Jedes Jahr wiederholt sich zu Jahresbeginn das gleiche Ritual: Risikoeinschätzungen für das anstehende neue Jahr werden erhoben und mit den Einschätzungen der vergangenen Jahren abgeglichen. Heraus kommt eine Hitliste der von der Mehrheit der Befragten zu erwartenden Risiken. Nicht sehr überraschend ist dieses Jahr die Pandemie auf der Hitliste ganz oben, nachdem dieses Risiko in den vergangenen Jahren offensichtlich stark unterschätzt wurde.

Diese “Risiko-Hitlisten” sind eine interessante und spannende Lektüre, doch stellen sie eher einen Blick in den Rückspiegel als in die Glaskugel der Zukunft dar und spiegeln zudem auch nicht die individuelle Risikolandkarte eines Unternehmens wieder. Für Unternehmen können Sie daher einen Input für die individuelle Risikoanalyse darstellen, doch ersetzt dies nicht die eigene spezifische Ermittlung der Risikolandkarte geschäftskritischer Risiken.

In diesem Beitrag steht die Betrachtung der Risiken mit potentiell existenzgefährdenden Auswirkungen (“high consequence – low likelihood Events”) im Fokus. Es handelt sich um die Risiken, die gerne aus dem Betrachtungsraum verschwinden, da es keine Erfahrungen aus der Vergangenheit mit dem Eintritt dieser Risiken gibt, die Eintrittswahrscheinlichkeit als sehr gering eingeschätzt wird und die Wirtschaftlichkeit von risikomindernden Maßnahmen schwer zu argumentieren ist.

Existenzbedrohende Unternehmenskrisen können sowohl durch die Unterbrechung kritischer Geschäftsprozesse (Business Continuity Management-Ereignisse) als auch durch interne und externe Ereignisse ausgelöst werden.
Die Risikoanalyse muss beide Kategorien von Risiko-Ereignissen berücksichtigen:

1. Ausfall eines oder mehrerer kritischer Geschäftsprozesse (BCM-Risiken)
2. Eintritt eines existenzbedrohenden Schadensereignisses.

Ein Schadensereignis kann als Folgewirkung zu einer Unterbrechung kritischer Geschäftsprozesse (Business Continuity) führen. So kann zum Beispiel ein Unwetter zu einem Stromausfall und damit dem Ausfall von Gebäuden und den darin befindlichen Geschäfts- und Produktionsprozessen führen. Existenzbedrohende Schadensereignisse können aber auch ohne Beeinträchtigungen der Geschäftsprozesse zu einer Unternehmenskrise führen.

Eine wichtige Grundlage zur Identifikation der BCM-Risiken bildet die Business Impact Analyse (BIA). Ein Ergebnis der BIA ist die Identifikation der kritischen Ressourcen zeitkritischer Geschäftsprozesse.

Dabei handelt es sich um die folgenden Ressourcenkategorien:

• Personal. Know How, “Kopf-Monopole”
• Standorte, Gebäude, Gebäudeteile
• IT-Anwendungen, IT-Systeme
• Dienstleister (IT, non-IT)
• Maschinen, Anlagen, Betriebsmittel.

Ein Ausfall einer oder mehrerer dieser kritischen Ressourcen führt zu einer Unterbrechung zeitkritischer Geschäftsprozesse und damit zu einem nicht mehr akzeptablen Schaden in den Schadenskategorien

• finanzieller Schaden
• Image- / Reputationsschaden
• Verstoß gegen Gesetze, regulatorische Vorgaben, Verträge
• Beeinträchtigung der Steuerungsfähigkeit des Unternehmens (Bsp. Liquiditätsmanagement)
• Personelle Unversehrtheit.

Bei dieser Risikoanalyse wird zunächst von der Wirkungsseite der Risiken ausgegangen:
Die Fragestellung lautet zum Beispiel: “welcher Ausfall eines kritischen Dienstleisters oder Lieferanten würden zu einer unmittelbaren Unterbrechung des Betriebs führen?” Analog wird für die anderen kritischen Prozess-Ressourcen vorgegangen.

In einem nächsten Schritt der Risikoanalyse ist festzustellen, welche risikoreduzierenden Maßnahmen bereits vorhanden sind. So können für einen kritischen Dienstleister zum Beispiel bereits Verträge mit alternativen Diensleistern vereinbart sein, die im Falle eines Ausfalls des Dienstleisters einspringen können. Dies reduziert das Risiko eines Schadenseintritts bei Ausfall des Diensteisters. Im Fall eines Single-Sourcing schlägt das Risiko jedoch voll durch und ein Dienstleisterausfall würde zu einer Betriebsunterbrechung führen, sofern keine risikomindernden Maßnahmen wie zum Beispiel eine Bevorratung kritischer Materialien getroffen wurden.

