Risikomanagement praktisch

Worum geht es?

Risiken erkennen

Der Schlüssel zu jedem guten Risikomanagement ist die Identifikation von Bedrohungen. Werden elementare Bedrohungen übersehen, nützt auch eine ausgefeilte Metrik nicht viel.

Ein Risikomanagement-System muss allein schon deshalb einfach sein, damit jeder, der ein Risiko sieht, nicht von komplizierten Prozessen und Metriken von der Erfassung abgehalten wird.

Risiken vergleichbar machen

Ein gutes Risikomanagement lebt davon, dass möglichst alle Bedrohungen erfasst und einheitlich bewertet und damit vergleichbar sind. Nur so kann bei der Behandlung sinnvoll priorisiert werden. Niemand kann sich um alle (möglichen) Probleme gleichzeitig kümmern.

Es geht um die Einschätzung möglicher Szenarien, also um die Vorhersage der Zukunft. Eine zu hohe Granularität in der Bewertung kann die Illusion einer Genauigkeit erzeugen, die es niemals geben wird. Allein deshalb sollte ein Risikomanagement einfach sein.

Um Risiken zu bewerten, wird üblicherweise der mögliche Schaden (Schadenpotential) ins Verhältnis mit seiner Eintrittswahrscheinlichkeit gesetzt.

Ein möglicher, einfacher Weg

Sowohl für das Schadenpotential als auch die Eintrittswahrscheinlichkeit werden in jeweils vier Stufen definiert. Das klingt vielleicht zu einfach; die Praxis zeigt jedoch, dass hierüber bereits sehr differenziert Risikobehandlungen priorisiert werden können. Und wie gesagt, eine höhere Granularität täuscht eine Genauigkeit vor, die es gar nicht geben kann; denn wir prognostizieren hier gerade die Zukunft.

Wichtig: Egal, wie viele Stufen man wählt, es sollte stets eine gerade Zahl sein. Bei ungeraden Zahlen gibt es eine Mitte und Menschen neigen oft zu unverbindlichen Entscheidungen, wo es denn geht. Bei vier Stufen muss man sich festlegen; man muss überlegen; es gibt keine Mitte. Wir wollen jedoch von denjenigen, die ein Risiko kennen, authentische Antworten bekommen.

Wahrscheinlichkeit eines Schadensereignisses

Es gibt verschiedene Risikoarten, die mit unterschiedlichen Kriterien betrachtet werden müssen. Die Eintrittswahrscheinlichkeit sollte allerdings bei allen Risikobewertungen nach derselben Metrik erfolgen.

WahrscheinlichkeitBeschreibungeinfache Beispiele
4 sehr hochzu erwarten bis gewissAusrutschen auf ausgelaufenem Oil auf glattem Boden
3 eher hochvorstellbar bis zu befürchtenUnfall beim Überqueren einer stark befahrenen Straße im Dunkeln, bei schlechter Sicht ohne Fußgängerüberweg
2 eher niedrigvorstellbar, aber praktisch eher unmöglichUnfall beim Überqueren einer gut beleuchteten Straße mit Fußgänger-Ampel bei Grün für Fußgänger
1 sehr niedrigdenkbar, aber nur theoretisch relevant; keine AlltagsgefahrMeteoriteneinschlag genau auf den eigenen Standort

Schadenpotentiale

Bei der Bewertung von Schadenpotentialen soll in verschiedene Risikoarten unterteilt werden. So können jeweils treffende Beispiele formuliert werden; denn denjenigen, die eine Einwertung vornehmen, soll das Ganze ja so einfach wie möglich von der Hand gehen.

Ein Unternehmen benötigt möglichst ein umfassendes bzw. vollständiges Bild seiner (bewerteten) Risiken. Je einfacher die Bewertung anzuwenden ist, desto authentischer dürfte am Ende das Gesamtbild sein. Der zentrale Risikomanager will ja etwas von den Menschen, die im operativen Geschäft den möglichen Schäden ins Auge sehen – nämlich eine Bewertung. Also kommt man diesen Menschen mit einer möglichst einfachen Metrik entgegen.

Datenschutz-Risiken

Bewertet wird ein möglicher Schaden bei der Gefährdung der Rechte und Freiheiten der Betroffenen; das ist DSGVO-Sprache – die Beispiele machen es anschaulicher.

