• C4B ‐ Ihre Plattform zum Benchmarking und Vernetzen

Beiträge mit den Schlagworten :

Risikomanagement

Cyber-Kriminalität – unterschätztes wirtschaftliches Risiko (Teil 2) 1024 669 C4B

Cyber-Kriminalität – unterschätztes wirtschaftliches Risiko (Teil 2)

Sieben von zehn Industrieunternehmen in Deutschland sind bereits Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dabei ist besonders der Mittelstand im Fokus der Angreifer. Laut einer Studie der Bitkom waren drei von vier Unternehmen in der Größe von 100 bis unter 500 Mitarbeitern von Cyber-Kriminalität betroffen. Marina Döhling, die für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig ist, klärt in ihrem Gastbeitrag auf, warum insbesondere eine intensive Digitalisierung und progressive Entwicklung des Unternehmens ohne Investitionen in Cyber Security nicht erfolgreich sein kann.

Es gibt einiges zu holen und die Schäden sind enorm: Eine Studie des Ponemon Institute aus den USA ergab, dass Unternehmen durch Cyber-Attacken Schäden in Höhe von durchschnittlich 6,1 Millionen Euro erleiden. Die Spannbreite reichte dabei von 425 Tausend Euro bis zu 20,2 Millionen pro Jahr – Phishing, Social Engineering und Web-Attacken waren für mehr als 35 Prozent der Kosten verantwortlich.Cyber-Security ist also ein wirtschaftlich bedeutsames und unternehmensübergreifendes Thema. Eine hundertprozentige Sicherheit ist nicht realisierbar, aber Unternehmen sollten eine bestmögliche Absicherung anstreben. Die „Angreifer“ von innen oder außen sind sehr erfinderisch, technisch sehr gut ausgerüstet und organisiert. Emails und Apps werden beispielsweise werden mittlerweile so exzellent gefälscht, dass selbst Security-Experten sehr genau hinsehen müssen, um diese Fälschungen zu erkennen.

Sensibilisierung der Mitarbeiter
Einfach wegschauen – „uns passiert schon nichts“ – oder „wird schon nicht so schlimm“ – ist definitiv nicht die Lösung. Die Annahme „wir sind nicht interessant genug“, erweist sich häufig genug als Fehleinschätzung. Zu schweigen, weil es vermeintlich „peinlich“ ist darüber zu sprechen, z.B. dass im Unternehmen ein CEO-Fraud erfolgreich war, in dem ein Mitarbeitern eine Zahlung für einen von Cyber-Kriminellen fingierten Geschäftsvorgang angewiesen hat, ist nicht das Mittel der Wahl. Heutzutage kann sich kein Unternehmen wirklich sicher sein, nicht doch Opfer eines Cyber-Angriffs zu werden. Besser ist, darüber zu sprechen und sich auszutauschen, um das Thema aus unterschiedlichen Blickwinkeln zu betrachten. Die Mitarbeiter im Unternehmen sollten in die Prozesse des Sicherheitskonzeptes mit einbezogen werden. Aufmerksame Mitarbeiter gehören mit zum besten Schutz gegen Angriffe und Verlust von Unternehmenswerten.

7 von 10 Unternehmen Opfer
Zur Verdeutlichung des Risikos: Der aktuelle Studienbericht 2018 der Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. www.bitkom.org) zeigt, basierend auf einer repräsentativen Umfrage, dass ca. 68 Prozent aller Industrieunternehmen in Deutschland schon Opfer eines Datendiebstahls, Sabotage oder Spionage waren. Weitere 19 Prozent waren vermutlich betroffen. Aufschlussreich ist die Verteilung des Täterkreises: ca. 61 Prozent sind ehemalige Mitarbeiter und ca. 22 Prozent konkurrierende Unternehmen. Der – konservativ geschätzte – Gesamtschaden über 2 Jahre beläuft sich auf ca. 43,3 Mrd Euro. Bei knapp der Hälfte (48 Prozent) der Unternehmen wurden Kommunikationsdaten wie Emails entwendet, in 20 Prozent der Fälle Kunden- und Finanzdaten, bei 11 Prozent kritische Unternehmensdaten.

