Home · Impressum

Was ist Risikomanagement


Ein Risiko als Beispiel: Erdbeben

Stellen sie sich einmal kurz vor, Sie wären in Haiti gewesen als die Erde dort bebte. Hätten Sie etwas machen oder ändern können? Im Grunde nicht. Wären Sie in einem Haus gewesen, dass eingestürzt ist, dann wären Sie möglicherweise dort auch Wochen nach dem Beben noch begraben. Als Betroffener und als Opfer mehrere Meter unter der Erde können Sie zunächst einmal gar nichts machen. Doch Sie können sich vorbereiten auf ein Erdbeben anderswo oder ein Erdbeben an dem Sie nicht als Opfer beteiligt sind.

Haiti ist ein US-Staat und so ist vorrangig die US-Regierung für die ersten Reaktionen verantwortlich. Nun sollten wir einmal blicken auf die Kurze Zeit, in der erste Erkenntnisse vorlagen

  1. Der Einsatz kostet ca. 100 Milliarden, ggf. mehr
  2. Die ersten 72 Stunden entscheiden

und in der schon Entscheidungen getroffen wurden:

  1. Die ersten US-Flugzeugträger ändern die Kurse auf Haiti

Solche Reaktion in dieser extrem kurzen Zeit – die Hilfe über mehrere tausend Kilometer läuft nicht nur an, sie greift und wirkt auch – sind nur über sogenannte Notfallpläne zu realisieren. Notfallpläne sind im Grunde das Ergebnis von ausgewerteten Erfahrungen früherer Katastrophen. Man hat schon x mal bei einem solchen Beben geholfen und weiß, was nötig ist und was nicht.

Weiter sind Notfallpläne recht ähnlich. Ob eine technische Infrastruktur durch ein Erdbeben zerstört wird, durch eine Überschwemmung oder eine Atombombe ist zunächst einmal gleich. Man muss immer recht schnell erfassen:

  1. die Zahl der betroffenen Personen
  2. die betroffenen Flächen mit Schädigungsgrad(en)
  3. die Entfernungen zu entsprechenden Notfallversorgungszentren
  4. die Erreichbarkeit – zu Lande, zu Wasser oder in der Luft

Relativ schnell hat man aus diesen Daten ermittelt, wie viel Hilfsgüter man braucht, welcher Art Hilfsgüter , wie und in welcher Reihenfolge die anzutransportieren sind.

Nur sorgfältige Planungen – basierend auf früheren Katastropheneinsätzen – können eine solche rasche und entscheidende Hilfe sicher stellen. Würden Sie erst nach der Katastrophe diese Pläne erstellen wollen, dann bräuchten Sie nicht mehr antreten für Hilfsaktionen. Die Leute wären verhungert bevor sie die Hilfe überhaupt in Container gepackt und versandfertig haben.

Also: Risikomanagement (andere aus dem Englischen übernommene Schreibweise riskmanagement oder auch wie Google vorschreibt risk management) betreibt man genau dann, wenn man sich auf außergewöhnliche Fälle – auf nichtplanmäßige Ereignisse – vorbereitet.

Erdbeben als Risiko, geht es uns als Bürger überhaupt etwas an?

Gut, wenn es darum geht, dass Flughäfen zerstört, Häuser eingestürzt und Straßen gesperrt, oder dass sogar Brücken eingestürzt sind, dann gibt es nur eine Möglichkeit. Das Risikomanagement ist die ausschließliche Aufgabe des Staates. Was aber passiert nach den 72 Stunden. Ihr Büro ist halbwegs freigeschaufelt, die Überlebenden sind im Krankenhaus oder zu Hause und die Toten begraben. Aber das Büro und die Produktionshalle sind nur noch Trümmerhaufen. Hier ist nicht mehr der Staat gefragt, hier beginnt nun wieder Ihre Aufgabe.

Sie sagen sich nun: Ok, muss man wirklich auf ein Erdbeben vorbereitet sein? Meine Antwort bezüglich des Erdbebens besagt: Informieren Sie sich bezogen auf die Wahrscheinlichkeit, dass am Ort der Firmenniederlassung ein Erdbeben auftritt. Hat es in den letzten 600 Jahren kein Erdbeben gegeben, dann müssen Sie nicht ernsthaft heute damit rechnen. Wie aber ist es mit Überschwemmungen und großflächigen Bränden? Oder wie ist es mit Sabotage? Und es gibt in Firmen natürlich weit geringere Risiken. Wie ist es mit einem einfachen Serverausfall, einem Stromausfall, einem verstopften Abwasserrohr oder was auch immer.

