Evaluation von Herangehensweisen für die Integration des Risikomanagements in einen Management-Ansatz

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Ausgangslage
2.1 Problemstellung
2.2 Zielsetzung

3 Grundlagen des Risikomanagements
3.1 Risikodefinition
3.2 Erfassung und Verwaltung von Risiken
3.3 Aggregation von Risiken
3.4 Risikomanagement als Prozess
3.4.1 Einbindung der RisikoAnalyse in einen RMProzess
3.4.2 Bewertung von Risiken
3.4.3 Steuerung und Kontrolle von Risiken
3.4.4 Risikoreporting und kommunikation

4 ManagementAnsätze
4.1 Generisches Managementsystem
4.2 St. Galler ManagementModell
4.2.1 Normatives Management
4.2.2 Strategisches Management
4.2.3 Operatives Management
4.3 Unternehmensführung und steuerung
4.3.1 Balanced Scorecard
4.3.2 SWOT Analyse
4.3.3 Strategy Map
4.4 ITFrameworks für Prozesse und Ziele
4.4.1 CobiT Control Objectives for Information and related Technology
4.4.2 ITIL Information Technology Infrastructure Library

5 Ansätze für die Integration des Risikomanagements in bestehende ManagementAnsätze
5.1 Organisatorischer Ansatz eines integrativen Risikomanagementkonzeptes
5.1.1 Konzernweite Ausrichtung
5.1.2 Risikoarten
5.1.3 Einheitliche Begrifflichkeiten
5.1.4 Methodische Umsetzung
5.2 Change Management für den Integrationsprozess
5.2.1 Ursprung des Change Management
5.2.2 Gegenstand der Änderung
5.2.2.1 Strategie
5.2.2.2 Strukturen und Organisationen
5.2.2.3 Prozesse
5.2.3 Rahmenbedingungen
5.2.4 Relevanz des Change Management
5.2.5 Transformationsprozesse in Organisationen
5.3 Risikosteuerung mittels integrierter Balanced Scorecard
5.4 Ausgestaltung eines integrativen RMProzesses

6 Fazit und Ausblick auf Möglichkeiten und Grenzen

Abbildungsverzeichnis

Abbildung 1: Risikomatrix

Abbildung 2: Aktivitäten des Risikomanagements

Abbildung 3: Klassische RisikoMatrix

Abbildung 4: Monetarisierte RisikoMatrix

Abbildung 5: Einstufung nach Schaden

Abbildung 6: RiskMapping

Abbildung 7:Aufbau eines RisikoKatalogs

Abbildung 8: Aufbau eines RisikoKatalogs

Abbildung 9: Allgemeiner RisikoManagementProzess

Abbildung 10: Grob skizzierter Ablauf des Risikomanagements

Abbildung 11: Kennzeichen eines Managementsystems

Abbildung 12: Managementsysteme und Basisfähigkeiten

Abbildung 13: St. Galler Management Modell (vereinfachte Darstellung)

Abbildung 14: Ebenen des Strategischen Managements

Abbildung 15: Vier Felder einer SWOTAnalyse

Abbildung 16: StrategyMap I

Abbildung 17: StrategyMap II

Abbildung 18: CobiTAnsatz

Abbildung 19: ITILFramework, gegliedert nach Leveln

Abbildung 20: Verbindung zwischen ITService und Business Service

Abbildung 21: Ebenen der Unternehmensführung nach dem St. Galler Ansatz

Abbildung 22: Elemente eines Risikomanagementkonzeptes

Abbildung 23: Virtuelle Organisation eines Risikonetzes

Abbildung 24: Risikoarten

Abbildung 25 Phasen eines Change Management Prozesses

Abbildung 26: ITStrategie als Enabler

Abbildung 27: InformationskriterienProfil

Abbildung 28: Key Goal und Key Performance Indicator in der BSC

Abbildung 29: BSC mit integrierten ITIndikatoren

Abbildung 30: Strategieumsetzung mittels BSC

Abbildung 31: RisikomanagementProzess im strategiefokussierten Führungssystem

Abbildung 32: Integrierter RM Prozess I

Abbildung 33: Integrierter RM Prozess II

Abbildung 34: Integrierter RM Prozess III

Abbildung 35: Integrierter RM Prozess IV

Abbildung 36: RMOutput im ManagementAnsatz

Tabellenverzeichnis

Tabelle 1 - Beschreibung der Veränderungsphasen

Abkürzungsverzeichnis E

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Zeiten des Wandels und des Umbruchs bringen immer neue Anforderungen mit sich - bereits Hegels‘ Dialektik lehrte schon, dass eine These und ihre kor- respondierende Antithese zu einer revolutionären und lösungsorientierten Synthese verschmelzen. Ca. 250 Jahre später gelten diese Gesetze noch immer und revolutionieren in regelmäßigen Abständen die Gegebenheiten der Wirtschaftspolitik, sowie auch die strategische Unternehmensführung.

