und Kostendrucks, der Komplexität von Produktionsanlagen und Informationssystemen sowie aufgrund der gestiegenen Anforderungen der internen und externen Umgebung einer Unternehmung hat sich in den letzten Jahrzehnten die Risikolage und der Druck nach einem umfassenden Risikomanagement deutlich verschärft. Somit war es auch nicht mehr ausreichend, einzelne Problemstellungen isoliert und nur aus einem Blickwinkel heraus zu betrachten, wie dies bei den damaligen Risikoanalysemethoden im Fokus stand. Vielmehr wurde eine umfassende Sicht über die eine Unternehmung bedrohenden Risiken notwendig und von Gesetzgebern einzelner Länder aufgrund der Wirtschaftsskandale der letzten Dekade sogar gefordert.

umfassende Sicht auf Risiken notwendig

Von verschiedenen Interessengruppen wurden unternehmensweite Risikomanagement-Systeme mit dem Ziel erarbeitet, den Risikomanagement-Ansatz in die Unternehmenssteuerung zu integrieren – also ein Rahmenwerk für eine risikoorientierte Unternehmensführung zu schaffen. Einzelne Rahmenwerke haben sich mittlerweile zu nationalen und zum Teil sogar internationalen Standards etabliert.

Aktuelle Rahmenwerke für Risikomanagement