Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
06.02.2008 00:00
Risikomanagement
Erst die Subprime-Krise, dann der riesige Spekulationsverlust bei der französischen Großbank Société Générale – auch das Risikomanagement selbst ist nicht ohne Risiken, aber es ist sinnvoll und notwendig.
Einige Details der Bankenkrise lassen am Risikomanagement zweifeln
Seit einigen Monaten werden wir mit Nachrichten aus der Finanzwelt überschwemmt, die uns vor Augen führen, dass das Risikomanagement großer Banken Lücken hat, oder dass gar Instrumente wie die Risikoverlagerung die Krise der Ramschkredite (subprimes) noch verstärkt haben. Denn die Verlagerung eines Risikos des Kreditausfalls auf eine
Versicherung ist hier so konsequent betrieben worden, dass der Verkauf riskanter Verträge zu einem Geschäftsmodell wurde.
Dies ging nur, weil der Kauf von riskanten Verträgen ebenso zu einem eigenständigen Modell wurde, bei dem offenbar manche Risikokäufer (und damit de facto Versicherer) vor lauter Kalkulation das eigentliche Risiko gar nicht mehr gesehen haben. Dabei waren die arithmetischen Formeln bestimmt richtig. Bis auf die Möglichkeit, dass ein Kreditnehmer den Kredit nicht vertragsgemäß abbezahlt. Um dieses Risiko richtig einschätzen zu können ist es nämlich von Vorteil, nicht nur den Vertrag und die Statistik, sondern auch den Vertragspartner zu kennen. Und genau dieser Aspekt ist vor lauter Verlagerung und Kalkulation zu kurz gekommen.
Um den 20. Januar kam dann noch der besonders beeindruckende Fall der Fehlinvestitionen der französischen Bank Société Générale. Die wurden möglich, weil ein geistig abgedrehter Investmentbanker das Risikomanagement der Bank austricksen konnte.
Da ist die Frage eines kleinen Unternehmers erlaubt: Ist Risikomanagement nicht selbst das Risiko? Und soll ich dafür gar noch Geld ausgeben?
Nun, ich meine schon, dass Risikomanagement richtig und wichtig ist. Es macht sicherer im Geschäft, es erhöht die Planungssicherheit im Tagesgeschäft, in der Produktion, in Projekten. Und Risiken können trotzdem eintreten, das war schon immer so. Wer nichts wagt, der nichts gewinnt.
Ich will auch nicht den Banken zum Schaden auch noch den Spott hinzufügen. Vielleicht hat sich mancher den Spott verdient, vor Allem wenn Dritte für den angerichteten Schaden aufkommen müssen. Aber das kann ich nicht fachlich beurteilen und darum geht es mir hier nicht.
Risikomanagement ja - und bitte richtig
Ich bin der Meinung, dass aus dem Schaden der Anderen ein paar Lehren gezogen werden können. Risikomanagement sollte gemacht werden, und zwar richtig.
Ursprünglich sind Risiken schon immer Teil jeder geschäftlichen Unternehmung gewesen, und ein umsichtiger Kaufmann hat sie schon immer wahrgenommen und hat seine Vorkehrungen für den Ernstfall getroffen. Als die Organisation von Unternehmen - spätestens seit der Verbreitung des Qualitätsmanagements mit ISO 9000 - immer genauer beschrieben wurde, wurde auch der Umgang mit Risiken als besonderer Prozess benannt.
Und das möchte ich hier noch einmal deutlich herausheben: Risikomanagement muss als unternehmerische Tätigkeit verstanden werden. Nur wenn Risikomanagement als Prozess eingeführt und gelebt wird, bringt es die Schutzwirkung, die von ihm erwartet wird. Dieses Verständnis verlangt allerdings, dass der Unternehmer oder der Verantwortliche eines Geschäftsbereichs sein Geschäft und dessen Risiken selbst anschaut.
Dazu werden als Hilfsmittel gerne branchenbezogene Gefährdungskataloge oder Schadensregister angeboten. In einem vereinfachten Verfahren werden die Kataloge durchgearbeitet, die entsprechenden Maßnahmen umgesetzt, manchmal auch auditiert und zertifiziert. Ist das eigenverantwortliches und selbstbewusstes (Risiko-)Management?
Aus eigenen Projekten habe ich gelernt, dass das Durcharbeiten von Risikokatalogen, wie z.B. die Gefährdungskataloge der Informationstechnik in den IT-Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI), nicht ausreicht. Manch sinnvolle Maßnahme wird hier empfohlen, und die Umsetzung der zutreffenden Maßnahmen bewirkt auch mehr Sicherheit. Deshalb sind die Kataloge hilfreich und sinnvoll. Aber wer nur nach Katalogen arbeitet reduziert die Gefahrenabwehr auf Checklisten.
