Risikomanagement in der Organisation
Möchte man Risikomanagement kurz und prägnant zusammenfassen gilt: Risko = Eintrittswahrscheinlichkeit x Schaden. Im Grunde sagt das alles und nichts, denn auch wenn es faktisch richtig ist, hilft dieses Wissen im Alltag nur bedingt.
Risikomanagement gibt es in jedem Unternehmen, egal welcher Größe, denn wir alle tun es ständig, meist unterbewusst. Schleppe ich den Regenschirm mit oder lasse ich ihn zu Hause? Traue ich der Wetterapp und fahre heute mit dem Fahrrad oder nehme ich sicherheitshalber doch den Bus? Wir wägen Eventualitäten ab und wenden Wissen aus der Vergangenheit in der Zukunft an. Ich fasse das gerne mit “gesundem Menschenverstand” zusammen.
Wenden wir diesen gesunden Menschenverstand für das Unternehmen an, kann es sinnvoll sein, die Aufgabe des Risikomanagements – wie andere Unternehmens-Aufgaben auch – als Stabstelle im Unternehmen zu verankern. Informations-Sicherheits-Beauftragter (ISB), Datenschutzbeauftragter (DSB), Risikomanager (RM) gehören alle zum gleichen Aufgaben-Profil: Aufgaben der Geschäftsführung werden an Verantwortliche delegiert, weil die Themen einen hohen Stellenwert für das Unternehmen haben. Unter anderem sind Verstöße gegen Regeln und Recht mit Bußgeldern behaftet und könnten das Unternehmen bzw. mindestens dessen Bilanz schädigen. Klar ist auch, dass die hier delegierten Aufgaben beim Wachstum des Unternehmens potenziell größer werden, diese Aufgaben ggfs. mehr als eine Vollzeitstelle auslasten und die Vorstellung, die Geschäftsführung könne das mal eben mit erledigen, eher eine Utopie darstellen.
Die Verankerung des Risikomanagements als Stabstelle ist ein wichtiger Schritt im Unternehmen, jedoch nicht der einzig mögliche. Informations-Sicherheits-Beauftragte verantworten die Sicherheit aller Informationen im Unternehmen, daher der Name. In der Regel tut man das in einem Informations-Sicherheits-Management-System. Für die strukturierte Abarbeitung des Themas wird ein Management-System erstellt, in dem Prozesse und wiederkehrende Aufgaben die Grundlagen zum Messen und Steuern der Informations-Sicherheit sind. Risikomanagement ist Teil der Informations-Sicherheit, für sich allein jedoch schon ein großes und komplexes Thema mit ggfs. eigenem Management-System. Und so entstehen bereits im Aufbau der Ablauforganisation Verknüpfungen mit anderen Bereichen und Verantwortlichen.
das integrierte Management-System
Wie die meisten Themen im Leben ist auch das Risikomanagement kein Selbstzweck. Habe ich ein funktionierendes Risikomanagement, hilft das vor allem anderen bei der Umsetzung Ihrer Arbeit. Mein Risikomanagement ist nur so gut, wie es alle Facetten und Eventualitäten des Unternehmens abbildet. ISB, DSB, RM sind also darauf angewiesen, nicht nur miteinander und als Team gut zu funktionieren, sondern auch im Unternehmen als Querstrebe sinnvoll in alle Prozesse involviert zu sein. Auch wenn der Scope auf den ersten Blick “das Unternehmen” ist, so fokussiert man sich in der Regel erstmal auf die Kronjuwelen des Unternehmens, also die Geschäftsprozesse mit den größten Umsätzen sowie zeitkritische Geschäftsprozesse. Es entsteht schnell eine Matrix Organisation, in der der Risikomanager mit vielen Abteilungen und den Stabstellen-Kollegen einen Querschnitt und regelmäßigen Abstimmungsbedarf hat. Die Erkenntnis bis hier her ist es, dass nicht nur ein gemeinsames Miteinander, sondern auch eine gemeinsame Datenbasis zu schaffen ist. Arbeitet jeder in seinem eigenen Management-Silo, erarbeitet er ggfs. einen neuen, wertvollen Kenntnisstand für alle, dokumentiert und pflegt diesen jedoch nur in seinem eigenen Bereich. Eine gemeinsame Datenlage muss her, um Risiko tagesaktuell und fortlaufend sinnvoll bewerten zu können. Wir sind für alle Stabsstellenbereiche (DSB, ISB, RM) bestrebt, immer die bestmöglichen Informationen zusammenzutragen und unsere Entscheidungen belastbar auf dieser Grundlage zu treffen.
Das integrierte Managementsystem deckt alle Bereiche der Stabstellen von Datenschutz über Informationssicherheit inkl. Risikomanagement ab. Nun haben mindestens drei Verantwortliche ein hohes Interesse, ein einziges Tool und dessen Daten voranzutreiben. Die Umsetzung dieser Aufgabe im Unternehmen ist herausfordernd, denn nicht immer lassen sich diese Daten ohne weiteres in ein System überführen. Doch vor allem muss allen klar sein, dass es sich auch in einem utopisch perfekten Zustand immer nur um ein Tool zur Bewältigung der Aufgabe handelt. Egal wie gut mein integriertes Managementsystem ist; ss wird nie so gut sein, dass ich die Wahrheit auf alle Eventualitäten als Entscheidungsgrundlage habe. Wichtig ist deshalb ein System und eine Ablauforganisation zu schaffen, die sich durch Fehlerkultur und einem Reifegradprozess kontinuierlicher Verbesserung unterwirft.
Kurze Zusammenfassung bis hierhin: Die wichtigsten Eckpunkte für die funktionierende Bewältigung der Stabsthemen ist es, eine gemeinsame Datengrundlage zu schaffen, Verantwortungen klar zu definieren und die Ablauforganisation in die Lage zu versetzen, bei allen (relevanten) Geschäfts- und zeitkritischen Prozessen involviert zu sein. “Communication is the key” könnte man sagen. Denn bis hierhin haben wir uns noch keine Gedanken darüber gemacht, wo Risiken herkommen und wie wir diese bewältigen. Der erste Schritt ist es, eine Umgebung zu schaffen, dass das Risikomanagement langfristig und sicher funktioniert.
Weiterlesen: Teil 2 Gefahren und Bedrohungen wird am 13.09. veröffentlicht.