Ekston Insulting

Management Services

1 Learning Sheet - Risk Management

In dieser kurzen Übersicht möchten wir sikostrategie festgelegt. Mittels dieser Vorgaben
versuchen, Ihnen die Vorteile eines Risk nimmt das Risk Management dann die Risikoa-
Managements näher zu bringen. nalyse und Risikobewältigung vor. Diese Tätig-
keiten sind immer begleitet von der Organisation
Was ist das Ziel des Risk Managements? und den Prozessen sowie von der Information und
Ein Risk Management dient dazu, beste- Kommunikation der Betroffenen.
hende oder eintretende Risiken zu erkennen
und zu bewirtschaften. Die Risiken werden Governance
auf Ihre Eintretenswahrscheinlichkeit und auf Die Corporate Governance ist eine Sammlung
Ihre Schadensausmass hin untersucht. Um von Verhaltensregeln für eine Unternehmung. Eine
die Wirtschaftlichkeit des Risk Managements solche Governance aufzubauen ist in den meis-
zu gewährleisten, werden die Massnahmen ten Fällen freiwillig. In gewissen Situationen ist die
dem möglichen Schaden gegenübergestellt. Einhaltung einer vorgegebenen Governance (Bsp.
So verhindert man unüberlegte Massnahmen Swiss Code of best Practice für SWIX kotierte Un-
die über das Ziel hinausschiessen. ternehmen) allerdings gesetzlich verordnet.

Aufbau des Risk Managements Risikovision

Die Risikovision wird vom Verwaltungsrat vorge-
geben und orientiert sich an der Unternehmensvi-
sion. Sie ist einfach und klar verständlich verfasst.

Governance Risikopolitik
Risikovision Hier wird der grobe Rahmen des Risk Manage-
ments definiert. Die Risikopolitik regelt Rollen und
Verantwortung, Methoden der Risikobewirtschaf-
tung, Implementation des Risik Management Sys-
Risikopolitik
Organisation und

Information und
Kommunikation

Risikostrategie tems, etc.

Prozesse

Risikostrategie
Nun wird kokret definiert, wie die Unternehmung
Risikoanalyse mit Risiken umgeht. Es gibt hier verschiedene
Risikobewältigung mögliche Vorgehen:
» Risiko akzeptieren
Kontrollumfeld » Risiko reduzieren
» Risiko vermeiden (Bsp. Vorhaben stoppen)
Das Riskmanagement wird von der Gover- » Risiko abwälzen (Bsp. Versicherung)
nance eines Unternehmens überdacht. Dar- » Risiko erhöhen (Jedes Risiko birgt eine
aus leitet sich die Risikovision ab die der Chance)
Verwaltungsrat definiert. Gemäss der, aus
der Betriebswirtschaft bekannten, vertikalen Bei jeder Strategie bleibt ein gewisses Restrisiko
Zielintegration, werden Risikopolitik und Ri- bestehen. Dieses muss unter Berücksichtigung
 der Abhängigkeiten, Risikobewertung und möglichen Risiken. Oftmals wird hier mit Kreati-
Kosten der Massnahmen akzeptiert werden. vitätstechniken (Bsp. Brainstorming) begonnen.
2 Eine weitere Möglichkeit liegt in Vorschlägen von
Was ist ein Risiko? Branchenverbänden oder dem Studium von Do-
Von einem Risiko spricht man wenn eine Be- kumentationen. Nehmen Sie diese Risiken auf ei-
drohung auf eine Schwachstelle trifft. ner Liste auf.

Risiken bewerten/klassifizieren
Bedrohung Schwachstelle
Ein sehr anspruchsvoller Teil ist die Bewertung der
Risiken. Ein Risiko kann in zwei Teile gegliedert
werden:

