GRC@SAVISCON: Risiko-Management

Wie funktioniert die Risikobewertung?

von Uwe Straßberger, Director Marketing & Sales bei der SAVICON GmbH

Wie versprochen geht in unserem heutigen Blog-Beitrag aus dem Projekt Risiko-Management um die Risikobewertung. Zur Erinnerung: Wir als SAVISCON GmbH bilden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) ab. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

Was ist eine Risikobewertung?

Eine Risikobewertung ist die vorgenommene Bewertung eines Einzel- oder Gesamtrisikos durch den Risikoträger oder durch Dritte. Dazu wird zwischen Brutto- und Nettorisiko unterschieden:

  • Das Bruttorisiko ist die Bewertung des Risikos ohne Einbeziehen von Maßnahmen, die gegen das Risiko eingeführt werden. Man kann auch sagen: Bruttorisiko = Rohrisiko.
  • Das Nettorisiko hingegen ist die Bewertung des Risikos nach Einbeziehen von Maßnahmen, die gegen das Risiko eingeführt wurden.

Man sollte hier also davon ausgehen, dass das Nettorisiko stets geringer eingestuft wird, als das Bruttorisiko (denn warum führt man sonst die Maßnahmen durch?).

Risikomatrix erstellen

Häufig wird die Risikobewertung anhand einer Risikomatrix abgebildet. Ein Beispiel für eine Risikomatrix (risikoneutral) sieht wie folgt aus:

Eintrittswahrscheinlichkeit
Auswirkung (Schadenshöhe) Gering Mittel Hoch Sehr hoch
Sehr hoch gering mittel hoch hoch
Hoch gering mittel hoch hoch
Mittel vernachlässigbar gering mittel hoch
Gering vernachlässigbar vernachlässigbar gering mittel
Risikomatrix mit normalem Risikoappetit

Risikomatrix abhängig vom Risikoappetit:

Bei der Einstufung der Schwere der Felder der Risikomatrix ist der Risikoappetit des Unternehmens entscheidend. Die Beispielsmatrix zeigt eine mehr oder minder risikoneutrale Ausrichtung des Unternehmens. Neben der Risikoneutralität gibt es noch risikoscheue und risikofreudige Unternehmen. Risikoscheue Unternehmen, also solche, die das Risiko meiden wollen, würden nun beispielsweise nur ein Risiko mit geringer Eintrittswahrscheinlichkeit UND Schadenshöhe als vernachlässigbar einstufen, sowie zusätzlich mehr Risiken als „hoch“ einschätzen.

Die Risikomatrix eines risikoscheuen Unternehmens könnte wie folgt aussehen:

Eintrittswahrscheinlichkeit
Auswirkung (Schadenshöhe) Gering Mittel Hoch Sehr hoch
Sehr hoch mittel hoch hoch hoch
Hoch gering mittel hoch hoch
Mittel gering mittel mittel hoch
Gering vernachlässigbar gering gering mittel
Risikomatrix mit niedrigem Risikoappetit

Im Kontrast dazu gibt es noch risikofreudige Unternehmen, also solche, die das Risiko bei ihren Entscheidungen und Investitionen suchen.

Die Risikomatrix eines risikofreudigen Unternehmens könnte dann wie folgt aussehen:

Eintrittswahrscheinlichkeit
Auswirkung (Schadenshöhe) Gering Mittel Hoch Sehr hoch
Sehr hoch gering mittel hoch hoch
Hoch gering gering mittel hoch
Mittel vernachlässigbar vernachlässigbar mittel mittel
Gering vernachlässigbar vernachlässigbar gering mittel
Risikomatrix mit hohem Risikoappetit

Es wird also klar: Je nach Risikoappetit des Unternehmens kann die Risikobewertung sehr unterschiedlich ausfallen. Es muss sich also im Voraus Gedanken darüber gemacht werden, wo die Schwellwerte für Risiken gesetzt werden und ab welcher Kategorisierung eines Risikos Handlungsbedarf in Form von risikoreduzierenden Maßnahmen besteht.

Tipp! Sie sollten in der Matrix immer eine gerade Anzahl an Felder auswählen, damit die Mitarbeiter sich nicht für die „goldene Mitte“ entscheiden können.

Schwellwerte für die SAVISCON GmbH

Für die SAVISCON GmbH im Jahr 2021 haben wir folgende Schwellwerte festgelegt:

Eintrittswahrscheinlichkeit
Gering (g) Einmal in 5 Jahren oder weniger
Mittel (m) Einmal in 2 Jahren
Hoch (h) Einmal im Jahr
Sehr hoch (sh) Einmal im Quartal oder häufiger
Auswirkung
Gering (g) Bis 10 Tausend Euro
Mittel (m) >10 Tausend Euro
Hoch (h) > 100 Tausend Euro
Sehr hoch (sh, potenziell existenzgefährdend) > 500 Tausend Euro
Eintrittswahrscheinlichkeit eines Risikos
Auswirkungen eines Risikos

Die Schwellwerte für die Schadenshöhe/Auswirkung orientieren sich dabei an den Geschäftszahlen des Vorjahres.

