Kennen Sie die Risikomühle? Oder anders gefragt: Wie identifiziert man ein echtes Risiko?

28

Apr

2018

Viele Unternehmen beschäftigen sich derzeit damit, ein Risk-Management-System einzuführen oder ihr bestehendes System in Richtung operationaler Risiken, Risiken aus Prozessen, Personen, Technik sowie externen Einflüssen, zu erweitern. Die ISO 31000 ist hierfür ein guter Leitfaden. Nach ihr ist eine Einführung gut strukturiert möglich, standardisiert durchführbar und somit kein Hexenwerk mehr. Umso mehr verwundert es, dass […]

ebodenmueller 08:27

Viele Unternehmen beschäftigen sich derzeit damit, ein Risk-Management-System einzuführen oder ihr bestehendes System in Richtung operationaler Risiken, Risiken aus Prozessen, Personen, Technik sowie externen Einflüssen, zu erweitern. Die ISO 31000 ist hierfür ein guter Leitfaden. Nach ihr ist eine Einführung gut strukturiert möglich, standardisiert durchführbar und somit kein Hexenwerk mehr.

Umso mehr verwundert es, dass es manchen Unternehmen schwer fällt, ein aktiv gelebtes und aktuelles Risikoinventar zu etablieren, mit Risiken, die aktuell identifiziert, realistisch bewertet und steuerbar sind sowie schrittweise minimiert werden.
Ein Grund mag sein, dass die eingesetzten Systeme eher eine Alibifunktion erfüllen und zur Befriedigung regulatorischer Anforderungen benutzt werden. Oftmals werden Risk-Management-Systeme aber auch zunächst mit viel Elan gestartet, um dann, einige Monate später, mit gleicher Geschwindigkeit zurückgeschraubt zu werden, weil die Risiken, die in das System eingepflegt wurden,  zu Dauermeldungen verkommen, nicht mehr regelmäßig aktualisiert werden oder weil sie seit der Aufnahme unverändert ohne eingeleitete Gegenmaßnahmen „in der Luft“ hängen.

Im Extremfall wird das Risikoinventar ein Kummerkasten für Mitarbeiter, die nicht mehr wissen, wohin mit Ihren Sorgen. Beispielhafte Risikomeldungen aus solchen Systemen können dann sein:
1. Eine mangelhafte Projektplanung verursacht Folgekosten.
2. Es entstehen IT-Sicherheitslücken durch fehlenden Kauf der Software xy.
3. Personalausfall kann zu Verzögerungen im Projekt führen.
4. Die neue Baustelle auf der Autobahnbrücke kann zu Verzögerungen im Lieferprozess führen.
5. Das Kantinenessen ist ein einziges Risiko.
6. Unser First-Level-Support ist ein Risiko, da erreiche ich nie jemanden.

Nehmen wir das einmal das zweite Beispiel des fehlenden Software-Kaufs. Schaut man sich dieses „Risiko“ einmal genauer an, stellt man schnell fest, dass es sich hier gar nicht um ein echtes Risiko handelt! Zunächst einmal ist das Ereignis bereits aufgetreten, liegt also in der Gegenwart. Risiken liegen immer in der Zukunft. Das wahre Risiko bzw. vielmehr die Risiken sind: „Produktionsausfälle …“ oder „Erpressbarkeit aufgrund einer Attacke auf die IT-Systeme von außen.“ Das Fehlen der Software ist demnach eine fehlende Gegenmaßnahme gegen das eigentliche Risiko. Und vor allem: Es ist nur eine von mehreren möglichen Gegenmaßnahmen. Eventuell gibt es organisatorische, prozessuale, strukturelle Lösungen oder noch andere Softwarepakete. Vielleicht liegen mögliche Maßnahmen auch in der Nutzung (oder Nicht-Nutzung) von Cloud-Systemen und weiteren, neuen Sicherheitsstufen. Somit liegt hier nur eine Information vor, aus der erst die eigentlichen Risiken extrahiert werden müssen.

Der Risikomelder gibt nicht die einzige Lösung vor, sondern wird zu einem Teil der Lösungsfindung.
Dieses Beispiel zeigt, wie eine falsch verstandene „Risikomeldung“ den gesamten Risk-Management-Prozess aushebeln kann und letztendlich zu einer Blockierung des Prozesses führen können.

Frank Moritz, zertifizierter Auditor zur ISO 20000eit und seit 15 Jahren im den Themenfeldern Risikomanagement und Projektmanagement unterwegs, u. a. als Interim Manager, als Trainer und Coach hat unter dem Schlagwort „Die Risikomühle“ ein Modell zur strukturierten Formulierung von Risiken entwickelt.

Bei den o. g. Beispielen für Risikomeldungen handelt es sich bei genauerem Hinsehen z. B. um etwas anders formulierte Schäden (Beispiele 1 und 5), globale Allgemeinplätze (Beispiel 3), Meldungen, die außerhalb des Einflussbereichs des Risk Managements liegen (Beispiel 4) etc.

Um aus den „Risikomeldungen“ die echten Risiken herauszuarbeiten, hat sich in der Praxis ein Tool bewährt, dass durch die richtigen Fragestellungen die relevanten Daten aus der Risikomeldung zieht und für den Risikomanagement-Prozess vorbereitet: Wie in einer Mühle werden die Risikomeldungen als „Körner“ in den Trichter gefüllt und dann in sechs Schritten so lange „gemahlen“, bis klar ist, ob, und wenn ja, welche Risiken sich in der Risikomeldung tatsächlich verbergen. Wie diese 6 Schritte im Einzelnen aussehen, erfahren Sie hier.

In diese Risikomühle werden Ad-hoc-Risiko-Meldungen genauso eingefüllt wie Risiken aus dem Reporting. Alle Risikomelder sollten darüber hinaus die 6 Schritte der Risikomühle kennen, damit sie eine sinnvolle Vorauswahl treffen und somit auch den Zeitbedarf für die weitere Analyse reduzieren zu können. Im Risk Management-Prozess ist die Risikomühle somit ein zentrales Tool der Risikoanalyse.

Ihr Ansprechpartner für Risikomanagement im BWI-Bau: Dipl.-Kfm. Sascha Wiehager, CISA