In den letzten Jahren haben mehrere Veränderungen und Umstände¹ auf den internationalen Märkten dazu beigetragen, dass sich in regelmäßigen Abständen die Rahmenbedingungen verändert haben. Aus möglichen auftretenden Risiken werden Chancen und umgekehrt. Ein Prozess, der komplexer nicht sein könnte - sowohl die Identifikation und das ständige Monitoring von Risiken als auch die Ableitung von Maßnahmen für eine adäquate Steuerung dieser - benötigt an dieser Stelle ebenfalls Unterstützung, in Form einer entsprechenden Verankerung in der Unternehmensführung.

Die Gesetze des Marktes zeigen auf, dass die Marktmechanismen in regel- mäßigen Abständen durch eine Dynamik den Markt bereinigen² und neue Ent- repreneure und Akteure aufstellen. Hier ist an dieser Stelle ein gutes Risiko- management gefragt, das diese auftretenden Risiken stets identifiziert, bewer- tet und zugleich geeignete Maßnahmen derivativ ableitet. Daraus ergibt eine Risikomatrix, die zugleich einen neuer Satz an Methoden und Tools entwickelt für die Sicherstellung der Reaktivität auf den Märkten. Somit stellt die Risiko- matrix einen spezifischen Baukasten dar, mittels dessen ein Unternehmen auf einem freien Markt operieren kann.

2 Ausgangslage

Wie sieht soweit das aktuelle Geschehen aus? Risikomanagement³ und be- sonders IT-Risikomanagement stellen Themen dar, die sehr häufig in der Fachpresse auffindbar sind - zu welchem Grad sie allerdings auch als sensiti- ve Themen wahrgenommen werden, steht auf einem anderen Blatt geschrie- ben.

2.1 Problemstellung

Das momentane Bild der Unternehmensführung stützt sich auf unterschiedli- che Modelle⁴. Eines der renommiertesten ist dabei beispielsweise das St. Gal- ler Management Modell⁵. Allerdings zeigt die heutige betriebliche Organisati- on, dass das Management einer Unternehmung an sich, sich nicht mehr nur auf die Führung und Steuerung der Mitarbeiter oder des Tagesgeschäfts stützt, sondern auch die Fokussierung der Informationstechnologie oder Ana- lyse und Steuerung von Risiken als entscheidende Faktoren berücksichtigen muss. Durch die stetige Vernetzung⁶ des betrieblichen Alltags ist es heutzuta- ge kaum noch denkbar, Prozesse und Workflows ohne IT-Unterstützung ab- zuwickeln. Das passende Szenario an dieser Stelle: ein Beschaffungsprozess im Einkauf, der in Industriekonzernen nicht über EDIFACT⁷ bzw. EDI vonstat- tengeht, sondern telefonisch abgewickelt wird. Da es sich hierbei um einen Bruch in der Supply Chain handelt und sich diese Beschaffung außerhalb der üblichen Standardisierung abspielt, wäre dieser Prozess mit erheblichem Mehraufwand verbunden - ein Aspekt, der sich wiederum auf die Beschaffungskosten aufschlagen würde (Risikomanagement-Perspektive: Wertschopfung bzw. Beschaffung ohne funktionsfaehige Supply Chain, bspw. Bedingt durch einen Systemausfall oder Ahnliches).

Genau an dieser Stelle wird deutlich, dass die steigende Vernetzung⁸ einen immer größeren Stellenwert einnimmt und nicht mehr wegzudenken ist. In diesem Zusammenhang manifestiert sich allerdings auch der Aspekt, dass Wertschöpfung ohne IT-Unterstützung so gesehen (nahezu) nicht mehr mög- lich ist.

Bedingt dadurch nimmt auch das eigentliche Risikomanagement (beispiels- weise mit Fokus auf die Informationstechnologie) einen hohen Stellenwert ein und muss so gesehen den Fortbestand und die Aktivität der Informationstech- nologie und der Wertschöpfung gewährleisten. Das momentane Bild des be- triebenen Risikomanagements ist deutlich geprägt von vereinzelten Aktivitä- ten, die beispielsweise einen laufenden Betrieb sicherstellen sollen, um eine Folge von Umsatzeinbußen oder sogar schlimmeren Effekten vermeiden zu können. Beispielsweise werden so einzelne Prozesskennzahlen gebildet, um Aussagen über entsprechende Performance⁹ -Indizes treffen zu können. Die Kritik an dieser Stelle ist allerdings, dass die Kontrolle anhand dieser Kenn- zahlen lediglich eine Fokussierung auf Einzelaspekte zur Folge hat - so wer- den zwar unterschiedliche Kennzahlen hinsichtlich Effektivität und Effizienz optimiert, allerdings steht, da eine Gesamtbetrachtung fehlt, eine Abstimmung mit anderen Unternehmenszielen aus. Negative Skaleneffekte könnten so beispielsweise eine zu starke oder zu schwache Fokussierung auf die Infor- mationstechnologie sein, die eine Einhaltung der Unternehmensziele gefähr- den kann.

Ein dazu passendes Szenario wären beispielsweise übermäßige Sicherheits- mechanismen und Kontrollen, die die Durchlaufzeit von Prozessen erheblich beeinträchtigen und den Output daher mindern, sodass Quartals- oder Um- satzziele nicht mehr haltbar sind. Viele Szenarien sind in diesem Zusammen- hang denkbar.

