Neue Chancen durch Risikomanagement
Neue Chancen durch Risikomanagement. Ein unternehmensweites System zur rechtzeitigen Erkennung von Risiken eröffnet neue Chancen. Mit Hilfe einer Scoring-Tabelle identifiziert beispielsweise das IZB Informatik-Zentrum gleichzeitig Risiken und Bereiche, in denen sich Kosten einsparen lassen.
- Neue Chancen durch Risikomanagement
- Neue Chancen durch Risikomanagement (Fortsetzung)
Neue Chancen durch Risikomanagement
Das IZB Informatik-Zentrum bietet als Unternehmen der Sparkassen-Finanzgruppe seit 1994 IT-Dienstleistungen an. Am Hauptsitz in München und an den Standorten Nürnberg und Offenbach sorgen insgesamt rund 650 Mitarbeiter für den unterbrechungsfreien und sicheren Betrieb der drei Rechenzentren und kümmern sich um die Belange der Kunden, vor allem Sparkassen, Landesbanken und weitere Kreditinstitute, Behörden wie das Bayerische Landesamt für Statistik und das Bayerische Justizministerium sowie andere Unternehmen. Als IT-Dienstleister mit hochverfügbaren Rechenzentren ist das IZB Informatik-Zentrum dabei zahlreichen Risiken ausgesetzt, die den eigenen Geschäftsbetrieb und das Geschäft der Kunden bedrohen können. Grund genug, ein umfassendes Risikomanagement als Teil der Führungsverantwortung des Managements zu etablieren.
Nicht nur wirtschaftliche Vernunft, auch der Gesetzgeber verlangt den verantwortungsvollen Umgang mit Risiken. So zwingt beispielsweise eine Vorschrift im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) das Management dazu, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und zu betreiben. Das Gesetz betrifft dabei Aktiengesellschaften und viele GmbHs, insbesondere wenn dort ein Aufsichtsrat existiert.
Vor diesem Hintergrund ergaben sich für das IZB Informatik-Zentrums drei zentrale Ziele für das hauseigene Risikomanagementsystem: Es muss bestands- und entwicklungsgefährdende Gefahren so frühzeitig erkennen, dass die Unternehmensleitung noch geeignete Gegenmaßnahmen einleiten kann. Die bewusste Auseinandersetzung mit Risiken und die regelmäßigen Beobachtung der treibenden Faktoren soll einen kontinuierlichen Verbesserungsprozess unterstützen. Daneben sollen die Mitarbeiter hinsichtlich der Chancen und Risiken in den operativen Prozessen sensibilisiert werden.
Risikomanagement soll also nicht nur alle potenziellen Fährnisse vermeiden, sondern bedeutet einen kontrollierten Umgang mit ihnen. Nur wer alle Risikenfaktoren und deren Zusammenhänge kennt, kann unnötige Gefahren vermeiden und bewusst kalkulierbare Risiken eingehen. Dies wiederum kann die Erreichung der Unternehmensziele unterstützen und das Unternehmensergebnis insgesamt verbessern. Risikomanagement in diesem Sinne bedeutet daher auch Chancenmanagement.
Risiken-Einordnung und -quantifizierung
Um zunächst einen umfassenden Überblick über alle Risikofaktoren und deren Parameter zu erhalten, hat das IZB Informatik-Zentrum sie in eine hierarchische Struktur gegliedert. Auf der obersten Ebene stehen dabei die Risikobereiche »Stabilität« und »Kostendruck«. Sie sind direkt den zwei zentralen Unternehmenszielen des IZB Informatik-Zentrums zugeordnet: Erstens hohe Kundenzufriedenheit durch exzellente Qualität auf allen Systemen und Netzen, zweitens eine gute Kosten-/Nutzen-Relation für optimale Wirtschaftlichkeit, ohne die Qualität für die Kunden zu beeinträchtigen.
Jedem der beiden Risikobereiche sind nun mehrere Risikofelder untergeordnet. Sie beschreiben jeweils potentiell einen Schaden auslösende Ursachen, zum Beispiel Ereignisse und Entwicklungen innerhalb und außerhalb des Unternehmens. Zu den aktuell 18 Risikofeldern zählen beispielsweise die Verfügbarkeit von Systemen, ein Lieferantenrisiko, Datenverlust, Vertragsrisiken, mangelnde Produktivität oder Risiken durch Mitarbeiter.