Viel wichtiger ist es, die Risiken des eigenen Geschäfts zu kennen, zu benennen und zu beschreiben. Dazu müssen die Risiken zuerst einmal von den Verantwortlichen selbst methodisch mit ganz offenem Blick erhoben werden. Und wenn alle relevanten Risiken erkannt und beschrieben sind, müssen für die wichtigsten Gefährdungen Maßnahmen zur Prävention und zur Schadensbegrenzung geplant werden. Und das Ergebnis kann zur Sicherung der Vollständigkeit mit den standardisierten Gefährdungskatalogen der jeweiligen Branche abgeglichen werden.
Auf diese Art werden die Ziele des Risikomanagements erreicht:
- Verbesserung der Planungssicherheit für das Unternehmen
- Wirtschaftlichkeit der Prävention
- Schadensbegrenzung bei Eintritt des Risikos
- Sicheres Verhalten bei Eintritt einer Krise - für sich selbst und für die Kommunikation mit Partnern und Kunden
- In der Krise neben dem Krisenmanagement das eigentliche Ziel im Auge behalten
Die Kataloge haben ihren eigenen Wert, allein schon um eine Zertifizierung zu erlangen.
Aber nur ein Risikomanagement mit offenen Augen und wiederkehrender Anschauung des eigenen Geschäfts oder Verantwortungsbereichs hält Unternehmen und Manager jung und agil. Es ist Teil des lebenslangen Lernens und regt zu einem kreativen Blick auf das eigene unternehmerische Handeln an. Ein erfolgreicher Unternehmer, Verkäufer, Produktionsleiter, Projektmanager, Kreditgeber (bitte ergänzen Sie die Liste in Ihrem Sinne) kennt seine Produkte, seine Kunden, seine Lieferanten - und seine Risiken.
Seien Sie nicht überrascht, wenn bei der nächsten Kreditverhandlung die Bank nach Ihrem Risikomanagement fragt. Neudeutsch heißt das: Lessons learned.
Informationen zum Autor
Der Autor Thomas Teichmann ist Berater für IT-Sicherheit und Organisation und Geschäftsführer der Schmitz & Teichmann Betriebsberatung GmbH - www.schmitzteichmann.de - und Mitglied im Expertenkreis Business Continuity Management der Nationalen Initiative für Informations- und Internetsicherheit (NIFIS e.V.)
| Erst die Subprime-Krise, dann der riesige Spekulationsverlust bei der französischen Großbank Société Générale – auch das Risikomanagement selbst ist nicht ohne Risiken, aber es ist sinnvoll und notwendig. Einige Details der Bankenkrise lassen am Risikomanagement zweifeln Seit einigen Monaten werden wir mit Nachrichten aus der Finanzwelt überschwemmt, die uns vor Augen führen, dass das Risikomanagement großer Banken Lücken hat, oder dass gar Instrumente wie die Risikoverlagerung die Krise der Ramschkredite (subprimes) noch verstärkt haben. Denn die Verlagerung eines Risikos des Kreditausfalls auf eine |
Dies ging nur, weil der Kauf von riskanten Verträgen ebenso zu einem eigenständigen Modell wurde, bei dem offenbar manche Risikokäufer (und damit de facto Versicherer) vor lauter Kalkulation das eigentliche Risiko gar nicht mehr gesehen haben. Dabei waren die arithmetischen Formeln bestimmt richtig. Bis auf die Möglichkeit, dass ein Kreditnehmer den Kredit nicht vertragsgemäß abbezahlt. Um dieses Risiko richtig einschätzen zu können ist es nämlich von Vorteil, nicht nur den Vertrag und die Statistik, sondern auch den Vertragspartner zu kennen. Und genau dieser Aspekt ist vor lauter Verlagerung und Kalkulation zu kurz gekommen.
Um den 20. Januar kam dann noch der besonders beeindruckende Fall der Fehlinvestitionen der französischen Bank Société Générale. Die wurden möglich, weil ein geistig abgedrehter Investmentbanker das Risikomanagement der Bank austricksen konnte.
Da ist die Frage eines kleinen Unternehmers erlaubt: Ist Risikomanagement nicht selbst das Risiko? Und soll ich dafür gar noch Geld ausgeben?
Nun, ich meine schon, dass Risikomanagement richtig und wichtig ist. Es macht sicherer im Geschäft, es erhöht die Planungssicherheit im Tagesgeschäft, in der Produktion, in Projekten. Und Risiken können trotzdem eintreten, das war schon immer so. Wer nichts wagt, der nichts gewinnt.
Ich will auch nicht den Banken zum Schaden auch noch den Spott hinzufügen. Vielleicht hat sich mancher den Spott verdient, vor Allem wenn Dritte für den angerichteten Schaden aufkommen müssen. Aber das kann ich nicht fachlich beurteilen und darum geht es mir hier nicht.
Risikomanagement ja - und bitte richtig
Ich bin der Meinung, dass aus dem Schaden der Anderen ein paar Lehren gezogen werden können. Risikomanagement sollte gemacht werden, und zwar richtig.