Noch einmal: Risikomanagement besagt, dass man sich vor der Katastrophe damit befasst und sich Gedanken macht über eine eventuelle Reaktion. Wenn Sie erst nach der Katastrophe mit den Planungen beginnen, dann haben Sie verloren!

Was ist Risikomanagement nicht?

Als vor vielen Jahren der Lothar – ein Wirbelsturm – hier im Schwarzwald einige Bäume umgeworfen und Stromverbindungen gekappt hat, sind die Leute scharenweise hingegangen und haben Generatoren gekauft und auch Spannungswandler und diese im Keller gelagert für den Fall, dass dies wieder passiert. Also: Die Handlung geschah nach dem Ereignis und sie war unüberlegt. So etwas ist kein Risikomanagement.

Dazu eine eigene Geschichte. Eine Bekannte hier im Ort hatte sich wenige Tage vor diesem Sturm – rein zufällig – einen Generator gekauft. Es war geplant, diesen im Falle von Stromausfällen einzusetzen. Dabei war gar nicht so sehr der bevorstehende Sturm das Problem, also “Sturm” war nicht die kaufentscheidende Katastrophe. Hier ging es darum, dass bei stürmischem Regen auch zeitweise der Strom ausfällt. Da bei bestimmten Wetterlagen dann auch die Straße überschwemmt wird und es dann von der Straße in den Keller drückt, brauchte man zwei Pumpen und einen Generator.

Natürlich ist inzwischen alles an seinem Platz und im Ernstfall einsatzbereit. Aber zu diesem Zeitpunkt stand da ein eingepackter Generator und plötzlich gab es einen Sturm und man war von der Außenwelt getrennt, weil die Straßen unpassierbar waren. Nun galt:

  1. Man musste Kraftstoff “auftreiben”, was nicht einfach war. Eine Tankstelle funktioniert nicht ohne Strom. Zu guter letzt konnte nur jemand seinen Reservekanister bereit stellen.
  2. Natürlich musste erst einmal alles zusammengeschraubt werden. Es war glücklicherweise am Tage geschehen, so dass man “genug Licht hatte”.
  3. Können sie einen Generator mit einem Seil – also ohne Batterie – anwerfen? Ich konnte es. Ich stellte aber gleichzeitig fest, dass viele andere es nicht konnten. Wir haben es hinterher geübt, damit mehrere Personen das Gerät anwerfen können. Übrigens: Hätten Sie einen Generator mit Batteriestarter, dann wäre die Frage angebracht: Ist die Batterie im entscheidenden Augenblick voll oder Leer, ist sie betriebsbereit oder defekt?
  4. Was machen Sie eigentlich, wenn der Generator dann 10 Minuten läuft, also Licht und Pumpen im Keller eben auch laufen und dann plötzlich in der Leistung abfällt? Wie gesagt: 10 Minuten hat alles wunderbar funktioniert, dann nicht mehr. Auch hier muss man erst mal wissen, was zu tun ist und es einer Gruppe von Leuten mitteilen.

In der Summe war also zufällig das Gerät da und es konnte mit mit einem mehrstündigen Einsatz schließlich funktionsfähig gemacht werden. Nur: Bei der Inbetriebnahme war der Keller schon vollgelaufen. Das Gerät funktionierte dann 10 Minuten lang und versagte den Dienst. Insgesamt sind in der Zeit natürlich keine entscheidenden Mengen abgepumpt worden und wir konnten an der Stelle nur noch aufgeben. Zum Glück dauerte es dann nur noch 2 Stunden und dann gab es wieder Strom. Wir gehörten dann nicht zu denen, die drei Tage warten mussten.

Fazit: Ein planlos – ggf. mit Blick auf eine Katastrophe – mal eben gekauftes Stück Hardware ist kein Risikomanagement.

Ziele des Risikomanagements

Das Ziel des Risikomanagementes ist die Bereitstellung einer durchdachten Hardwareausstattung und eines durchdachten Handlungskataloges für den Fall des Eintritts eines Risikos.

Aus den gemachten Fehler können wir lernen:

  1. Wir brauchen einen Generator, der länger funktioniert als 10 Minuten.
  2. Dieser muss bereit stehen und ebenso ein gefüllter Kanister
  3. Bei der Katastrophe muss mindestens eine Person verfügbar sein, die den Generator starten kann, oder aber es ist ein Batteriestarter vorzusehen.
  4. Die Person muss bei Abfall der Magnetisierung, das Magnetfeld wieder aufbauen können.
  5. Es sind regelmäßige Übungen – inclusive Funktionstests – durchzuführen.