Um die aktuelle Risikosituation einzelner Felder und damit den Zustand der Risikobereiche und des gesamten Unternehmens messbar zu machen, hat das IZB Informatik-Zentrum einen Bewertungsrahmen für Risiken entwickelt. Dieser richtet sich nach einer Scoring-Tabelle mit einem Wertebereich von -10 bis +10. So lässt sich beispielsweise das Risikofeld der Systemverfügbarkeit durch die Verfügbarkeits-Kennwerte des Hosts, des Backbones, des Primärnetzes, des WANs und der dezentralen Komponenten beschreiben. Die Messgrößen werden dann untereinander gewichtet. Daraus errechnet sich ein Ist-Score für ein einzelnes Risiko.
Um die aktuelle Risikosituation mit prognostizierten Risiken vergleichen zu können, wird zudem für jede Messzahl mit Hilfe eines Erwartungswerts ein so genannter Prognose-Score berechnet. Durch die laufende Erhebung von Ist-Werten und deren Vergleich mit den Prognose-Scores ist jederzeit der aktuelle Risikostatus eines Risikofeldes erkennbar. Aggregiert man die Werte, lässt sich zudem der Risikostatus des gesamten Unternehmens berechnen.
Qualitative Bewertung der Risikofelder
Daneben gilt es, auch eine qualitative Komponente mit einzubeziehen. Dafür hat das IZB Informatik-Zentrum zu jedem Risikofeld so genannte Risikotreiber als Frühwarnindikatoren definiert. Dies können unternehmensinterne oder auch externe Faktoren sein, die die Entstehung oder das Ausmaß der identifizierten Risiken maßgeblich beeinflussen. Die Wirkung der Risikotreiber kann dabei risikofördernd oder -mindernd sein.
Beispiele für Risikotreiber im Risikofeld »Systemverfügbarkeit« sind der Reifegrad von Sicherungsverfahren, die Komplexität der Systemarchitektur, der Kompatibilitätsgrad der Subsysteme oder auch das Ergebnis von Sicherheitsaudits. Mit Hilfe einer Expertenschätzung ermittelt der jeweilige Risikoverantwortliche für jeden Risikotreiber ebenfalls einen Score-Wert. Die Scores der Risikotreiber werden dann zusammen mit den Werten der Messgrößen für jedes Risikofeld aggregiert.
Beträgt beispielsweise der Score eines Risikofelds +9 oder mehr, so weist das auf eine übersicherte Risikolage hin. Hier lassen sich Kosten sparen, ohne Qualität oder Risikolage zu beeinträchtigen. Ein Score-Wert zwischen +6 und 0 zeigt eine optimale Risikolage an. Werte unter 0 bis -5 bedeuten eine kritische Risikolage und Scores darunter weisen auf eine nicht akzeptable Risikolage hin.
Werden bestimmte Score-Werte über- oder unterschritten, hat das IZB Informatik-Zentrum wiederum Maßnahmen und dafür Verantwortliche definiert, um den Ist-Wert dem Soll-Score wieder anzunähern. Dabei ist die Bewältigung der erkannten Risiken das zentrale Ziel des gesamten Risikomanagementsystems. Hierzu hat das IZB Informatik-Zentrum Bewältigungsstrategien für jedes Risikofeld bestimmt und in einer Risiko-Optimierungsmatrix Handlungsalternativen definiert.
Fazit
Risikomanagement ist für viele Unternehmen inzwischen Pflicht. Durch die Identifizierung über- und untersicherter Risikofelder lassen sich sowohl Kosten sparen als auch Existenz bedrohende Gefahren abwenden. Ist-Zahlen müssen laufend erhoben werden, um schnell reagieren zu können. Soll-Werte sollten regelmäßig an die aktuelle Situation angepasst werden. Risikomanagement ist also ein fortlaufender Prozess. Eine jährliche Risikoinventur wäre nicht ausreichend. Bernhard Breunig ist Geschäftsführer des IZB Informatik-Zentrum.