2.2 Zielsetzung

Die Zielsetzung der vorliegenden Masterthesis liegt somit darin begründet, das Risikomanagement am Beispiel eines geeigneten RisikomanagementAnsatzes in die Unternehmensführung einzubinden, um so einen holistischen und abteilungsübergreifenden Ansatz realisieren zu können.

In dieser unternehmensweiten Offensive darf die verwendete Informationstechnologie nicht mehr als Notwendigkeit angesehen werden, die lediglich existent ist, sondern durch ihre ubiquitäre Verzahnung als strategischer Konkurrenzvorteil ausgespielt werden kann (und soll!).

Dieser Ansatz hat zum Ziel, einen systematischen Umgang mit Chancen und Risiken zu etablieren, anstatt lediglich einer Reaktion auf Veränderungen am Markt und zugleich eine einheitliche Sicht auf Chancen und Risiken (unter entsprechender Berücksichtigung von Abhängigkeiten und Zusammenhängen) als Entscheidungsgrundlage zu nutzen. So wird auch nachhaltig die Entscheidungsqualität optimiert, da zugleich mehrere Perspektiven erfasst werden und die Expertise der Fachabteilungen als Grundlage zur Analyse von aufkommenden Bedrohungen und Risiken genutzt wird.

3 Grundlagen des Risikomanagements

In der fernöstlichen Kultur gibt es dasselbe Schriftzeichen für Krise, sowie für Gelegenheit. Diese Philosophie, die in der asiatischen Kultur seit mehreren Tausend Jahren vermittelt und gelehrt wird, ist ebenfalls ein Ansatz, der das Risikomanagement, wie es gekannt und praktiziert wird, in ein anderes Licht rückt.

Das klassische Risikomanagement, wie es sich in den letzten Jahren zur gesetzlichen Vorgabe¹⁰ entwickelt hat, basiert auf mehreren Stufen bzw. Abfolgen innerhalb eines Managementprozesses¹¹.

Eine sauber ausgearbeitete Identifikation und eine Steuerung von Risiken er- fordern selektierte Vorbedingungen. Die Etablierung des Risikomanagements ist zunächst initial, muss allerdings im laufenden Betrieb einer geschäftigen Tätigkeit stets wiederholt werden, um erneut auftretende Risiken bewerten und steuern zu können. Doch näher beleuchtet stellt sich die Frage, aus wel- chen Komponenten genau sich das Risikomanagement zusammensetzt, denn vereinfacht gesprochen, lässt sich der Prozess hinter der Steuerung von Risi- ken in die Bewertung und die Maßnahme von Risiken unterteilen.

Bedingt durch den Hintergrund, dass das Risikomanagement in den letzten Jahren massiv an Bedeutung gewonnen hat, hat der Gesetzgeber an dieser Stelle auch rechtliche Rahmenbedingungen¹² erstellt, die dazu beitragen sol- len, definierte Maßnahmen aufzustellen, wie mit Risiken umgegangen werden soll, allerdings auch, wie Risiken identifiziert und evaluiert werden sollen.

Mit zunehmenden wirtschaftlichen Auswirkungen haben sich so auch Themen¹³ wie Basel II¹⁴, das KonTraG¹⁵, SOX¹⁶ etc. manifestiert und sind teilweise internationale Standards¹⁷ geworden.

Risikomanagement bezeichnet in diesem Zusammenhang¹⁸ den Umgang mit Risiken und Maßnahmen, allerdings kann Risikomanagement¹⁹ in der Informa- tionstechnologie²⁰, im Bankenwesen, im Versicherungswesen, in der Kredit- wirtschaft etc. praktiziert werden. Die Folgen (womöglich sogar im weiteren Sinne) sind dabei nur schwer abzuschätzen. Bedingt dadurch spielen sehr umfassende Risiko-Szenarien²¹ auch eine sehr große Rolle (sehr weitläufiges und drastisches Szenario: Kündigung mehrerer Vertriebler führt zum Verlust mehrerer A²² -Klienten, es entsteht ein negatives Bild in den Medien, Aktien- kurs fällt als Folge negativer Publicity, Unternehmen muss restrukturiert wer- den und Mitarbeiter entlassen etc.).

3.1 Risikodefinition

Bevor ein entsprechendes Risiko²³ allerdings moderiert und kontrolliert werden kann, muss analog dazu definiert werden, was genau ein Risiko darstellt bzw. wie es zu definieren ist.

Laut der ISO²⁴ - International Organization for Standardization- ist ein Risi- ko²⁵:

Abbildung in dieser Leseprobe nicht enthalten

ins Deutsche übersetzt

Abbildung in dieser Leseprobe nicht enthalten

Somit fällt auf, dass die Definition eines Risikos an dieser Stelle wertfrei ist. Dabei kann es sich somit um positive, als auch um negative Auswirkungen eines Ereignisses handeln.