Cyber-Security als integraler Bestandteil des Risiko-Managementsystems
Unter Berücksichtigung einer angemessenen Personalausstattung und Budget gehört Cyber-Security zum integralen Bestandteil des Risiko-Managementsystems. Eine intensive Digitalisierung und progressive Entwicklung des Unternehmens kann ohne Investition in Cyber-Security nicht erfolgreich sein.Eine Identifizierung und Gewichtung der vorhandenen und zu erwartenden Risiken sowie eine Analyse und Klassifizierung der Daten und Prozesse im Unternehmen sind Voraussetzung für einen möglichst optimalen Einsatz des Budgets. Basierend auf diesen Informationen können die Risiken unter dem Aspekt was für das Unternehmen überlebenswichtig, sekundär oder unwesentlich ist, eingeschätzt und priorisiert werden, gefolgt von konkreten Maßnahmen.

Dabei nur das eigene Unternehmen zu betrachten reicht nicht. Lieferanten, Partner, Lösungsanbieter, Kunden, verbundene Unternehmen, Mitarbeiter sowie externes Personal sind mit einzubeziehen, unter digitalen und auch analogen Aspekten. Cyber-Kriminelle analysieren das gesamte geschäftliche Umfeld des Unternehmens und versuchen sich auch darüber Eintritt in die Systeme zu verschaffen. Eine ausgeprägte Vernetzung, Digitalisierung, flexible Kommunikationswege und Lieferketten öffnen Türen. Cyber-Sicherheitsanforderungen sollten auch in Verträgen und Service-Level-Agreements berücksichtigt werden. In die Überlegungen einzubeziehen ist zudem, ob finanzielle Risiken durch Cyber-Versicherungen abgedeckt werden können, beim Unternehmen selbst und z.B. den Lieferanten.

Viele „Lecks“ in Unternehmen werden nicht immer zeitnah entdeckt.                     Oft dauert es Monate. Auch gab es Fälle, in denen es erst nach Jahren aufgefallen ist, dass Zugänge missbraucht wurden und Informationen aus dem Unternehmen abgeflossen sind. Cyber-Risiken sollte als ein Aspekt des finanziellen Risikos des Unternehmens berücksichtigt werden. Hierzu gehören Kosten wie z.B. die eines Angriffs, Nichtbetriebsfähigkeit, Produktionsausfall, gestohlene Unternehmenswerte. Cyber-Risiken wirken sich unmittelbar auf die finanzielle Performance aus. Die Messung des ROI im Cyber-Bereich ist nicht direkt vergleichbar mit klassischen Investitionen. Es stellt sich die Frage wie, wann und in welcher Höhe der zu erwartende Verlust zu bewerten ist. Die Herausforderung liegt hier in der realen Bewertung der Risiken.

Schutz sensibler Daten und Unternehmenswerte.                                         Investitionen in traditionelle Cyber-Abwehr wie beispielsweise Firewalls, Antivirus-Programme etc. sind heutzutage selbstverständlich. Diese Lösungen sind allein reichen jedoch nicht aus. Bedrohungen kommen nicht nur von außen, sondern auch durch Insider wie Mitarbeiter und Dritte, unbedacht oder vorsätzlich. Durch Einsatz entsprechender Technologien kann auch die Gefahr eines internen oder vorgetäuschten internen Datenverlustes oder -diebstahls reduziert bzw. verhindert werden; konkret durch die Implementierung von Prozessen zur Verfolgung verdächtiger Verhaltensweisen („Anomalie-Erkennung“), Überwachung von Nutzerverhalten mit Zugriff auf kritische Daten („Vorfalls-Analyse“) sowie automatisierte Abwehr von Datenabflüssen. Das Unternehmen kann, basierend auf diesen Informationen, von wem, wie und wann auf sensible Daten zugegriffen wird entsprechende Sicherheitsprozesse implementieren.Ein Beispiel für eine solche Lösung ist die Technologie von Digital Guardian. Sie liefert Echtzeitanalyse, Transparenz und flexible Kontrollen über den Zugriff, Verwendung und Weiterleitungen von Daten und Dokumenten.Darüber hinaus deckt die Lösung von Digital Guardian die Erfordernisse, die das neue Gesetz zum Schutz von Geschäftsgeheimnissen erfordert, ab.