Eintretenswahrscheinlichkeit - Schaden
Risiko
Werden diese Werte multipliziert, ergibt sich eine
Grösse mit der Risiken klassifiziert werden können.
Gewisse Risiken werden einfach zu quantifizieren
sein. Zum Beispiel können Sie einfach bestimmen
Beweggründe für Risk Management wie hoch der Schaden ist, wenn ein System aus-
Der Wunsch ein Risk Management aufzu- fällt und Sie einen Tag nicht arbeiten können. Wie
bauen kann verschiedene Gründe haben. Ein hoch ist der Schaden aber wenn Ihre Daten zu
grosser Schaden kann die Firma unerwartet 20% verloren gehen?
getroffen haben, ein relevantes Gesetz wird Ebenso verhält es sich mit der Eintretenswahr-
geändert, ein Konkurrent fiel einem Schaden scheinlichkeit. Man verwendet hier die EW in
zum Opfer, etc. Prozent oder Klassen. Tritt ein Ereignis alle zwei
Besonders in der Finanzbranche sind es oft Beobachtungsperioden auf, wäre die prozentuale
gesetzliche Regulative die ein Risk Manage- EW 50%. Meist sinnvoller ist aber die Einteilung in
ment vorschreiben (Bsp. SOX, Basel II, etc.).Klassen. Definieren Sie Ihre Klassen zum Beispiel
Auch in anderen Branchen könnte der Ges- wie folgt:
etzgeber jederzeit eine Bewirtschaftung der
Risiken fordern. Es ist also ratsam, sich früh- Eintretenswahrscheinlichkeit Hoch
stmöglich mit der Thematik zu beschäftigen. Eintreten der Gefahr sehr wahrscheinlich und mit
pragmatischen Massnahmen nicht abzuwenden;
Der Risikoprozess Gefahr trat in vergangenen Projekten mehrmals
Unterscheidet folgende Subprozesse: auf
» Risiken identifizieren Eintretenswahrscheinlichkeit Mittel
» Risiken bewerten/klassifizieren Eintreten der Gefahr wahrscheinlich, jedoch mit
» Massnahmen festlegen pragmatischen Massnahmen abzuwenden; Ein-
tretenswahrscheinlichkeit nicht klar vorraussehbar
» Massnahmen umsetzen/kontrollieren
Eintretenswahrscheinlichkeit Tief
Da der Risikoprozess iterativ ist, wird nach Eintreten der Gefahr unwahrscheinlich und mit
erfolgter Massnahmenumsetzung bereits Awareness abzuwenden; Keinerlei Eintreten in
wieder mit der Identifikation begonnen. vergangenen Projekten, da durch den Betrieb gut
eingespielt

Risiken identifizieren Ähnlich definieren Sie Klassen zum Schadensaus-

Im ersten Schritt geht es um das Finden von mass.
 gegnet man am Besten mit Massnahmen aus
Nun haben Sie Ihre Risiken bewertet und dem Grundschutzhandbuch.
3 können sie klassifizieren. Sie sehen einer- Nach Festlegung der Massnahmen müssen Sie
seits Top Risiken und andererseits Risiken diese mittels folgender Fragen prüfen:
die vernachlässigt werden können. In einer » Ist die Massnahme wirksam?
graphischen Übersicht sähe das wie folgt
aus: » Ist die Massnahme wirtschaftlich?
Nun haben Sie Ihre Risiken bewertet und » Ist die Massnahme dringend?
können sie klassifizieren. Sie sehen einer-
seits Top Risiken und andererseits Risiken » Kann die Massnahme rasch realisiert werden?
die vernachlässigt werden können.
Besonders der Punkt der Wirtschaftlichkeit ist oft
schwierig zu bestimmen. Techniken wie die Kos-
ten-Nutzen-Analyse können hier helfen.

Erstellen Sie für die Risikobewältigung ein Risiko-

budget. Halten Sie die Kosten für Personal, Ver-
sicherung, etc. in dieses Budget auf. Führen Sie
aber auch Gewinne auf die aus den Chancen re-
sultieren.

Massnahmen umsetzen
Um Massnahmen wirksam umzusetzen, muss
klar sein welcher Bereich für die Umsetzung ver-
antwortlich ist. Legen Sie auch fest wie die Umset-
zung kontrolliert wird. Zu welchem Zeitpunkt eine
Massnahme umgesetzt wird, muss unter Umstän-
den vom zuständigen Risk Management entschie-
den werden.

Massnahmen kontrollieren
Die Massnahmen die zur Umsetzung kommen,
Massnahmen festlegen müssen auf Ihre Wirksamkeit hin untersucht
Gemäss Ihrer festgelegten Risikostrategie werden. Beeinflussen Sie die Eintretenswahr-
werden nun Massnahmen definiert und aus- scheinlichkeit oder das Schadensausmass im
gewählt. Massnahnen werden wie folgt un- gewünschten Masse? Auch diese Prüfung findet
terschieden: fortwährend statt.
Prüfen Sie auch den Prozess und die betroffenen
» vorbeugende Massnahme Organisationen. Prüfmodelle können hier eine Hil-
» aufdeckende/korrigierende Massnahme fe sein.
» lenkende Massnahme Learning Sheet ist eine Dienstleistung von Ekston
Insulting. Im kompakten Format wird Ihnen Wis-
Die Massnahme soll schlussendlich die Ein- sen vermittelt. Die Learning Sheets können jeder-
tretenswahrscheinlichkeit senken und/oder zeit wieder resultiert werden und sollen auch als
den Schaden minimieren. Nachschlagewerk dienen.
Geeignete Massnahmen können in Vorschlä- Bei Fragen wenden Sie sich bitte an
gen von Branchenverbänden etc. gefunden learning.services@ekston.ch
werden. Zum Beispiel Informatikrisiken be-