Im Rahmen einer mathematischen Betrachtung werden so in einer Matrix Eintrittswahrscheinlichkeit und Tragweite einander gegenübergestellt (vergleiche Abbildung 1: Risikomatrix) - so ist es ohne weiteres möglich, visuell Risiken zu „platzieren“, um sie besser im Auge zu behalten.

Durch diese näheren Umstände wird ein Risiko also stilisiert. Die Faktoren „Eintrittswahrscheinlichkeit“ und „Schadenshöhe“ tragen auch letztlich dazu bei, zu entscheiden, mit welchem Augenmerk ein Risiko behandelt werden kann und muss.

Im vorliegenden Beispiel wurden die entsprechenden Kategorien eingefärbt, um eine Übersichtlichkeit²⁶ zu bieten, welche Risiken kontrolliert werden müs- sen und welche eher vernachlässigt bzw. hingenommen werden können.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Risikomatrix²⁷

So könnte beispielsweise, vereinfacht gesprochen, das Fehlen einer effektiven Zugangskontrolle in einem Rechenzentrum ein Risiko sein, das durch eine hohe Eintrittswahrscheinlichkeit (z.B. durch Einbruch oder durch das Betreten durch Unbefugte) und eine sehr hohe Tragweite (evtl. Totalausfall durch Beschädigung des Rechenzentrums) gekennzeichnet ist.

Auf der anderen Seite gibt es auch Risiken, die durch geringe Tragweiten, sowie auch durch geringe Eintrittswahrscheinlichkeiten gekennzeichnet werden. Auch hierbei muss entschieden werden, ob die Auswirkung kontrolliert oder hingenommen werden kann.

3.2 Erfassung und Verwaltung von Risiken

Bei Risikomanagement handelt es sich um einen iterativen Prozess, bestehend aus unterschiedlichen Aktivitäten (vergleiche Abbildung 2: Aktivitäten des Risikomanagements), der kontinuierlich ausgeführt werden muss, um stets neue aufkommende Risiken zu identifizieren. So können letztlich Szenarien durchgespielt werden, wie mit diesen Risiken umzugehen ist.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Aktivitäten des Risikomanagements²⁸

So ist deutlich zu erkennen, dass eine explizite Kontext-Definition und Formalisierung von Risiken am Anfang eines gut ausformulierten RisikoManagements steht - auf Basis dessen sind auch weitere Maßnahmen und Strategien²⁹ ableitbar.

Das Monitoring von Risiken an sich geht im betrieblichen Umfeld über eine Vielzahl von Tools und Methoden vonstatten - nicht zuletzt, weil die Anzahl an Risiken sehr schnell sehr hoch anwachsen kann und dabei hochgradig un- übersichtlich wird.

Sofern das Risikomanagement dann als unternehmensweise Initiative gefahren wird, sind professionelle Methoden und Tools, evtl. sogar ein Informationssystem erforderlich, um dieses adäquat umsetzen zu können.

Die laufende Überwachung und Steuerung von Risiken kann auf der obersten Ebene der Unternehmensführung sehr schnell unübersichtlich werden: unter- schiedliche Märkte auf denen eine Organisation aktiv ist, Kunden aus ver- schiedenen Branchen, die stets beobachtet werden müssen, sowie natürlich Veränderungen und Bewegungen auf den Käufermärkten, die sich schnell zu großen Risiken aufschaukeln und die letzten Endes sogar existenzbedrohend sein können.

In solchen Fällen werden Risiken geclustert und tabellarisch dargestellt, um sie besser zu überblicken (siehe Abbildung 3: Klassische Risiko-Matrix).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Klassische Risiko-Matrix³⁰

Mittels einer Risiko-Matrix werden die Auswirkungen gruppiert und ergeben eine Risikozahl (üblicherweise angegeben in €) - anhand dieser werden Risiken unterschieden und gesteuert (siehe Abbildung 4: Monetarisierte Risi- ko-Matrix).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Monetarisierte Risiko-Matrix³¹

Anschließend kommt es dann zur Bewertung des Nutzwertes, das entspre- chende Risiko (bei einer kleinen Risikozahl) einfach zu akzeptieren und mit den geringen Auswirkungen umgehen zu können, oder stattdessen Maßnah- men zu definieren, um das Risiko kontrolliert zu vermeiden oder dem vorbeu- gen zu können.

Letztendlich bestimmen die Entscheidungskriterien, welche Auswirkungen nachhaltig auf den Unternehmenserfolg Einfluss nehmen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Einstufung nach Schaden³²

Mittels der Risk-Mapping-Technik ist es möglich, diese Schadenseinstufung (vgl. Abbildung 5: Einstufung nach Schaden) noch weiter zu verfeinern, bei- spielsweise weiter in Abteilungen, Funktionen, Bereichen, Klienten etc. zu untergliedern.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Risk-Mapping³³

Eine sogenannte „Risiko-Akzeptanz-Linie“ (siehe Abbildung 6: Risk-Mapping) legt fest, auf welche Risiken man sich zur Steuerung konzentrieren kann und welche anderen Risiken wiederum (in relation zur Risikophilosophie der Unternehmung) außer Acht gelassen werden können.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7:Aufbau eines Risiko-Katalogs³⁴

Die Maßnahmen, die im Rahmen eines effektiven Risiko-Managements gefah- ren werden, werden ebenfalls innerhalb der Analyse-Phase erfasst. Dabei bedient man sich eines Risiko-Katalogs (s. Abbildung 7:Aufbau eines Risiko- Katalogs - Clusterung nach unterschiedlichen Kriterien und Gegenüberstel- lung) und erfasst die Lösungsalternativen zu den korrespondierenden Risiken.