Ab 2019: Neues Gesetz zum Schutz von Geschäftsgeheimnissen:
Informationen, die nicht durch Eigentumsrechte wie z.B. Patente geschützt sind, können für Unternehmen auch von existentiellem Wert sein. Die europäische Richtlinie zum Schutz von Geschäftsgeheimnissen und Know-how (EU 2016/943)zielt darauf ab, Unternehmen vor Geheimnisverrat und Wirtschaftsspionage zu schützen und grenzüberschreitende Innovationen im europäischen Binnenmarkt zu fördern. Voraussichtlich wird der entsprechende Gesetzesentwurf in enger Anlehnung an die EU-Richtlinie Anfang 2019 im Bundestag beschlossen. Ein wesentlicher Unterschied zur bisherigen Gesetzeslage ist, dass bisher schon der Geheimhaltungswille ausreichend war. Entsprechend dem neuen Gesetz muss sich dieser Geheimhaltungswille in konkreten Maßnahmen zum Schutz des Geheimnisses wiederspiegeln. Die Beweislast hat sich also umgekehrt. Es gilt: Die Richtlinie schützt nur den, der die Anforderungen erfüllt. Geschützt werden nur Informationen, die Gegenstand angemessener Geheimhaltungsmaßnahmen sind. Unternehmen müssen zukünftig beweisbare Geheimhaltungsmaßnahmen treffen, um Rechtsschutz zu erlangen. Für Unternehmen ist es empfehlenswert, dass sie ihre Geschäftsgeheimnisse definieren und deren Wert beziffern können. Gleichfalls sollten sie prüfen, inwieweit sie über ausreichende Maßnahmen zu deren Schutz verfügen, sowohl organisatorisch als auch technisch. Ausreichender Geheimnisschutz wird sicherlich auch für potenzielle Investoren ein wichtiges Thema sein.

Dieses neue Gesetz führt noch ein Schattendasein, wird aber an Bedeutung gewinnen, sobald wirtschaftliche Interessen gewahrt werden müssen. Im Rahmen von Cyber-Security und finanzieller Performance eröffnet sich ein weiteres Thema.

 

Über die Autorin: Marina Döhlingcat out gmbh, ist seit Beginn ihrer beruflichen Laufbahn in der Informationstechnologie tätig: als Consultant für eine renommierte deutsche Unternehmensberatung und amerikanische Systemhäuser, als Geschäftsführerin in IT-Unternehmensberatungen. Basierend auf ihren langjährigen Erfahrungen in Technologie, Geschäftsprozessen und Branchen-Know-how ist sie für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig.

Marina Doehling
T: + 49 172 4300429
cat out gmbh
www.cat-out.com

Risikomanagement und Cyber-Security – Diebstahl von Zugangsdaten und der Handel im Dark Web (Teil 1) 1024 669 C4B

Risikomanagement und Cyber-Security – Diebstahl von Zugangsdaten und der Handel im Dark Web (Teil 1)

Finanzabteilungen stehen bei Cyber-Kriminellen besonders hoch im Kurs. Zwar ist der Zugang zu Konto-Zugangsdaten dort meist schwerer, dafür ist der Diebstahl für Cyber-Kriminelle aber umso lukrativer. Marina Döhling, die für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig ist, klärt in ihrem Gastbeitrag über Cyber-Sicherheit im Rahmen des Risikomanagements auf.

 

Zu den heutigen Aufgaben von CFO´s und Finanzverantwortlichen gehören das Risikomanagement und die Digitalisierung des Finanzwesens. Und genau hier kommt das Thema Cyber Security im Kontext einer Gesamtstrategie mit IT, HR und Finance zum Tragen. Cyber Security bezieht sich auf die Informationssicherheit als Ganzes. Sie ist eine Kombination aus Technologie, Prozessen, organisatorischen Maßnahmen und rechtlichen Regularien, mit dem Ziel das Unternehmen vor Angriffen, Datenverlust, Datendiebstahl und somit vor wirtschaftlichen Schäden zu schützen – und dadurch Risiken zu minimieren.