Bei einem gut durchdachten Risikomanagement werden die Übungen wohl die teuersten Aktionen sein. Im genannten Beispiel geht es um ein paar Bekannte und Mieter, die eingeweiht werden müssen und in einem solchen nachbarschaftlichen Verhältnis ist so etwas mit eigenem Engagement zu realisieren. Trotzdem: Es fallen “Arbeitsstunden” an und die müssen in einer Firmenumgebung auch mitgerechnet werden.

Wenn sie Ihren Mitarbeitern mit allen Nebenkosten im Durchschnitt einen Lohn von einem Euro in der Minute zahlen, sie 300 Mitarbeiter haben und eine Notfallübung ansetzen mit der Dauer von 1/2 Stunde, dann kosten diese 300 Mitarbeiter * 30 Minuten * 1 Euro = 9.000 Euro. Dieses Geld geben Sie nicht mir, das Geld geben Sie ihren Mitarbeitern für die Dauer der Übung. Das ist Arbeitslohn für eine “unproduktive Zeit”. Bei dem Preis ist es wichtig, dass diese Übung inhaltlich durchdacht ist und alle wichtigen Aktionen tatsächlich abgelaufen sind.

Fazit 1: Gut geplantes Risikiomanagement kostet Geld und nur eine gute Planung kann eine gute Effizienz sicher stellen.

Fazit 2: Gute Übungen sollen auch schwächen im Plan zur Abwehr eines Risikos aufzeigen!

Oder anders herum: Es ist besser, wenn jemand bei einer Übung in einem nicht mehr erreichbaren Raum verbrennt, als später im Ernstfall.

Die wirtschaftlichen Vorteile eines guten Risikomanagements

Wenn das Risikomanagement nun Geld kostet, dann kommen wir direkt zur nächsten Frage. Kann man die für das Risikomanagement auch eine Rentabilität berechnen. Und hier kann ich nur mit Gegenfragen reagieren.

  1. Was kostet es Ihnen, wenn ihre Produktionsanlagen im Kerngeschäft für Stunden ausfallen?
  2. Können Sie die Produktion im Kerngeschäft aufrecht erhalten, wenn Ihre IT-Abteilung ausfällt (Brand im Serverraum)?
  3. Können Sie Ihre Kerngeschäftsproduktion aufrecht erhalten, wenn irgendwo ein Abwasserrohr verstopft ist?

Worauf ich hinaus will, sollte klar sein. Die Risiken mit den größten wirtschaftlichen Folgen für Ihren Betrieb sind diejenigen, die ihr Kerngeschäft stilllegen. Und an der Stelle sind Produktionsausfälle direkt auch Kosten. Diese Kosten enthalten dann auch die ggf. fälligen Konventionalstrafen, die dann wegen nicht eingehaltener Termine fällig werden und vieles andere mehr.

Und nun sollte klar sein, wo das Risikomanagement wirklich erforderlich ist. Sie brauchen keine USV, damit der Computer ihrer Sekretärin beim Stromausfall weiter läuft. Zum einen ist der Stromausfall extrem selten, zum anderen geht bei einem solchen Absturz maximal das Ergebnis von 1h Arbeit kaputt (extrem gerechnet). In dem Zusammenhang kostet die Einrichtung und der Unterhalt einer USV einfach dann zu viel. An dieser Stelle wäre die korrekte Entscheidung: Dieses Risiko wird nicht abgesichert!

Fazit: Korrektes Risikomanagement ist eine Absicherung des Kerngeschäftes und aller Komponenten, die das Kerngeschäft stilllegen können.

Kosten des Risikomanagementes

Nun Sie werden in drei aufeinander folgenden Jahren für 2-3 Tage, in größeren Betrieben vielleicht bis zu 10 Tage einen Fachmann benötigen, der Sie entsprechend einführt. Hier werden die Basics erklärt und die Bereiche abgesteckt, in denen man sinnvollerweise mit der Risikoanalyse beginnt. Sie bekommen einen Arbeitsplan für jeweils 1 Jahr, den Ihre Fachabteilungen abzuarbeiten haben.

Insofern der Betrieb im Bereich von Baden Württemberg liegt, kann hier vom Land ein Zuschuss von 45% beantragt werden. Die Bewilligung hängt von einigen Forderungen ab, die an die beauftragende Firma gestellt werden und von der Verfügbarkeit des Geldes.

