GRC@SAVISCON: Risiko-Management
Wie funktioniert die Risikobewertung?
von Uwe Straßberger, Director Marketing & Sales bei der SAVICON GmbH
Wie versprochen geht in unserem heutigen Blog-Beitrag aus dem Projekt Risiko-Management um die Risikobewertung. Zur Erinnerung: Wir als SAVISCON GmbH bilden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) ab. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.
Was ist eine Risikobewertung?
Eine Risikobewertung ist die vorgenommene Bewertung eines Einzel- oder Gesamtrisikos durch den Risikoträger oder durch Dritte. Dazu wird zwischen Brutto- und Nettorisiko unterschieden:
- Das Bruttorisiko ist die Bewertung des Risikos ohne Einbeziehen von Maßnahmen, die gegen das Risiko eingeführt werden. Man kann auch sagen: Bruttorisiko = Rohrisiko.
- Das Nettorisiko hingegen ist die Bewertung des Risikos nach Einbeziehen von Maßnahmen, die gegen das Risiko eingeführt wurden.
Man sollte hier also davon ausgehen, dass das Nettorisiko stets geringer eingestuft wird, als das Bruttorisiko (denn warum führt man sonst die Maßnahmen durch?).
Risikomatrix erstellen
Häufig wird die Risikobewertung anhand einer Risikomatrix abgebildet. Ein Beispiel für eine Risikomatrix (risikoneutral) sieht wie folgt aus:
Eintrittswahrscheinlichkeit | ||||
Auswirkung (Schadenshöhe) | Gering | Mittel | Hoch | Sehr hoch |
Sehr hoch | gering | mittel | hoch | hoch |
Hoch | gering | mittel | hoch | hoch |
Mittel | vernachlässigbar | gering | mittel | hoch |
Gering | vernachlässigbar | vernachlässigbar | gering | mittel |
Risikomatrix abhängig vom Risikoappetit:
Bei der Einstufung der Schwere der Felder der Risikomatrix ist der Risikoappetit des Unternehmens entscheidend. Die Beispielsmatrix zeigt eine mehr oder minder risikoneutrale Ausrichtung des Unternehmens. Neben der Risikoneutralität gibt es noch risikoscheue und risikofreudige Unternehmen. Risikoscheue Unternehmen, also solche, die das Risiko meiden wollen, würden nun beispielsweise nur ein Risiko mit geringer Eintrittswahrscheinlichkeit UND Schadenshöhe als vernachlässigbar einstufen, sowie zusätzlich mehr Risiken als „hoch“ einschätzen.
Die Risikomatrix eines risikoscheuen Unternehmens könnte wie folgt aussehen:
Eintrittswahrscheinlichkeit | ||||
Auswirkung (Schadenshöhe) | Gering | Mittel | Hoch | Sehr hoch |
Sehr hoch | mittel | hoch | hoch | hoch |
Hoch | gering | mittel | hoch | hoch |
Mittel | gering | mittel | mittel | hoch |
Gering | vernachlässigbar | gering | gering | mittel |
Im Kontrast dazu gibt es noch risikofreudige Unternehmen, also solche, die das Risiko bei ihren Entscheidungen und Investitionen suchen.
Die Risikomatrix eines risikofreudigen Unternehmens könnte dann wie folgt aussehen:
Eintrittswahrscheinlichkeit | ||||
Auswirkung (Schadenshöhe) | Gering | Mittel | Hoch | Sehr hoch |
Sehr hoch | gering | mittel | hoch | hoch |
Hoch | gering | gering | mittel | hoch |
Mittel | vernachlässigbar | vernachlässigbar | mittel | mittel |
Gering | vernachlässigbar | vernachlässigbar | gering | mittel |
Es wird also klar: Je nach Risikoappetit des Unternehmens kann die Risikobewertung sehr unterschiedlich ausfallen. Es muss sich also im Voraus Gedanken darüber gemacht werden, wo die Schwellwerte für Risiken gesetzt werden und ab welcher Kategorisierung eines Risikos Handlungsbedarf in Form von risikoreduzierenden Maßnahmen besteht.
Tipp! Sie sollten in der Matrix immer eine gerade Anzahl an Felder auswählen, damit die Mitarbeiter sich nicht für die „goldene Mitte“ entscheiden können.
Schwellwerte für die SAVISCON GmbH
Für die SAVISCON GmbH im Jahr 2021 haben wir folgende Schwellwerte festgelegt:
Eintrittswahrscheinlichkeit | |
Gering (g) | Einmal in 5 Jahren oder weniger |
Mittel (m) | Einmal in 2 Jahren |
Hoch (h) | Einmal im Jahr |
Sehr hoch (sh) | Einmal im Quartal oder häufiger |
Auswirkung | |
Gering (g) | Bis 10 Tausend Euro |
Mittel (m) | >10 Tausend Euro |
Hoch (h) | > 100 Tausend Euro |
Sehr hoch (sh, potenziell existenzgefährdend) | > 500 Tausend Euro |
Die Schwellwerte für die Schadenshöhe/Auswirkung orientieren sich dabei an den Geschäftszahlen des Vorjahres.
