Dipl. oec. Frank Moritz
Interim Risk Manager, Task Force Lead
Projektleiter, IT Service Manager, Auditor, Coach
Welchen Mehrwert hat Ihr Unternehmen von einem guten Risk Management?
Nutzen
Einen ganz offensichtlichen Nutzen hat ein Risk Management in der Erfüllung von gesetzlichen Anforderungen. Welche das in ihrem Fall sind, ist nicht immer sofort ersichtlich und bedarf einer kleinen Prüfung.
s. auch: Gesetze
Darüber hinaus kann Ihnen ein gutes Risk Management-System aber auch sehr viel mehr bieten. Hier einmal ein Ausriss aus guten Zusatznutzen, die wir bei meinen Kunden erreicht haben:
Beispiele 1-3
1. Durch eine Kalkulation des möglichen Schadens aus DSGVO-Vergehen, angereichert mit echten, aktuellen Schadenfällen von betroffenen Unternehmen, hat ein Kunde die Notwendigkeit erkannt seine internen Richtlinien zu schärfen, um potenzielle Strafzahlungen zu vermeiden.
2. Durch die Kalkulation des Fluktuationsrisikos auf Basis von Interviews mit Führungskräften wurde der Geschäftsführung eines Kunden transparenter, welche Schäden jedes Jahr durch die momentane Fluktuation entstehen. Somit ergab sich im Umkehrschluss eine gute Grundlage für die Budgetdiskussion von Gegenmaßnahmen zur Senkung der Fluktuation.
3. Rückstellungen werden oft gebildet um unklare Situationen in der Zukunft abfedern zu können. Durch die Analyse mit Hilfe von Tools aus dem Risk Management-Prozess, hier der Risiko-Mühle, haben mehrere Kunden einen neuen Ansatz verfolgen können, Rückstellungen vermindern bzw. ganz auflösen zu können. In einem Beispiel haben wir durch die Analyse eines einzelnen Risikos eine Rückstellung komplett auflösen können, die die 4-fache Höhe der gesamten Risk-Prozess-Einführungskosten ausgemacht hat.
Beispiele 4-6
4. Die IT-Abteilung eines Kunden hatte seit Jahren Probleme eine Fachabteilung davon zu überzeugen die alten PC's, die an den Produktionsmaschinen standen, auszutauschen. Die IT-Security bekam bei Besprechungen zu diesem "IT-Risiko" immer schon "graue Haare". Durch die Risiko-Analyse und durch Diskussionen von möglichen Gegenmaßnahmen, mit Ansätzen aus dem Risk Management, haben wir die Fachabteilung von der Gefahr dieses Risikos überzeugen können und zudem der IT eine andere Lösung eröffnet, die für sehr wenig Geld zu realisieren war.
5. Ein Geschäftsführer war überrascht, als es ihm mit Hilfe der Risiko-Analyse-Methodik plötzlich möglich war, eine Entscheidung zu treffen, ob er sein vorhandenes Budget lieber in eine neue Feuerlöschanlage oder in die IT-Security zu investieren.
6. Durch richtige Formulierung von Risiken, wird oft die Sicht auf neue, mögliche Gegenmaßnahmen ermöglicht. Ein Beispiel? Das Risiko "Durch Fehler der Software xy haben wir ein IT-Security-Problem", ist in Wahrheit gar kein Risiko, sondern eine noch nicht umgesetzte Gegenmaßnahme. Was kann man dagegen tun? Ganz klar, diese Software kaufen. Das richtig formulierte Risiko kann z.B. sein: "Ausfall der IT durch einen böswilligen Eindringling". Und plötzlich ergeben sich, alleine durch die neue Formulierung weitere Gegenmaßnahmen, evtl. prozessuale Lösungen, andere Software- oder Hardware-Lösungen, Mitarbeiterverhaltensänderungen u.s.w.