Also wenn Sie nach den Kosten fragen, dann dürfen Sie nicht nur die Kosten für mich sehen – die sich mit der entsprechenden Förderung durchaus im sehr moderaten Rahmen bewegen. Sie müssen auch die Kosten Ihrer Mitarbeiter einrechnen.

Also: Legen Sie einfach einen Risikomanagementarbeitskreis fest, dann kennen Sie die Personenzahl und die individuellen Personalkosten. Mit einer monatlichen Besprechung des Arbeitskreises von 1-2 Stunden haben Sie dann die Grundkosten. Und hier legen Sie im Grunde fest, welche Maßnahmen zu treffen sind um diese oder jene Risiken abzusichern. Damit entstehen für Einzelmaßnahmen eben Einzelkosten und diese hängen im Einzelfall eben von Ihren Entscheidungen ab.

Vorraussetzungen für ein gut durchdachtes Risikomanagement

Gutes Risikomanagement ist ein Umgang mit den schriftlich dokumentierten Erfahrungen aus vergangenen Katastrophen. Mit anderen Worten: Sie brauchen zunächst einmal ein gutes Dokumentenmanagementsystem und sie müssen einen “Katastrophenkatalog” aufbauen. Dabei enthält der Katastrophenkatalog eine Auflistung von Fremdkatastrophen – also Erfahrungen, die andere machten – und eigenen Katastrophen – Lehrgeld, dass man selbst zahlen musste.

Und genauso wie Sie ggf. jährlich im Betrieb die Prüfungen von Feuerlöschern und Verbandskästen veranlassen, genauso müssen Sie sich regelmäßig mit dem Risikomanagement befassen und den Erfahrungskatalog durchgehen und an geeigneten Stellen erweitern und Ergänzen.

Ein große Menge fremden Lehrgeldes – also ein Katastrophenkatalog, der von anderen bezahlt wurde – ist das Grundschutzhandbuch des BSI.

Dieser Katalog ist eine sukzessive über die Jahre aufgebauten Datenbank von Gefahren, die auf eine IT-Anlage einwirken. Das ist Schadsoftware einerseits, es sind aber auch natürliche Einwirkungen, Feuer, Brand und Erdbeben. Das BSI benennt öffentlich die Gefahren und es nennt auch öffentlich die Abwehr.

Es gibt andere Quellen für andere Arten von Katastrophen und im Zweifel sind Versicherungsgesellschaften immer in der Lage auf weitere Fachkataloge zu verweisen.

Fazit: Korrektes oder auch vollständiges Risikomanagement ist ein individueller Katastrophenkatalog, der aktuell gehalten wird und bei dem für jede Art von Katastrophe eine individuelle Entscheidung getroffen wird über Art und Umfang von vorbeugenden Maßnahmen.

Die Entscheidung, dass man keine Maßnahme trifft ist dabei möglich und dann indirekt eine Frage an die Versicherungsgesellschaft, ob und in welchem Umfang dieses Risiko dann abgedeckt wird.

Braucht man ein genormtes Vorgehen im Risikomanagement?

Derzeit “entstehen” die Konzepte zum genormten Risikomanagement. Sie können also auch ein Risikomanagement betreiben, ohne sich an Normen und Vorgaben zu halten. Mittelfristig wird ein genormtes Vorgehen in diesem Bereich eine ähnliche Stellung haben wie eine gesetzgemäße Buchführung. Sie können Ihre Bücher jederzeit anders führen (also Einnahmeüberschussrechnung statt doppelter Buchführung), sie haben dann nur immer wieder Probleme mit der Anerkennung der Ergebnisse beim Finanzamt oder ähnliches.

Beim Risikomanagement im Bereich der Forderungsausfälle geht es um die Bewertung der Zahlungsmoral der Kunden. Hier genügt für Basel II nicht dass Sie es machen. Sie müssen sich an die Normen halten, die Ihre Hausbank anerkennt.

Selbst das IT-Handbuch ist inzwischen ein Bestandteil der ISO-Norm geworden (BSI-Erklärung hierzu) und so kann man nur ein “genormtes Vorgehen” vorschlagen und hier sind wir bei der ISO 27.001. Die offiziellen Unterlagen finden Sie hier.

Diese Norm schreibt zunächst einmal eine grundsätzliche Infrastruktur vor. Hierzu gehören

  1. eine schriftlich formulierte positive Grundaussage zum Risikomanagement der Firma. Sinnvollerweise wird daraus eine Art Leitfaden gemacht in denen den Mitarbeiter auch die Foci vorgegeben werden, auf die besonders zu achten ist.
  2. Eine entsprechende Infrastruktur (Dokumentenmanagement)
  3. Ggf. eine Vorentscheidung auf welche Normen man sich beziehen soll.

