Risiko gibt es nur, wenn es einen Zukunftsbegriff gibt. "Deshalb war das Risikomanagement im Altertum kein Thema, denn hier wurde alles durch die Götter gelenkt", erklärte Frank Romeike auf dem 2. qSkills Security Summit in Nürnberg. Romeike (Foto unten), geschäftsführender Gesellschafter der Risknet GmbH sowie Vorstand der Risk Management Association, beschäftigt sich beruflich mit Risiken und wie Unternehmen sie bewältigen können. Auch bei der IT-Risikobuchhaltung und dem Risikomanagement seiner Einschätung nach ein Zukunftsbezug notwendig, denn Informationen aus der Vergangenheit könnten immer nur als Datengrundlage dienen.

Schwarze Schwäne

"Immerhin 60 Prozent der Unternehmenswerte werden durch fehlerhaften Strategien vernichtet", erklärte er. In der Abschätzung, ob die Risikotragfähigkeit eines Unternehmens einem Risiko gewachsen sei, lenkte er die Aufmerksamkeit vor allem auf die so genannten "schwarzen Schwäne". Dies sind unwahrscheinliche, aber für das Unternehmen sehr teure Risiken. Romeike plädierte dafür, dass die isolierte Risikobuchhaltung vieler Unternehmen durch integrierte, strategische Risikomanagement-Ansätze ersetzt werden sollten. "Risiken kann am Besten durch das Zusammenspiel von Expertenwissen, gesundem Menschenverstand und stochastischen Methoden begegnet werden", so Romeike. Mit Blick auf die Finanzkrise gab er auch den Rat, den Risikofaktor Mensch im Auge zu behalten, der mit seinen Verhaltensrisiken und interaktiven Beziehungen wie in einer Art Herdentrieb Schaden beim Unternehmensmanagement anrichten kann.

Transparentes Bauchgefühl

"Risikomanagement macht das Bauchgefühl transparent", brachte es Wolfgang Henle (Foto), Vice President Opportunity and Risk Management der Austrian Airlines AG, auf den Punkt. Seiner Einschätzung nach wird dadurch eine Verbesserung der Grundlage für Unternehmensentscheidungen geschaffen. "Die langjährige Berufserfahrung der Mitarbeiter und ihr Wissen, was alles in der Praxis schiefgehen kann, kann durch Risikomanagement nachvollziehbar quantifiziert werden", erklärte er. Am Fallbeispiel einer Kündigung von 15 Piloten veranschaulichte er das Risikomanagement bei der Budgetplanung der Austrian Airlines: Neben dem wahrscheinlichsten Fall, dass die 15 Piloten tatsächlich gehen, gibt es ein Chancenpotential (best case), wenn beispielsweise nur fünf Piloten das Unternehmen verlassen, oder aber ein Risikopotential (worst case), wenn dann 40 Piloten ihre Kündigung einreichen.

Self-Check-In am Flughafen

Zu diesen schwierig quantifizierbaren Risiken zählt Henle auch den Fall des Self-Check-Ins, bei dem sich der Fluggast seine Bordkarte selbst abholt: "Wenn die Airline einkalkuliert, dass bei fünf Prozent mehr Self-Check-Ins fünf Mitarbeiter weniger am Schalter benötigt werden, dann ist die Abweichung vom Budget im Idealfall gleich Null." Neben den Chancenpotential, also dem Einsparen von rund 150.000 Euro an Mitarbeiterkosten, steht aber gleichzeitig ein Risikopotential, das Umsatzverluste bedeuten könnte: "Was ist, wenn es dadurch zu einem Kundenaufstand käme, die Reisenden die Einsparung als Qualitätsmangel einordnen und dies nicht nur zu Imageverlust, sondern auch zur sofortigen Reaktion durch Neueinstellungen von Personal führen würde?", gab er zu bedenken.

Risiko und Chance statt Planwert

Auch Manfred Stallinger (calpana business consulting GmbH) definierte Risiko als negative und Chance als positive Abweichung vom Planwert. Er setzt sich im Rahmen seiner Tätigkeit für die Österreichische Bundesbahn dafür ein, dass das IT-Risikomanagement in das unternehmensweite Enterprise Risk Management integriert werden sollte. Um dem IT-Manager dabei zu helfen, Transparenz, Notfallplanung, Gesetzeskonformität, Betriebsicherheit und die monetär formulierte Risikoabschätzung zu bewältigen, setzt die ÖBB das Entscheidungsfindungssystem Crisam ein. Damit erfolgen nicht nur IT-Risiko-Ratings, sondern Vorstand und IT-Management können über dieses Tool kommunizieren und ihre Anforderungen und Maßnahmen miteinander abgleichen.

Riskmaps und Szenarien

Jörg Jungbluth, Deputy Head of Security beim Telekommunikationsunternehmen Swisscom (Schweiz) AG, stellte mit der Security-Governance-Plattform (SGP) die Lösung vor, mit der in seinem Unternehmen das IT-Risikomanagement zentral gebündelt wird. Hier können über Riskmaps Risiken bewertet werden, und Szenarien wie ein Serverausfall durchgespielt werden. Um ein Risiko einschätzen zu können, werden dazu Eintrittswahrscheinlichkeit und Schadensausmaß zueinander ins Verhältnis gesetzt und grafisch aufbereitet.
Kein Risiko, kein Ziel

Der Vortrag "Risikomanagement ohne Risikomanagement – Mit der neuen Risikomanagement Norm ISO 31000" von Peter Meier zielte darauf ab, Risiken in Bezug zur Zielplanung zu sehen, und statt Risikomanagement ein "Zielmanagement" zu betreiben. Meier sieht im Zielmanagement das Zusammenspiel von Risiko- und Qualitätsmanagement. "Wir müssen nicht nur Daten und Finanzen, sondern ebenso Wissen, Informationen und immaterielle Werte des Unternehmens sichern", erklärte der Geschäftsführer des Steinbeis-Transferzentrums Risikomanagement. Während die Datensicherung technisch problemlos lösbar sei, würde dies bei der Wissenssicherung keineswegs gewährleistet. "Je größer die Ziele sind, desto größer ist das Risiko der Zielverfehlung. Doch wer kein Risiko eingehen will, hat auch keine Ziele mehr", so Meier.

[Bildquelle: iStockPhoto bzw. Britta Kalscheuer / Textquelle: sicherheit.info]