Risk Management und Risiko Management - Sind Sie fit für ausserordentliche Ereignisse und Risiken?

Verschiedene Entwicklungen der letzten Jahre, insbesondere im Bereich Abhängigkeit von IT-Systemen und -Infrastrukturen, Unwetter, Anschläge und Pandemien, haben auf die Verletzlichkeit von Unternehmen, deren Infrastruktursysteme und -anlagen hingewiesen. Die Sensibilisierung für derartige Ereignisse und ihre möglichen Auswirkungen hat stark zugenommen. Für die Bewältigung von unvorhergesehenen Ereignissen ist es entscheidend, dass alle wichtigen Akteure koordiniert vorgehen und die nötigen Vorkehrungen vorgängig festgelegt, abgestimmt und umgesetzt sind (Business Continuity Plan).

  PDF Download Fach-Publikationen
 

  Screenshots von Vorlagen und Tools
 

  Beratung oder Fragen? Schreiben Sie uns.

Risiko Management identifiziert unter anderem BCM Szenarien und Anwendungsbereiche

Unternehmen sollten im Rahmen des Risiko Managements alle potentiell relevanten Szenarien berücksichtigen, welche für sie zu einer Krise führen können. Dabei wird unter einer „Krise“ eine Bedrohungssituation verstanden, welche kritische Entscheidungen erfordert und mit den ordentlichen Führungsmitteln und Entscheidungskompetenzen nicht bewältigt werden kann.

Somit bildet die Bewältigung von „Störungen“ kein Bestandteil eines BCM. Diese können und müssen im Rahmen des Tagesgeschäfts bewältigt werden.

Risiken bzw. Beispiele für Krisensituationen sind:

• „Unfallartige” Ereignisse wie z.B. Brand oder Explosion
• Anschläge, Sabotage
• Naturkatastrophen wie z.B. Überschwemmung, Flut oder Erdbeben
• Ausfall von Personal, z.B. aufgrund einer Pandemie
• Ausfall der Gebäudetechnik und/ oder der Energieversorgung (z.B. Elektrizität)
• Ausfall von IT Systemen oder Infrastrukturen (Hardware- oder Software-Fehler)
• Ausfall von Kommunikationssystemen oder Telecom-Providern
• Ausfall von externen Lieferanten (vgl. Outsourcing).

Im Rahmen des Risk Managements bzw. BCM sind die relevanten Risiken bzw. Krisentypen durch die Unternehmen jeweils gemäss Impact (Schweregrad) des Eintretens eines Ereignisses zu identifizieren bzw. zu definieren und zu beurteilen. 

Die Konsequenz solcher Ereignisse kann beispielsweise sein, dass Mitarbeitende und/ oder Infrastruktur (v.a. Führungsinfrastruktur, Telekommunikation, Gebäude bzw. Arbeitsplätze) für unternehmenskritische Funktionen nicht mehr einsatzfähig sind. Ebenso können Probleme bei den IT-Dienstleistungen oder Infrastruktur-Anbietern (Facility Management) dazu führen, dass kritische Services zu nicht tolerierbaren Ausfällen der Verfügbarkeit führen.

Das Risk Management und BCM hat zum Ziel, die Einhaltung gesetzlicher, regulatorischer, vertraglicher und interner Vorschriften auch im Krisenfall bestmöglich sicherstellen. Es leistet damit einen wesentlichen Beitrag zur Existenzsicherung im Krisenfall.

„Risk Management und Business Continuity Management ist sinngemäss vergleichbar mit einer Krankenkasse. Man hofft diese möglichst wenig oder nie benutzen zu müssen. Bei einer plötzlichen, schweren Krankheit ist man jedoch froh, rechtzeitig vorgesorgt zu haben.“

Enterprise Risk Management - gesamtheitlich, teamorientiert und systematisch

Wird im Rahmen der Management-Prozesse ein gesamt­heit­licher, systematischer und teamorientierter Risk Ma­nage­­ment nicht oder zu wenig berück­sichtigt, fehlt der Geschäftsleitung bzw. dem Verwaltungsrat ein wesentliches Führungsinstrument. Wer Risiken zu wenig systematisch identifiziert und beurteilt, läuft Gefahr, Kontroll- und Überwachungspunkte bzw. -massnahmen gar nicht oder falsch zu definieren.

Ziel eines Risk Managements ist es, dass Unternehmen sich umfassend mit Gefahren auseinadersetzen. Elementarrisiken wie ein Grossbrand, Über­schwemmungen, Personalrisiken wie Ausfall einer Schlüs­sel­person, Veränderungen der Markt- oder Finanzsituation, aber auch Ausfälle von Kernprozes­sen und Abwicklungs­risiken in den Geschäftsprozessen stellen solche Risiken dar.

Risk Management und der richtige Umgang mit unternehmerischen Risiken darf nicht von einzelnen Führungskräften abhängen.Das Risikobewusstsein und -empfinden eines Menschen ist von Geburt weg verschieden. Sich der Risiken bewusst zu sein oder tatsächlich einmal mit einem Risiko und dessen negativen Auswirkungen konfrontiert gewesen zu sein, beeinflussen den künftigen Umgang mit Risiken im Rahmen einer Führungsaufgabe ganz wesentlich.

Risiken sollten deshalb immer teamorientiert identifiziert und beurteilt werden. Dabei spielt die Methodik und Systematik bei der Risikobeurteilung eine entscheidende Rolle.

Der Aufbau und Betrieb eines Enterprise Risk Managements bzw. eines unternehmensweiten Risiko Managements umfassen folgende Bereiche:

Das COSO II Framework Modell wird international mehr und mehr zum "de facto" Standard für den Aufbau eines Enterprise Risk Managements. Alle weltweit führenden Wirtschaftsprüfungsunternehmen empfehlen den Aufbau von Risk Management Systemen auf der Basis des COSO II Modells zu gestalten.

Die Gesamtheit eines Enterprise Risk Management Systems

Jede der acht im Rahmenwerk dargestellten Risk Management Komponenten ist erforderlich, um das Ziel eines zuverlässigen unternehmensweiten Risk Managements mit einer integrierten Finanz-, Compliance- und Operations-Berichterstattung zu erreichen.