3.3 Aggregation von Risiken

Wie ist es möglich, Risiken, die miteinander in der Regel nur schwer vergleichbar sind, zu aggregieren und aussagekräftig zusammenzufassen? Welchen Zweckbezug könnte es letztlich also haben, zwei Risiken miteinander zu verbinden und eine Gesamtrisikoposition³⁵ aufzuführen?

Die Beantwortung dieser Frage³⁶ ergibt sich aus der Betrachtung von Risiken an sich - steht eine Organisation einem Risiko bzw. einem Wagnis gegen- über, müssen im weiteren Verlauf die Konsequenzen abgewogen werden. Dabei wird klar und sachlich analysiert, welche Auswirkungen bestimmte Schritte haben könnten.

Gibt es allerdings zwei bestehende Risiken oder sogar mehr, die in Korrelati- on³⁷ zueinander stehen, dann kann es hierbei wesentlich komplexer werden, Entscheidungen zu treffen und den Gesamtzusammenhang an Auswirkungen zu erkennen. Dabei gibt es mehrere Verfahren, um diese Risiken mathema- tisch zu evaluieren und zueinander ins Verhältnis setzen zu können.

Eine dieser Methoden ist die sog. „Monte Carlo Simulation“³⁸, die eines der wichtigsten³⁹ Verfahren für die Aggregation von Risiken darstellt. Bei der Mon- te Carlo Simulation, einem stochastischen Verfahren, werden für gewöhnlich, vereinfacht erläutert, die einzelnen Risikopositionen mit Eintrittswahrschein- lichkeiten versehen und auf die entsprechenden Posten der Gewinn- und Verlustrechnung angewendet.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Aufbau eines Risiko-Katalogs⁴⁰

Diese Simulation⁴¹ wird näherungsweise mehrere tausend Male auf das Ge- schäftsjahr angewendet, sodass aus diesen Datenreihen Näherungswerte gebildet werden können. Die reelle Abbildung gleicht somit einer analytischen Stichprobe aller möglichen Risikokombinationen eines Unternehmens.

Abbildung 8: Aufbau eines Risiko-Katalogs veranschaulicht so beispielsweise die Risikopositionen „R1 - R6“. Dabei handelt es sich um kalkulatorische Risiken, die jeweils um einen definierten Prozentsatz ansteigen und sich so auf das Gesamtergebnis auswirken können.

Die kalkulatorischen Risiken wurden somit im Vorfeld erfasst und zusammengetragen, um eine konsolidierte Risikoanalyse durchzuführen. Im weiteren Schritt wird im Rahmen der Monte Carlo Simulation eine Verteilung⁴² erstellt (bspw. eine Normalverteilung bzw. eine Binomialverteilung mit den entsprechenden Schadenshöhen und Eintrittswahrscheinlichkeiten), die in mehreren Zyklen⁴³ durchlaufen wird (für gewöhnlich mehrere tausend Male, um eine gewichtete Aussagekraft erstellen zu können).

Daraus ergeben sich dann die entsprechenden Mittelwerte und die Standardabweichung der Risikoanalyse⁴⁴.

3.4 Risikomanagement als Prozess

Die sogenannten Aktivitäten⁴⁵, die im Rahmen eines gestaffelten und (unternehmensweit) gefahrenen Risikomanagements ablaufen, unterteilen sich in die Analyse und die Bewältigung von Risiken, als auch (bilateral) in die Kommunikation von Risiken und das dazugehörige Reporting dessen (Abbildung 9: Allgemeiner Risiko-Management-Prozess - generisch ausgestalteter Risikomanagement-Prozess, der im Unternehmen etabliert wird).

Der Prozess an sich ist sehr abstrakt ausgestaltet, sodass er praktisch auf mehrere Unternehmensbereiche⁴⁶ angewandt werden kann. Von Vorteil ist dabei natürlich, dass eine gewisse Uniformität in der Organisation etabliert wird und das Risiko-Management zu einer Vorgabe⁴⁷ wird, die auch im Rah- men der Corporate Governance⁴⁸ eingehalten wird. Dadurch vollzieht sich der Wandel vom Risiko-Management als rechtliche Vorgabe zur Einhaltung eines Standards bspw. im Marketing, sowie auch im Einkauf oder in der Buchhal- tung als Risiko-Philosophie mit entsprechender Verankerung in den Unter- nehmenszielen. So steht eine „Kontext-Definition“ zunächst immer am Anfang, um ausformulieren zu können, welche Strategien⁴⁹ verfolgt oder Richtungen eingeschlagen werden. Im weiteren Verlauf stehen eine detaillierte Analyse und Bewertung von Risiken im Vordergrund, um die Risiken bewältigen zu können oder, bei entsprechender Zusammensetzung, vernachlässigen und hinnehmen zu können.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Allgemeiner Risiko-Management-Prozess⁵⁰

Die Transformation des Risiko-Managements vom Projekt zum Prozess⁵¹ hat in diesem Zusammenhang auch zur Folge, dass die Identifikation und die da- mit verbundene Analyse von Risiken regelmäßig wiederholt werden und so eine laufende Überwachung der neu auftretenden Risiken stattfindet - in einem entsprechenden Risikomanagement ist eine laufende Überwachung von Risiken unabdingbar.