Schadeneinfache Beispiele / Erläuterung aus Sicht der Betroffenen
4 sehr hochNachhaltige Rufschädigung, die auf die weitere Gestaltung des Lebens einwirkt (z.B. durch Offenlegung erheblich kompromittierender persönlicher Details im Internet).
3 eher hochGravierendes Problem, jedoch mittels Gegenmaßnahmen soweit behebbar, dass keine Langfristschäden die weitere Gestaltung des Lebens beeinträchtigen (z.B. Identitätsdiebstahl).
2 eher niedrigEng begrenztes Problem, jedoch als Datenschutzvorfall zu bewerten (reparabel und ohne ernstzunehmende Auswirkungen auf die weitere Gestaltung des Lebens der Betroffenen).
1 sehr niedrigIncident, insofern ärgerlich aber ohne tatsächliche Probleme für die Betroffenen.

Gesundheitsrisiken

Gesundheitliches Schadenpotential ist z.B. bei der (für Arbeitgeber obligatorischen) Gefährdungsbeurteilung von Arbeitsplätzen zu erfassen.

Schadeneinfache Beispiele / Erläuterung
4 sehr hochTödlich oder bleibende Schäden
3 eher hochStärkere Schmerzen, psychische Belastung und ggf. Krankenstand
2 eher niedrigKeine Beeinträchtigung oder allenthalben lästig
1 sehr niedrigKeine Beeinträchtigung oder max. spürbar oder kurzzeitig lästig.

Reputationsschäden / Imageproblem

Es geht um den guten Ruf des Unternehmens. Diese nur schwierig messbare Größe kann Einfluss darauf haben, ob Kunden oder Mitarbeiter mit dem Unternehmen arbeiten möchten.

Schadeneinfache Beispiele / Erläuterung
4 sehr hochNachhaltige Rufschädigung mit Einfluss auf bestehende und neue Vertragsbeziehungen; nicht oder nur schwierig durch Gegenmaßnahmen wieder zu neutralisieren.
3 eher hochRufschädigung, die für eine absehbare Zeit Einfluss auf bestehende und neue Vertragsbeziehungen nehmen könnte; könnte mit ggf. teuren Gegenmaßnahmen (Imagekampagnen) weitgehend neutralisiert werden.
2 eher niedrigMöglicherweise kurzzeitige und geringfügige Beeinträchtigung; jedoch insoweit unbedeutend, da sie für Stakeholder kaum entscheidungsrelevant wird.
1 sehr niedrigKeine wahrnehmbare Beeinträchtigung des guten Rufs des Unternehmens.

Materielle Schäden

Materielle Schäden sind in Euro zu beziffern (Schätzung).

Ein Schaden von z.B. 100.000 Euro kann für mittelständische Unternehmen bereits ruinös sein. Bei einem Großkonzern wird man diesen Betrag am Ende wohl nicht einmal in der Bilanz bemerken. Die geschätzten Euros müssen also bei der Bewertung noch in Relation zur Größe oder wirtschaftlichen Kraft des Unternehmens gesetzt werden. Die Beispiele erläutern, dass auch dies nicht schwierig ist.

Schadeneinfache Beispiele / Erläuterung
4 sehr hochSchaden in Höhe der Kapitaldecke (Eigenkapital) plus der zu erwartende Gewinn des laufenden Jahres (Eintritt des Risikos würde zur Überschuldung und ggf. zur Insolvenz führen).
3 eher hochSchaden in Höhe des zu erwartenden Gewinns des laufenden Jahres (bereits ein einziges Schadenereignis würde das Unternehmen im laufenden Jahr in die Verlustzone drücken).
2 eher niedrigSchadenhöhe zwischen Bagatellgrenze und zu erwartendem Gewinn des laufenden Jahres. Wird kein Jahresgewinn erwartet, ist durch die Geschäftsleitung ein Betrag festzulegen.
1 sehr niedrigBetrag unterhalb einer festzulegenden Bagatellgrenze.

