Ekston Insulting

Management Services
1 Learning Sheet - Risk Management

In dieser kurzen Übersicht möchten wir versuchen, Ihnen die Vorteile eines Risk Managements näher zu bringen.

sikostrategie festgelegt. Mittels dieser Vorgaben nimmt das Risk Management dann die Risikoanalyse und Risikobewältigung vor. Diese Tätigkeiten sind immer begleitet von der Organisation Was ist das Ziel des Risk Managements? und den Prozessen sowie von der Information und Ein Risk Management dient dazu, beste- Kommunikation der Betroffenen. hende oder eintretende Risiken zu erkennen und zu bewirtschaften. Die Risiken werden Governance auf Ihre Eintretenswahrscheinlichkeit und auf Die Corporate Governance ist eine Sammlung Ihre Schadensausmass hin untersucht. Um von Verhaltensregeln für eine Unternehmung. Eine die Wirtschaftlichkeit des Risk Managements solche Governance aufzubauen ist in den meiszu gewährleisten, werden die Massnahmen ten Fällen freiwillig. In gewissen Situationen ist die dem möglichen Schaden gegenübergestellt. Einhaltung einer vorgegebenen Governance (Bsp. So verhindert man unüberlegte Massnahmen Swiss Code of best Practice für SWIX kotierte Unternehmen) allerdings gesetzlich verordnet. die über das Ziel hinausschiessen. Aufbau des Risk Managements Risikovision Die Risikovision wird vom Verwaltungsrat vorgegeben und orientiert sich an der Unternehmensvision. Sie ist einfach und klar verständlich verfasst. Risikopolitik Hier wird der grobe Rahmen des Risk Managements definiert. Die Risikopolitik regelt Rollen und Verantwortung, Methoden der Risikobewirtschaftung, Implementation des Risik Management Systems, etc. Risikostrategie Nun wird kokret definiert, wie die Unternehmung mit Risiken umgeht. Es gibt hier verschiedene mögliche Vorgehen:

Governance Risikovision

Organisation und Prozesse

Risikoanalyse Risikobewältigung Kontrollumfeld

Information und Kommunikation

Risikopolitik Risikostrategie

Das Riskmanagement wird von der Governance eines Unternehmens überdacht. Daraus leitet sich die Risikovision ab die der Chance) Verwaltungsrat definiert. Gemäss der, aus der Betriebswirtschaft bekannten, vertikalen Bei jeder Strategie bleibt ein gewisses Restrisiko Zielintegration, werden Risikopolitik und Ri- bestehen. Dieses muss unter Berücksichtigung

» Risiko akzeptieren » Risiko reduzieren » Risiko vermeiden (Bsp. Vorhaben stoppen) » Risiko abwälzen (Bsp. Versicherung) » Risiko erhöhen (Jedes Risiko birgt eine

der Abhängigkeiten, Risikobewertung und Kosten der Massnahmen akzeptiert werden. 2

möglichen Risiken. Oftmals wird hier mit Kreativitätstechniken (Bsp. Brainstorming) begonnen. Eine weitere Möglichkeit liegt in Vorschlägen von Was ist ein Risiko? Branchenverbänden oder dem Studium von DoVon einem Risiko spricht man wenn eine Be- kumentationen. Nehmen Sie diese Risiken auf eidrohung auf eine Schwachstelle trifft. ner Liste auf. Bedrohung Schwachstelle Risiken bewerten/klassifizieren Ein sehr anspruchsvoller Teil ist die Bewertung der Risiken. Ein Risiko kann in zwei Teile gegliedert werden: Eintretenswahrscheinlichkeit - Schaden Werden diese Werte multipliziert, ergibt sich eine Grösse mit der Risiken klassifiziert werden können. Gewisse Risiken werden einfach zu quantifizieren sein. Zum Beispiel können Sie einfach bestimmen wie hoch der Schaden ist, wenn ein System ausfällt und Sie einen Tag nicht arbeiten können. Wie hoch ist der Schaden aber wenn Ihre Daten zu 20% verloren gehen? Ebenso verhält es sich mit der Eintretenswahrscheinlichkeit. Man verwendet hier die EW in Prozent oder Klassen. Tritt ein Ereignis alle zwei Beobachtungsperioden auf, wäre die prozentuale EW 50%. Meist sinnvoller ist aber die Einteilung in Klassen. Definieren Sie Ihre Klassen zum Beispiel wie folgt:

Risiko

Beweggründe für Risk Management Der Wunsch ein Risk Management aufzubauen kann verschiedene Gründe haben. Ein grosser Schaden kann die Firma unerwartet getroffen haben, ein relevantes Gesetz wird geändert, ein Konkurrent fiel einem Schaden zum Opfer, etc. Besonders in der Finanzbranche sind es oft gesetzliche Regulative die ein Risk Management vorschreiben (Bsp. SOX, Basel II, etc.). Auch in anderen Branchen könnte der Gesetzgeber jederzeit eine Bewirtschaftung der Risiken fordern. Es ist also ratsam, sich früh- Eintretenswahrscheinlichkeit Hoch stmöglich mit der Thematik zu beschäftigen. Eintreten der Gefahr sehr wahrscheinlich und mit pragmatischen Massnahmen nicht abzuwenden; Der Risikoprozess Gefahr trat in vergangenen Projekten mehrmals Unterscheidet folgende Subprozesse: auf

» Risiken identifizieren » Risiken bewerten/klassifizieren » Massnahmen festlegen » Massnahmen umsetzen/kontrollieren

Eintretenswahrscheinlichkeit Mittel Eintreten der Gefahr wahrscheinlich, jedoch mit pragmatischen Massnahmen abzuwenden; Eintretenswahrscheinlichkeit nicht klar vorraussehbar

Eintretenswahrscheinlichkeit Tief Da der Risikoprozess iterativ ist, wird nach Eintreten der Gefahr unwahrscheinlich und mit erfolgter Massnahmenumsetzung bereits Awareness abzuwenden; Keinerlei Eintreten in wieder mit der Identifikation begonnen. vergangenen Projekten, da durch den Betrieb gut eingespielt Risiken identifizieren Ähnlich definieren Sie Klassen zum SchadensausIm ersten Schritt geht es um das Finden von mass.

3

gegnet man am Besten mit Massnahmen aus Nun haben Sie Ihre Risiken bewertet und dem Grundschutzhandbuch. können sie klassifizieren. Sie sehen einer- Nach Festlegung der Massnahmen müssen Sie seits Top Risiken und andererseits Risiken diese mittels folgender Fragen prüfen: die vernachlässigt werden können. In einer » Ist die Massnahme wirksam? graphischen Übersicht sähe das wie folgt » Ist die Massnahme wirtschaftlich? aus: Nun haben Sie Ihre Risiken bewertet und » Ist die Massnahme dringend? können sie klassifizieren. Sie sehen einerseits Top Risiken und andererseits Risiken » Kann die Massnahme rasch realisiert werden? die vernachlässigt werden können. Besonders der Punkt der Wirtschaftlichkeit ist oft schwierig zu bestimmen. Techniken wie die Kosten-Nutzen-Analyse können hier helfen. Erstellen Sie für die Risikobewältigung ein Risikobudget. Halten Sie die Kosten für Personal, Versicherung, etc. in dieses Budget auf. Führen Sie aber auch Gewinne auf die aus den Chancen resultieren. Massnahmen umsetzen Um Massnahmen wirksam umzusetzen, muss klar sein welcher Bereich für die Umsetzung verantwortlich ist. Legen Sie auch fest wie die Umsetzung kontrolliert wird. Zu welchem Zeitpunkt eine Massnahme umgesetzt wird, muss unter Umständen vom zuständigen Risk Management entschieden werden. Massnahmen kontrollieren Die Massnahmen die zur Umsetzung kommen, müssen auf Ihre Wirksamkeit hin untersucht Massnahmen festlegen Gemäss Ihrer festgelegten Risikostrategie werden. Beeinflussen Sie die Eintretenswahrwerden nun Massnahmen definiert und aus- scheinlichkeit oder das Schadensausmass im gewählt. Massnahnen werden wie folgt un- gewünschten Masse? Auch diese Prüfung findet fortwährend statt. terschieden: Prüfen Sie auch den Prozess und die betroffenen » vorbeugende Massnahme Organisationen. Prüfmodelle können hier eine Hil» aufdeckende/korrigierende Massnahme fe sein.

» lenkende Massnahme

Learning Sheet ist eine Dienstleistung von Ekston Insulting. Im kompakten Format wird Ihnen WisDie Massnahme soll schlussendlich die Ein- sen vermittelt. Die Learning Sheets können jedertretenswahrscheinlichkeit senken und/oder zeit wieder resultiert werden und sollen auch als den Schaden minimieren. Nachschlagewerk dienen. Geeignete Massnahmen können in Vorschlä- Bei Fragen wenden Sie sich bitte an gen von Branchenverbänden etc. gefunden learning.services@ekston.ch werden. Zum Beispiel Informatikrisiken be-