Dabei werden nicht nur interne sondern auch externe Risiken in regelmäßigen Zeitabständen systematisch erfasst und geprüft - beispielsweise durch Szenario-Techniken oder Risiko-Analysen (beispielsweise Expertenbefragungen oder der Delphi-Methode⁵² etc.). Durch die iterative Wiederholung des RisikoManagement-Prozesses, werden entsprechende Faktoren wie die Reaktivität des Unternehmens auf Marktbedingungen oder gar auf Gefahren in verschiedenen Bereichen vergleichbar gemacht und sichergestellt.

Vereinfacht dargestellt stützt sich ein Risiko-Management-Prozess also zunächst auf die Erfassung und Identifikation von Risiken (vgl. Abbildung 10: Grob skizzierter Ablauf des Risikomanagements).

Mittels der in Kapitel „3.3 Erfassung und Verwaltung von Risiken“ vorgestellten Tools und Methoden werden diese Einzelrisiken bewertet und in einer Risk- Map aufgeführt. Korrespondierend dazu werden Maßnahmen definiert, die zu den entsprechenden Risiken passen - so ist hierbei unternehmensspezifisch zu definieren, welchen Spielraum Maßnahmen für Risiken einnehmen dürfen. Sowohl monetäre (Beispiel: finanzielle Strafen und Sanktionen) als auch nicht monetäre (Beispiel: Rufschädigung⁵³ und damit verbundenes Ausbleiben von Aufträgen) Auswirkungen müssen hierbei berücksichtigt und innerhalb einer Risikostrategie festgehalten werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 10: Grob skizzierter Ablauf des Risikomanagements⁵⁴

Eine entsprechende Priorisierung aus den vorliegenden evaluierten Risiken ergibt sich letzten Endes aus den kombinierten Faktoren der möglichen Szenarien - darauf aufbauend gibt es Gegenmaßnahmen, die in Relation zur Risikozahl stehen müssen.

3.4.1 Einbindung der Risiko-Analyse in einen RM-Prozess

Anfänglich steht zunächst die Risiko-Analyse an, im Rahmen dessen Risiken nach definierten Methoden und Analyse-Arten erfasst werden. Möglichkeiten der Erfassung⁵⁵ liegen hier beispielsweise vor durch die:

- Impact Analyse⁵⁶: (potentielle Schäden: Untersuchung, ob es für ein System überhaupt Risiken gibt oder ob eine weitergehende Risikoana- lyse erforderlich ist)
- Bedrohungsanalyse (relevante Bedrohungen)
- Schwächen-Analyse (relevante Schwachstellen: Orientierung an Best Practices oder Standards für Schwachstellen, bspw. von IT-Systemen oder Computern)

Nach erfolgter und umfassender Risiko-Analyse⁵⁷ steht eine RisikoEinschätzung an: im Rahmen dieser werden stochastische Wahrscheinlichkeiten für die Risiken erhoben.

3.4.2 Bewertung von Risiken

Nach erfolgreicher Risikoanalyse liegen die quantifizierten Ergebnisse vor und sind mit entsprechenden Tragweiten und Wahrscheinlichkeiten formalisiert.

Diese müssen anschließend im Kontext der Organisation bewertet werden. Dabei ist von großer Bedeutung, zu welchem Grad bei entsprechenden Risi- ken an der variablen Eintrittswahrscheinlichkeit und Tragweite skaliert werden kann. Fallen bspw. gewisse Dienstleistungen in einer Unternehmung aus, ist hierbei zu klären, inwieweit diese das Tagesgeschäft beeinträchtigen und zu welchem Grad es sich hier lohnt (monetär als auch nicht-monetär), gegenzu- steuern.

Ferner ist bei der Bewertung von Risiken ebenfalls zu klären, mit welcher Dringlichkeit⁵⁸ diese bewältigt werden müssen (rechtliche Vorgaben bspw.).

3.4.3 Steuerung und Kontrolle von Risiken

Steuerung und Kontrolle von Risiken⁵⁹ deuten auf einen maßvollen Umgang mit diesen hin. In diesem Zusammenhang muss im Vorfeld bereits evaluiert werden, welche Risiken gerade das Unternehmen bzw. die Organisation „be- drohen“ und was für Maßnahmen definiert werden, die einen Kompromiss aus Aufwand und Konsequenzen darstellen, um mit diesen Risiken fertig zu wer- den. Sofern sich die entsprechenden Maßnahmen nicht lohnen (bspw. finan- ziell zu aufwändig im Verhältnis zu den Konsequenzen des Risikos), können entsprechende Risiken auch einfach in Kauf genommen werden.