Prosa:

Um die oben genannten Schwellwerte zur Auswirkung besser greifbar zu machen, haben wir zusätzlich eine „Prosa“-Beschreibung dazu eingeführt. Diese Beschreibung wird im Wesentlichen über die Jahre gleichbleiben. Die Zahlen dahinter werden wir entsprechend der aktuellen Firmenlage zu Beginn der jährlich wiederkehrenden Risikoeinschätzung neu festlegen.

Gering: geringer finanzieller Schaden oder Imageschaden (zu vernachlässigen)
Mittel: finanzieller Schaden oder Imageschaden (verkraftbar)
Hoch: größerer finanzieller Schaden oder Imageschaden
Sehr hoch: potenziell existenzgefährdend

Risiken den Abteilungen im Unternehmen zuordnen

Risken werden immer den einzelnen Abteilungen der Organisation zugeordnet und im Bruttorisiko auch von diesen bewertet. Häufig betreffen die Risken mehrere Organisationseinheiten im Unternehmen. Um das an einem anschaulichen Beispiel zu beschreiben, habe ich mich für das Brandrisiko entschieden. Das ist zwar für die SAVISCON, aufgrund unserer Firmenstruktur und Arbeitsweise, kein relevantes Risiko, allerdings scheint es mir ein allgegenwertiges Szenario zu sein. Ich selbst wohne in Hamburg, mit dem Hafen um die Ecke – hier brennt schonmal häufiger die eine oder andere Lager- bzw. Produktionshalle.

Eintrittswahrscheinlichkeit von Feuer im Gebäude

Das Brandrisiko hat Auswirkungen auf mehrere Abteilungen. Ein Feuer in einem Produktionsgebäude hätte zum Beispiel nicht nur Auswirkungen auf die Produktion selbst. Denn bei einem Feuer im Gebäude kann man davon ausgehen, dass nicht nur die Maschinen und einzelne Teile, die zur Fertigung der Produkte in der Halle gelagert werden, zerstört werden, sondern auch bereits gefertigte Ware. Somit würde der materielle Schaden in diesem Fall nicht nur die Produktion betreffen, sondern zusätzlich auch den Vertrieb, der aufgrund fehlender Produkte durch Umsatzausfälle betroffen sein würde. Das führt zu einem weiteren Vermögensschaden für das Unternehmen. Wenn durch dieses Feuer neben den Produktionsanlagen auch noch IT-Technik, die sich in der Halle befindet, zerstört wird, ist die IT-Abteilung die dritte, von diesem Risiko betroffene Organisationseinheit des Unternehmens. Last but not least können wir bei der Betrachtung nicht ausschließen, dass auch Personen bei einem Brand in dem Gebäude zu Schaden kommen könnten. Somit wäre die Personalabteilung ebenfalls von diesem Risiko betroffen. Hier gilt es neben monetären Auswirkungen durch Ausfall einzelner Mitarbeiter und möglicher Schadensersatzansprüche durch die Betroffenen, auch die Risiken hinsichtlich der straf- und zivilrechtlichen Auswirkungen zu betrachten und entsprechend zu bewerten.

Übrigens: Bei thematisch zusammengehörigen Risiken wäre es sinnvoll, die Einzelrisiken zu einem Risikoszenario zusammenzufassen, um dieses mögliche Ereignis und seine verschiedenen Auswirkungen als Gesamtes im Blick zu haben. Die Erstellung eines Risikoszenarios ist ebenfalls Aufgabe des Risikomanagers im Unternehmen. Weitere Details hierzu beschreibe ich in einem späteren Beitrag.

Risikomanager fasst Bewertungen zusammen

Wenden wir uns wieder der Risikobewertung zu. Alle die oben genannten Abteilungen werden nun aufgefordert, das Risiko aus ihrer fachlichen Sicht zu bewerten. Mit unserem GRC-COCKPIT starten wir für unsere internen Risiken dazu einen Workflow, der den betroffenen Fachabteilungen zugeht. Für die Abgabe der Bewertung ist ein Termin festgelegt, der entsprechend seines Status in den persönlichen Aufgaben eines jeden Mitarbeiters angezeigt wird. Wenn am Ende alle Fachabteilungen ihre Einschätzung zurückgemeldet haben, konsolidiert der verantwortliche Risikomanager diese zu einer Gesamtbewertung, die dann im GRC-COCKPIT dokumentiert wird.

Ausschnitt aus dem GRC-COCKPIT zur Risiko-Bewertung

Im GRC-COCKPIT können Sie direkt Risiko-Bewertungen von mehreren Organisationseinheiten anfordern.

Hierbei können neben dem monetären, also den Vermögenschaden, auch weitere Schäden, wie mögliche Reputationsschäden, zu befürchtende strafrechtliche Schäden oder auch nicht auszuschließende Sanktionsschäden durch eine Aufsichtsbehörde betrachtet, bewertet und zusammengefasst werden.

Bei der Fülle der im Falle eines Feuers eintretenden Schäden sowie den zu erwartenden negativen Auswirkungen ergibt sich für das Unternehmen zwangsläufig dringender Handlungsbedarf, nämlich das Ergreifen von Maßnahmen zur Minimierung sowohl der Eintrittswahrscheinlichkeit als auch der Schadenshöhe. Welche das im Einzelnen sein können, bzw. sollten, dazu mehr im nächsten Blog.

Porträtfoto Uwe StraßbergerÜber den Autor:

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de