Der Risikowert

Damit Risiken vergleichbar werden, bildet man den Risikowert. Hierzu wird einfach die Zahl der Eintrittswahrscheinlichkeit mit der Zahl der Schadenhöhe multipliziert. Je höher das Ergebnis (der Risikowert), desto mehr Aufmerksamkeit sollte man dem Risiko schenken.

Die Logik hinter dieser Metrik ist simpel: Potentiell schwerwiegende Schäden können vernachlässigt werden, wenn sie unwahrscheinlich sind. Stattdessen benötigen auch kleinere Probleme Aufmerksamkeit, wenn ihr Eintreten sehr wahrscheinlich ist.

Der Risikowürfel veranschaulicht das: Ein unwahrscheinlicher aber schwerwiegender Schaden wird einen Risikowert von 4 haben. Kleinere, aber sehr wahrscheinliche Probleme haben dagegen eine 8.

Das Schöne an dieser einfachen Metrik: Man hat alle Risiken vergleichbar gemacht. Bei den hier gewählten Abstufungen wäre es für eine Unternehmensleitung plausibel, alle Risiken mit Werten größer 8 generell aufzugreifen, um eine Entscheidung für eine Strategie zu treffen (Risikomanagement ist der bewusste und systematische Umgang mit Bedrohungen): Vermeidung, Verminderung, Akzeptanz oder Risikoüberwälzung*. Wird ‘Akzeptanz’ gewählt, bleibt der Risikowert wo er ist. Alle anderen Strategien sollten beim nächsten turnusmäßigen Review zu niedrigeren Risikowerten führen, weil durch die Maßnahmen ja auch die Bedrohung reduziert wurde.

*) Die vier Strategien zur Risikobehandlung werden hier erläutert.

Ethische Grenzen

Bewusst schwere Verletzungen oder sogar den Tod eines Mitarbeitenden in Kauf zu nehmen, geht natürlich gar nicht. Folglich fällt die Risikostrategie ‘Akzeptanz’ unter ethischen Gesichtspunkten für hohe Schadenpotentiale bei allen Risikoarten, die Leid für einen Menschen bedeuten natürlich aus.

Es klingt fast unmenschlich und mindestens Empathie befreit, wenn man der vorstehenden Metrik folgend, wirtschaftlichen Bedrohungen mehr Aufmerksamkeit schenkt als einer Gesundheitsbedrohung. Beispiel: hohe wirtschaftliche Bedrohungen (= 3) mit hoher Eintrittswahrscheinlichkeit (= 3) wäre mehr Aufmerksamkeit zu widmen als einem maximalen (!) Gesundheitsrisiko (Tod oder bleibende Schäden = 4) bei niedriger Eintrittswahrscheinlichkeit (also vorstellbar = 2).

Das wirtschaftliche Risiko hätte einen Risikowert von 9 (3 x 3). Das Gesundheitsrisiko hätte einen Risikowert von 8 (4 x 2). Die Prio muss also auf der Behandlung des wirtschaftlichen Risikos liegen. Ist das O.K.?

Es wäre schön, wenn man jegliches Leid von Mitmenschen fernhalten könnte. Kann man aber nicht. Es gilt nicht als unethisch, Menschen aufzufordern, ein Auto zu fahren – obwohl hier durchaus ein Restrisiko für Leib und Leben besteht. Nach vorstehender Metrik hat Autofahren einen Risikowert von 8.

Die gewählte Metrik sorgt dafür, dass aus der Kombination von Schadenspotential und Eintrittswahrscheinlichkeit durchaus ethisch vertretbare Ergebnisse entstehen (einfach mal mit Beispielen ausprobieren). Und wenn die ‘Vorgaben’ der Metrik nicht mit den eigenen oder im Unternehmen geltenden ethischen Standards in Einklang zu bringen sind, dann entscheidet man bewusst anders. Wichtig beim professionellen Risikomanagement ist das systematische Bewerten und das bewusste Entscheiden. Und dabei sollte die hier beschriebene simple Metrik* sicherlich gut helfen.

*) Wichtig: Wir erheben nicht den Anspruch das Risikomanagement oder diese Metrik erfunden zu haben. Unser Ansatz hier ist, aus anderen bekannten Modellen eine einfache Essenz erstellt zu haben und diese hoffentlich so einfach beschrieben zu haben, dass sie problemlos anwendbar ist.