Prosa:
Um die oben genannten Schwellwerte zur Auswirkung besser greifbar zu machen, haben wir zusätzlich eine „Prosa“-Beschreibung dazu eingeführt. Diese Beschreibung wird im Wesentlichen über die Jahre gleichbleiben. Die Zahlen dahinter werden wir entsprechend der aktuellen Firmenlage zu Beginn der jährlich wiederkehrenden Risikoeinschätzung neu festlegen.
Gering: geringer finanzieller Schaden oder Imageschaden (zu vernachlässigen)
Mittel: finanzieller Schaden oder Imageschaden (verkraftbar)
Hoch: größerer finanzieller Schaden oder Imageschaden
Sehr hoch: potenziell existenzgefährdend
Risiken den Abteilungen im Unternehmen zuordnen
Risken werden immer den einzelnen Abteilungen der Organisation zugeordnet und im Bruttorisiko auch von diesen bewertet. Häufig betreffen die Risken mehrere Organisationseinheiten im Unternehmen. Um das an einem anschaulichen Beispiel zu beschreiben, habe ich mich für das Brandrisiko entschieden. Das ist zwar für die SAVISCON, aufgrund unserer Firmenstruktur und Arbeitsweise, kein relevantes Risiko, allerdings scheint es mir ein allgegenwertiges Szenario zu sein. Ich selbst wohne in Hamburg, mit dem Hafen um die Ecke – hier brennt schonmal häufiger die eine oder andere Lager- bzw. Produktionshalle.
Eintrittswahrscheinlichkeit von Feuer im Gebäude
Das Brandrisiko hat Auswirkungen auf mehrere Abteilungen. Ein Feuer in einem Produktionsgebäude hätte zum Beispiel nicht nur Auswirkungen auf die Produktion selbst. Denn bei einem Feuer im Gebäude kann man davon ausgehen, dass nicht nur die Maschinen und einzelne Teile, die zur Fertigung der Produkte in der Halle gelagert werden, zerstört werden, sondern auch bereits gefertigte Ware. Somit würde der materielle Schaden in diesem Fall nicht nur die Produktion betreffen, sondern zusätzlich auch den Vertrieb, der aufgrund fehlender Produkte durch Umsatzausfälle betroffen sein würde. Das führt zu einem weiteren Vermögensschaden für das Unternehmen. Wenn durch dieses Feuer neben den Produktionsanlagen auch noch IT-Technik, die sich in der Halle befindet, zerstört wird, ist die IT-Abteilung die dritte, von diesem Risiko betroffene Organisationseinheit des Unternehmens. Last but not least können wir bei der Betrachtung nicht ausschließen, dass auch Personen bei einem Brand in dem Gebäude zu Schaden kommen könnten. Somit wäre die Personalabteilung ebenfalls von diesem Risiko betroffen. Hier gilt es neben monetären Auswirkungen durch Ausfall einzelner Mitarbeiter und möglicher Schadensersatzansprüche durch die Betroffenen, auch die Risiken hinsichtlich der straf- und zivilrechtlichen Auswirkungen zu betrachten und entsprechend zu bewerten.
Übrigens: Bei thematisch zusammengehörigen Risiken wäre es sinnvoll, die Einzelrisiken zu einem Risikoszenario zusammenzufassen, um dieses mögliche Ereignis und seine verschiedenen Auswirkungen als Gesamtes im Blick zu haben. Die Erstellung eines Risikoszenarios ist ebenfalls Aufgabe des Risikomanagers im Unternehmen. Weitere Details hierzu beschreibe ich in einem späteren Beitrag.
Risikomanager fasst Bewertungen zusammen
Wenden wir uns wieder der Risikobewertung zu. Alle die oben genannten Abteilungen werden nun aufgefordert, das Risiko aus ihrer fachlichen Sicht zu bewerten. Mit unserem GRC-COCKPIT starten wir für unsere internen Risiken dazu einen Workflow, der den betroffenen Fachabteilungen zugeht. Für die Abgabe der Bewertung ist ein Termin festgelegt, der entsprechend seines Status in den persönlichen Aufgaben eines jeden Mitarbeiters angezeigt wird. Wenn am Ende alle Fachabteilungen ihre Einschätzung zurückgemeldet haben, konsolidiert der verantwortliche Risikomanager diese zu einer Gesamtbewertung, die dann im GRC-COCKPIT dokumentiert wird.
Hierbei können neben dem monetären, also den Vermögenschaden, auch weitere Schäden, wie mögliche Reputationsschäden, zu befürchtende strafrechtliche Schäden oder auch nicht auszuschließende Sanktionsschäden durch eine Aufsichtsbehörde betrachtet, bewertet und zusammengefasst werden.
Bei der Fülle der im Falle eines Feuers eintretenden Schäden sowie den zu erwartenden negativen Auswirkungen ergibt sich für das Unternehmen zwangsläufig dringender Handlungsbedarf, nämlich das Ergreifen von Maßnahmen zur Minimierung sowohl der Eintrittswahrscheinlichkeit als auch der Schadenshöhe. Welche das im Einzelnen sein können, bzw. sollten, dazu mehr im nächsten Blog.
Über den Autor:
Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de