Unterbrechungen kritischer Geschäftsprozesse sind jedoch nur eine mögliche Ursache existenzbedrohender Unternehmenskrisen. Es gibt weitere Schadensereignisse, die keine BCM-Ereignisse darstellen und zu einer Unternehmenskrise führen können.
Diese abrupten oder auch schleichend eintretende Bedrohungen sind oftmals Gegenstand der “klassischen Risikoanalyse” und umfassen zum Beispiel die Risiken

• Kunden- und Adressrisiken (Bsp. Ausfall bedeutender Kunden),
• Image- und Reputationsrisiken (Bsp. “Shitstorm”),
• Liquiditätsrisien (Bsp. hohe Zahlungsausfälle),
• Marktrisiken (Bsp. schleichende oder abrupte Marktveränderungen),
• Unterbrechung von Absatz- und Vertriebskanälen (Bsp. Ausfall Onlineshop, Web-Auftritt),
• Rechtliche und regulatorische Risiken, Compliancerisiken (Bsp. Verlust von Patenten, Rechten, Rechtsstreitigkeiten, behördlich angeordnete Betriebsschließungen),
• Politische Risiken (politische Umbrüche in Herstellungs- und / oder Absatzmärkten),
• Pandemien, Epidemien, Massenerkrankungen,
• Kriminelle Handlungen durch Außen- oder Innentäter (Bsp. Erpressungen, Geiselnahmen, Fraud etc.),
• regionale und überregionale Unterbrechungen von Logistikketten (Supply Chain Risiken),
• Produktrückrufe,
• Ausfall der Unternehmensführung (Bsp. Tod des Geschäftsführers).

Bei Schadensereignissen mit sehr niedriger Eintrittswahrscheinlichkeit aber existenzgefährdenden Auswirkungen für das Unternehmen ist die Eintrittswahrscheinlichkeit des Schadensereignisses für das Risikomanagement nicht relevant. Auch ein Ereignis, das mit einer sehr geringen Eintrittswahrscheinlichkeit von zum Beispiel ein Eintritt in 10 Jahren eingeschätzt wird, kann Morgen eintreten und das Unternehmen treffen.

Sie hierzu auch meine Beiträge auf 3GRC und in den bcm-news.

Für diese Risiken wird daher die Eintrittswahrscheinlichkeit der Schadenswirkung eingeschätzt. Diese Eintrittswahrscheinlichkeit zielt auf die Schadenswirkung des Ereignisses (Wie wahrscheinlich ist, dass der Eintritt dieses Ereignisses einen existenzbedrohenden Schaden für das Unternehmen verurachen würde) und nicht auf die Häufigkeit des Schadensereignisses (Wie oft kommt das Ereignis im Zeitablauf vor?).

Diese Sichtweise berücksichtigt damit auch die getroffenen risikomindernden Maßnahmen (Netto-Risiko). Gibt es für einen kritischen Dienstleister einen oder mehrere Ersatz-Dienstleister reduziert dies die Eintrittswahrscheinlichkeit, dass der Ausfall eines Dienstleisters zu den maximalen Schadensfolgen führt.

Diese so identifizieten Risiken lassen sich in einem Portfolio übersichtlich darstellen, um Entscheidungen und Maßnahmen für den Umgang mit diesen Risiken ableiten zu können.

Die Eintrittswahrscheinlichkeit der Schadenswirkung auf das Unternehmen kann durch vorbeugende Maßnahmen gesenkt werden. Das Schadensausmaß (Schadenshöhe) bei Eintritt eines Ereignisses kann durch vorbeugende risikomindernde (Bsp. Redundanz) sowie reaktive Maßnahmen bei Eintritt des Ereignisses gesenkt werden.

In der Gesamtbetrachtung beider Risikokategorien werden die Risiken mit einer sehr schweren Konsequenz aber geringer Eintrittswahrscheinlichkeit sichtbar. Dies bildet die Grundlage über die erforderlichen Vorsorgemaßnahmen, um existenzbedrohende Schäden zu verhindern. Da auf die Eintrittswahrscheinlichkeit der Ereignisse kein Einfluß genommen werden kann, steht die Minderung der Schadenswirkungen durch abwehrende und reaktive Maßnahmen im Vordergrund.

Hierzu sollten die als kritisch eingeschätzten Risiken im Rahmen einer Szenarioanalyse detaillierter betrachtet werden. Ziel ist die Identifikation der existenzbedrohenden Risiken für die eine Notfallvorsorge getroffen werden muss.

Ein mittelständisches Unternehmen mit einem Allein-Geschäftsführer sollte sich auf einen möglichen Ausfall dieses Geschäftsführers zum Beispiel, durch Krankheit, Unfall, Tod vorbereiten. Hierzu gehören zum Beispiel entsprechende Vollmachten, Zutritts- und Zugriffsberechtigungen, Nachfolgeregelungen etc..

Die Beschäftigung mit den existenzbedrohenden Risiken ist nicht selbstverständlich. Mangelndes Bewusstsein und Verdrängungseffekte führen dazu. diese Risiken aus der Betrachtung zu verlieren. Versicherungen können diese Risiken nicht oder nur unzureichend abdecken, so dass eigene Vorsorge zwingend erforderlich ist. Die Risikoanalyse ist der erste Schritt zu einer besseren Resilienz des Unternehmens.