Ursprünglich sind Risiken schon immer Teil jeder geschäftlichen Unternehmung gewesen, und ein umsichtiger Kaufmann hat sie schon immer wahrgenommen und hat seine Vorkehrungen für den Ernstfall getroffen. Als die Organisation von Unternehmen - spätestens seit der Verbreitung des Qualitätsmanagements mit ISO 9000 - immer genauer beschrieben wurde, wurde auch der Umgang mit Risiken als besonderer Prozess benannt.
Und das möchte ich hier noch einmal deutlich herausheben: Risikomanagement muss als unternehmerische Tätigkeit verstanden werden. Nur wenn Risikomanagement als Prozess eingeführt und gelebt wird, bringt es die Schutzwirkung, die von ihm erwartet wird. Dieses Verständnis verlangt allerdings, dass der Unternehmer oder der Verantwortliche eines Geschäftsbereichs sein Geschäft und dessen Risiken selbst anschaut.
Dazu werden als Hilfsmittel gerne branchenbezogene Gefährdungskataloge oder Schadensregister angeboten. In einem vereinfachten Verfahren werden die Kataloge durchgearbeitet, die entsprechenden Maßnahmen umgesetzt, manchmal auch auditiert und zertifiziert. Ist das eigenverantwortliches und selbstbewusstes (Risiko-)Management?
Aus eigenen Projekten habe ich gelernt, dass das Durcharbeiten von Risikokatalogen, wie z.B. die Gefährdungskataloge der Informationstechnik in den IT-Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI), nicht ausreicht. Manch sinnvolle Maßnahme wird hier empfohlen, und die Umsetzung der zutreffenden Maßnahmen bewirkt auch mehr Sicherheit. Deshalb sind die Kataloge hilfreich und sinnvoll. Aber wer nur nach Katalogen arbeitet reduziert die Gefahrenabwehr auf Checklisten.
Viel wichtiger ist es, die Risiken des eigenen Geschäfts zu kennen, zu benennen und zu beschreiben. Dazu müssen die Risiken zuerst einmal von den Verantwortlichen selbst methodisch mit ganz offenem Blick erhoben werden. Und wenn alle relevanten Risiken erkannt und beschrieben sind, müssen für die wichtigsten Gefährdungen Maßnahmen zur Prävention und zur Schadensbegrenzung geplant werden. Und das Ergebnis kann zur Sicherung der Vollständigkeit mit den standardisierten Gefährdungskatalogen der jeweiligen Branche abgeglichen werden.
Auf diese Art werden die Ziele des Risikomanagements erreicht:
- Verbesserung der Planungssicherheit für das Unternehmen
- Wirtschaftlichkeit der Prävention
- Schadensbegrenzung bei Eintritt des Risikos
- Sicheres Verhalten bei Eintritt einer Krise - für sich selbst und für die Kommunikation mit Partnern und Kunden
- In der Krise neben dem Krisenmanagement das eigentliche Ziel im Auge behalten
Die Kataloge haben ihren eigenen Wert, allein schon um eine Zertifizierung zu erlangen.
Aber nur ein Risikomanagement mit offenen Augen und wiederkehrender Anschauung des eigenen Geschäfts oder Verantwortungsbereichs hält Unternehmen und Manager jung und agil. Es ist Teil des lebenslangen Lernens und regt zu einem kreativen Blick auf das eigene unternehmerische Handeln an. Ein erfolgreicher Unternehmer, Verkäufer, Produktionsleiter, Projektmanager, Kreditgeber (bitte ergänzen Sie die Liste in Ihrem Sinne) kennt seine Produkte, seine Kunden, seine Lieferanten - und seine Risiken.
Seien Sie nicht überrascht, wenn bei der nächsten Kreditverhandlung die Bank nach Ihrem Risikomanagement fragt. Neudeutsch heißt das: Lessons learned.
Informationen zum Autor
Der Autor Thomas Teichmann ist Berater für IT-Sicherheit und Organisation und Geschäftsführer der Schmitz & Teichmann Betriebsberatung GmbH - www.schmitzteichmann.de - und Mitglied im Expertenkreis Business Continuity Management der Nationalen Initiative für Informations- und Internetsicherheit (NIFIS e.V.)
NIFIS WarnhinweiseNews
- NIFIS gibt Positionspapier zur Erarbeitung einer prototypischen eIDAS 2.0- konformen Infrastruktur...
- Sichere Verschlüsselung (Ende-zu-Ende) in Gefahr, Office 365 sicher einsetzen
- NIFIS wendet sich in offenem Brief an Dorothee Bär gegen das Ende der privaten Datenverschlüsselung...
- Virtuelle Verhandlungen vor Gericht
- Cyber Security Fairevent in Dortmund 4./5.3.2020
NIFIS jetzt auch bei Twitter
Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
Dienst des Monats