Mit einem Blick nach Wikipedia finden wir dann die Auflistung von Subnormen:

  • ISO/IEC 27.011: IS Management Guidelines for Telecommunications
  • ISO/IEC 27.012: Guidelines for Finance
  • ISO/IEC 27.013: Guidelines for Manufacturing
  • ISO/IEC 27.015: Accreditation Guidelines
  • ISO/IEC 27.016: Auditing and Reviews

Mit anderen Worten: Neben den allgemeinen Grundlagen, die in ISO 27.000 und ISO 27.001 gelegt wurden, gibt es eine Reihe von fachspezifischen Subnormen und auch hier ist es die Aufgabe des Managements sich für oder gegen eine Umsetzung zu unterscheiden. Die Normen sind zwar nicht gerade “billig” aber manche von ihnen – es gibt Katastrophen, die Todesfälle zur Folge haben – wurden mit Blut bezahlt.

Risikomanagement – Make or buy?

Meine Antwort hier ist: 95% make und 5% buy. Der Grund ist ganz einfach. Sie müssen für sich selbst die Pläne entwickeln und umsetzen, wie und auf welche Art sie auf Katastrophen aller Art reagieren. Damit steht und fällt ein Erfolg im Risikomanagement mit Ihrem Einsatz.

Kaufen würde ich maximal eine Beratungsleistung in Form Einsätzen bis zu 1 Monat oder weniger. Dabei kann es sich einmal handeln um die Beratung zur Einführung des Risikomanagementes selbst – also der Aufbau der Infratstruktur – wie auch um die fachliche Beratung.

Und hier sind wir bei meinem Thema. Es ist logisch, dass jemand mit dem Wissen um formales ISO 27.0001-Dokumentenhandling nicht das Risiko “Erdbeben in einer Inselregion” magen kann. Hier ist ein Team von Spezialisten nötig mit entsprechendem Fach-Know-How. In Haiti ist das Militär aktiviert worden, weil hier neben dem Know-How auch das technische Gerät zur Verfügung stand.

Wenn ich also Risikomanagement anbiete, dann in meinem Fachbereich. Und auch hierzu eine einfache Geschichte: Ein Hersteller von bestimten “gewalzten Kunstoffteilen” – die Kunstoffe werden heiß und mit hohem Druck geformt, ähnlich zur Spritzgusstechnik aber eben mit einer Walze – hatte das Problem, dass der Temperaturfühler an einer bewegten Stelle saß und die Zuleitung mit der Zeit brüchig wurde. Das Ergebnis war ein häufiger Ausfall des Temperatursensors. Da dieser nicht bemerkt wurde, lief die Temperatur aus dem Ruder und die hergestellten Teile wurden spröde. In der Regel war damit ein Produktionsausfall von einer Stunde verbunden, wenn der Elektriker verfügbar war und sofort mit der Reparatur anfangen konnte. Ein Teil der bei ungünstigen Temperaturen produzieren Teile war darüber hinaus unbrauchbar. Ein einfache Lösung war nun:

  1. Zwei Sensoren
  2. Beide Sensoren mit Vierdrahttechnik angeschlossen

Die Vierdrahttechnik ermöglicht die Überprüfung des Zustandes des Fühlers. Ein Defekt ist sofort erkennbar. Fällt also ein Fühler aus, wird in jedem Fall so erforderlich auf den anderen ausgewichen. Die Produktion ist also fortsetzbar. Gleichzeitig kann nun ein Rufsignal gesendet werden und der Elektriker kennt dann zwar seinen Reparaturauftrag, doch dieser ist nun nicht mehr “dringend”. Er kann ihn einplanen, ggf. auch am nächsten Tag. Erst mit dem Bruch des zweiten Fühlers muss die Maschine abgeschaltet werden. Allerdings wird hier nicht 1/2 Stunde lang etwas produziert, was größtenteils weggeworfen werden muss, man weiß: Die Maschine fällt aus und stoppt daher die Produktion.

Eine Zertifizierung für das ISO 27.001 Risikomanagement ist für einen Softwareentwickler eine fachliche Herausforderung. In dem Bereich der Messdatenerfassung und Verarbeitung bedeutet es: Eine Software, die Messdaten unter Berücksichtigung eines Risikomanagements verarbeitet, die kann auch den Ausfall von Sensoren – und damit Messwerten – erkennen und je nach Rahmenbedingung auch den Ausfall eines Signales ganz oder Teilweise überbrücken.