[...]

---

¹ Verfasser unbekannt; Banken bauen Stellen ab - trotz Milliardengewinnen, http://www.handelsblatt.com/unternehmen/banken/banken-bauen-stellen-ab-trotz- milliardengewinnen/4159674.html, Zugriff 11.05.2011

² Verfasser unbekannt; Die Krise als grosse Reinigung der Wirtschaft, http://www.business-wissen.de/unternehmensfuehrung/marktbereinigung-die-krise- als-grosse-reinigung-der-wirtschaft/, Zugriff 12.05.2011

³ Verfasser unbekannt; Die Banken müssen noch viel mehr vorsorgen, http://www.handelsblatt.com/unternehmen/banken/die-banken-muessen-noch-viel- mehr-vorsorgen/4144786.html, Zugriff 12.05.2011

⁴ Verfasser unbekannt; Zwei Modelle der Unternehmensführung, http://www.global- ethic-now.de/gen-deu/0d_weltethos-und-wirtschaft/0d-02-drei-ebenen/0d-02-201- zwei-modelle.php, Zugriff: 01.02.2011

⁵ Seibert, S.; St. Galler Managementmodell, http://www.siegfried- seibert.de/Wissensspeicher/SanktGallerManagementmodell, Zugriff 12.02.2011

⁶ Mattern, F.; Ubiquitos Computing - der Trend zur Infomatisierung und Vernetzung aller Dinge, http://www.4managers.de/fileadmin/4managers/folien/Internetkongress.pdf, Zugriff 12.03.2011

⁷ Peters, R.; EDI/EDIFACT, http://www.enzyklopaedie-der-wirtschaftsinformatik.de/wi- enzyklopaedie/lexikon/informationssysteme/crm-scm-und-electronic- business/Electronic-Business/Standards-im-Electronic-Business/EDI-EDIFACT, Zu- griff 01.02.2011

⁸ Kuhn, T.; Total vernetzt, http://www.handelsblatt.com/technologie/it-tk/it- internet/total-vernetzt/2721766.html, Zugriff 12.01.2011

⁹ Servatius, H.-G.: Performance Management der dritten Generation (Teil 1), in: IM Information Management & Consulting, Heft 3/2007, S. 63-70

¹⁰ Passenheim, O.: Risikomanagement: MaRisk: An der praktischen Umsetzung harpert es, in: Versicherungswirtschaft, Heft 08/2010, S. 55-60

¹¹ Burmester L., Adaptive Business-Intelligence-Systeme - Theorie Modellierung und Implementierung, 1. Auflage, Wiesbaden, 2011 S. 75

¹² Perrot R., Reif M., Heinrich M., Ellter R., Kompaktwissen Risikomanagement, 1. Auflage, Wiesbaden, 2010 S. 17

¹³ Pastors P., Risiken des Unternehmens - vorbeugen und meistern -, 1. Auflage, München, 2002 S. 213

¹⁴ Basel II fasst die Gesamtheit aller Eigenkapitalvorschriften des Basler Ausschusses für Bankenaufsicht hinsichtlich Eigenkapitalvorschriften.

¹⁵ Gesetz zur Kontrolle und Transparenz im Unternehmensbereich mit dem Ziel, die Corporate Governance in deutschen Unternehmen zu verbessern.

¹⁶ Sarbanes-OxleyAct, US-Bundesgesetz, das in Folge des Enron- Bilanzierungsskandals die Verlässlichkeit des Berichtswesens von amerikanischen Börsenfirmen konkretisiert.

¹⁷ Klotz, M.: Basel II als Treiber des IT-Sicherheitsmanagements - eine Klarstellung, in: HMD - Praxis der Wirtschaftsinformatik, Heft 256/2007, S. 93-104

¹⁸ Pastors P., Risiken des Unternehmens - vorbeugen und meistern -, 1. Auflage, München, 2002 S. 135

¹⁹ Wheeler E., Security Risk Management - Building an Information Security Risk Management Program from the Ground Up, New York, 1. Auflage, 2011 S. 9

²⁰ Burmester L., Adaptive Business-Intelligence-Systeme - Theorie Modellierung und Implementierung, 1. Auflage, Wiesbaden, 2011 S. 121

²¹ Wheeler E., Security Risk Management - Building an Information Security Risk Management Program from the Ground Up, New York, 1. Auflage, 2011 S. 14

²² A-Klienten: Kunden, mit denen anteilig der meiste Umsatz erzielt wird.

