Dipl. oec. Frank Moritz
Interim Risk Manager, Task Force Lead
Projektleiter, IT Service Manager, Auditor, Coach
Welchen Mehrwert hat Ihr Unternehmen von einem guten Risk Management?
Nutzen
Einen ganz offensichtlichen Nutzen hat ein Risk Management in der Erfüllung von gesetzlichen Anforderungen. Welche das in ihrem Fall sind, ist nicht immer sofort ersichtlich und bedarf einer kleinen Prüfung.
s. auch: Gesetze
Darüber hinaus kann Ihnen ein gutes Risk Management-System aber auch sehr viel mehr bieten. Hier einmal ein Ausriss aus guten Zusatznutzen, die wir bei meinen Kunden erreicht haben:
Beispiele 1-3
1. Durch eine Kalkulation des möglichen Schadens aus DSGVO-Vergehen, angereichert mit echten, aktuellen Schadenfällen von betroffenen Unternehmen, hat ein Kunden die Notwendigkeit erkannt seine internen Richtlinien zu schärfen, um potenzielle Strafzahlungen zu vermeiden.
2. Durch die Kalkulation des Fluktuationsrisikos auf Basis von Interviews mit Führungskräften wurde der Geschäftsführung eines Kunden bewusst, welche Schäden jedes Jahr durch die momentanen Fluktuation entstehen. Somit ergab sich im Umkehrschluss eine gute Grundlage für die Budgetdiskussion von Gegenmaßnahmen zur Senkung der Fluktuation.
3. Rückstellungen werden oft gebildet um unklare Situationen in der Zukunft abfedern zu können. Durch die Analyse mit Hilfe von Tools aus dem Risk Management-Prozess, z.B. der Risiko-Mühle, haben gleich mehrere Kunden den Ansatz gehabt Rückstellungen vermindern zu können bzw. ganz aufzulösen. In einem Beispiel haben wir durch die genaue Analyse eines einzelnen Risikos eine Rückstellung komplett auflösen können, die die 4-fache Höhe von den gesamten Risk-Prozess-Einführungskosten ausgemacht hat.
Beispiele 4-6
4. Die IT-Abteilung eines Kunden hatte seit Jahren Probleme eine Fachabteilung davon zu überzeugen die alten PC's, die an den Produktionsmaschinen standen, auszutauschen. Die IT-Security bekam bei Besprechungen zu diesem "IT-Risiko" immer schon "graue Haare". Durch die Risiko-Analyse und durch Diskussionen von möglichen Gegenmaßnahmen, mit Ansätzen aus dem Risk Management, haben wir die Fachabteilung von der Gefahr dieses Risikos überzeugen können, aber auch der IT eine andere Lösung eröffnet, die für sehr wenig Geld zu realisieren war.
5. Ein Geschäftsführer war überrascht, als es ihm mit Hilfe der Risiko-Analyse-Methodik plötzlich möglich war, ihn bei der Entscheidung Geld in eine neue Feuerlöschanlage oder lieber in IT-Security zu unterstützen.
6. Durch richtige Formulierung von Risiken, wird oft die Sicht auf neue, mögliche Gegenmaßnahmen ermöglicht. Ein Beispiel? Das Risiko "Durch Fehler der Software xy haben wir ein IT-Security-Problem", ist in Wahrheit gar kein Risiko, sondern eine noch nicht umgesetzte Gegenmaßnahme. Was kann man dagegen tun? Ganz klar, diese Software kaufen. Das richtig formulierte Risiko kann z.B. sein: "Ausfall der IT durch einen böswilligen Eindringling". Und plötzlich ergeben sich, alleine durch die neue Formulierung weitere Gegenmaßnahmen, evtl. prozessuale Lösungen, andere Software- oder Hardware-Lösungen, Mitarbeiterverhaltensänderungen u.s.w.