²³ Perrot R., Reif M., Heinrich M., Ellter R., Kompaktwissen Risikomanagement, 1. Auflage, Wiesbaden, 2010 S. 147

²⁴ Beims M., IT-Service Management in der Praxis mit ITIL 3, 1. Auflage, München, 2010 S. 5

²⁵ Verfasser unbekannt; Risk management -- Principles and guidelines, http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170; Zugriff 17.02.2011

²⁶ Wheeler E., Security Risk Management - Building an Information Security Risk Management Program from the Ground Up, New York, 1. Auflage, 2011 S. 38

²⁷ Entnommen aus: http://blog.setzwein.com/wp-content/uploads/2008/10/bild-3.png; Zugriff: 12.12.2010

²⁸ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 7

²⁹ Hofmann J., Schmidt W., Masterkurs IT-Management, 1. Auflage, Wiesbaden, 2007 S. 11

³⁰ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 14

³¹ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 16

³² Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 16

³³ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 17

³⁴ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 18

³⁵ Offerhaus J., Hempel M., Risikoaggregation in der Praxis - Beispiele und Verfahren aus dem Risikomanagement von Unternehmen, 1. Auflage, Heidelberg, 2008 S. 89

³⁶ Gleißner, W.: Auf nach Monte Carlo - Simulationsverfahren zur Risiko-Aggregation, in: RISKNEWS, 1/2004, S. 31 - 37

³⁷ Offerhaus J., Hempel M., Risikoaggregation in der Praxis - Beispiele und Verfahren aus dem Risikomanagement von Unternehmen, 1. Auflage, Heidelberg, 2008 S. 101

³⁸ Offerhaus J., Hempel M., Risikoaggregation in der Praxis - Beispiele und Verfahren aus dem Risikomanagement von Unternehmen, 1. Auflage, Heidelberg, 2008 S. 173

³⁹ Gleißner, W.: Auf nach Monte Carlo - Simulationsverfahren zur Risiko-Aggregation, in: RISKNEWS, 1/2004, S. 31 - 37

⁴⁰ Entnommen aus: Gleißner, W.: Auf nach Monte Carlo - Simulationsverfahren zur Risiko-Aggregation, in: RISKNEWS, 1/2004, S. 31 - 37

⁴¹ Offerhaus J., Hempel M., Risikoaggregation in der Praxis - Beispiele und Verfahren aus dem Risikomanagement von Unternehmen, 1. Auflage, Heidelberg, 2008 S. 101

⁴² Gleißner, W.: Auf nach Monte Carlo - Simulationsverfahren zur Risiko-Aggregation, in: RISKNEWS, 1/2004, S. 31 - 37

⁴³ Offerhaus J., Hempel M., Risikoaggregation in der Praxis - Beispiele und Verfahren aus dem Risikomanagement von Unternehmen, 1. Auflage, Heidelberg, 2008 S. 73

⁴⁴ Gleißner, W.: Auf nach Monte Carlo - Simulationsverfahren zur Risiko-Aggregation, in: RISKNEWS, 1/2004, S. 31 - 37

⁴⁵ Wheeler E., Security Risk Management - Building an Information Security Risk Management Program from the Ground Up, New York, 1. Auflage, 2011 S. 35

⁴⁶ Hülsberg, F.: Corporate Governance bedeutet auch Risk Management, in: Risiko Manager, Heft 20/2007, S. 7-14

⁴⁷ Rüter A., Schröder J., Göldner A., IT-Governance in der Praxis, 1. Auflage, Heidelberg, 2006 S. 30

⁴⁸ Hofmann J., Schmidt W., Masterkurs IT-Management, 1. Auflage, Wiesbaden, 2007 S. 291

⁴⁹ Rüter A., Schröder J., Göldner A., IT-Governance in der Praxis, 1. Auflage, Heidelberg, 2006 S. 44

⁵⁰ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 28

⁵¹ Gegenuberstellung zwischen Prozessorientierung und Projektorientierung: Projekte als einmalige Vorhaben, Prozesse als laufende und zu widerholende Ablaufe

⁵² Bei der Delphi-Methode handelt es sich um ein systematisches, mehrstufiges Befragungsverfahren mit Feedbackrunden für zukünftige Ereignisse oder Trends. Die Teilnehmer (Fachpersonal) werden in mehreren Schritten anonym befragt. Am Ende steht eine letzte Runde an, in der Bereiche fokussiert werden, in denen bisher keine Übereinkunft erreicht wurde.

⁵³ Börner, C.: Shareholder Value und Risikomanagement - Vereinbar in Theorie und Praxis?, in: Versicherungswirtschaft, Heft 21/2010, S. 15-21

⁵⁴ Entnommen aus: Entnommen aus: Thommsen, J.-P., Managementorientierte Betriebswirtschaftslehre, 8. Auflage, Zürich, 2008, S. 867

⁵⁵ Ahrendts, F., Marton, A., IT-Risikomanagement leben!, 1. Auflage, Heidelberg, 2008, S. 111

⁵⁶ Offerhaus J., Hempel M., Risikoaggregation in der Praxis - Beispiele und Verfahren aus dem Risikomanagement von Unternehmen, 1. Auflage, Heidelberg, 2008 S. 55

⁵⁷ Wheeler E., Security Risk Management - Building an Information Security Risk Management Program from the Ground Up, New York, 1. Auflage, 2011 S. 65

⁵⁸ Ahrendts, F., Marton, A., IT-Risikomanagement leben!, 1. Auflage, Heidelberg, 2008, S. 16

⁵⁹ Ahrendts, F., Marton, A., IT-Risikomanagement leben!, 1. Auflage, Heidelberg, 2008, S. 24