Im Rahmen eines Unternehmens-Sicherheitsprogramms sind in Hinsicht auf Vermeidung („Prevention“) und Abwehr („Defense“) zwei Tätergruppen zu unterscheiden. Die Innentäter, nach Erhebungen der größere Teil der Bedrohung, sind ehemalige oder aktuelle Mitarbeiter, Dienstleister, Geschäftspartner. Die Außentäter sind Hacker (wirtschaftlich motiviert oder Amateure) sowie ausländische Organisationen und Nachrichtendienste (Wirtschaftsspionage). Cyberkriminelle nutzen eine Vielzahl von Techniken und Methoden für den Diebstahl von Zugangsdaten, sehr beliebt ist z.B. die Infektion der Arbeitsgeräte (PC) mit Schadsoftware oder – aus der Sicht der Angreifer am leichtesten – das sogenannte „Phishing“. Unter dem Begriff Phishingversteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Die Finanzabteilungen stehen besonders hoch im Kurs bei Cyber-Kriminellen. Hier ist es zwar zumeist schwierige,r direkt an Konto-Zugangsdaten zu gelangen, dafür ist es aber umso lukrativer.

Gerne wird, um an Geld zu gelangen, auch die Betrugsmasche „CEO Fraud“ oder alternative Bezeichnung BEC (Business Email Compromise) gewählt. Hier werden Mitarbeiter mit Zahlungsvollmacht vorzugsweise per Email mit gefälschten Identitäten so manipuliert, dass sie Überweisungen auf Konten der Kriminellen im Ausland tätigen. Diese Summen liegen durchaus auch im hohen 6-stelligen Bereich. Diesen Cyberattacken voraus gehen i.d.R. intensive Social Engineering-Aktivitäten. Informationen über Verhaltensweisen, Email-Adressen, Mitarbeiter, Verantwortlichkeiten im Unternehmen werden dazu z.B. in den sozialen Netzwerken recherchiert, aber auch persönliche Ansprachen („analoges Social Engineering“) werden genutzt.

Ökosystem im Dark Web

Es gibt ein stetig wachsendes Handelsnetz der Internetkriminalität, das intelligente Mechanismen und Tools hierfür entwickelt hat. Die Tools und Dienstleistungen zum Stehlen von Zugangsdaten, Identitäten, u.a. auch die bereits gestohlenen Daten selbst, können im Internet-Untergrund erworben werden. Dieses System aus illegalen Aktivitäten, Erpressung und Lösegeldforderungen, Datendiebstahl wächst kontinuierlich und stellt eine gravierende Bedrohung für Unternehmen dar. Betrachtet man nur Europa, so ist im Zeitraum Januar bis Mai 2018 im Vergleich zu 2017 der Diebstahl von Anmeldeinformationen um 62 Prozent gestiegen (Quelle: Blueliv, The Credential Theft Ecosystem).

Was passiert mit den gestohlenen Daten? Wie werden sie gehandelt?

Cyberkriminelle nutzen die gestohlenen Zugangsdaten in der Regel nicht selbst. Diese gestohlene „Ware“ wird im Dark Net in regelrechten Preislisten angeboten. Beispiel Kosten für Zugangsdaten:

  • für Konten mit einem Saldo über $10.000 liegen unter $300
  • für Soziale Netzwerke $1,50 bis $9

(Quelle: Blueliv, The Credential Theft Ecosystem)

Welche Möglichkeiten stehen dem Unternehmen, dem CFO oder Finance-Verantwortlichen zur Analyse der aktuellen Situation in Bezug auf gestohlenen Daten zur Verfügung?

Recherchen im Open, Deep und Dark Web darüber, welche Informationen bereits über das Unternehmen angeboten werden; dies erfordert umfangreiches Spezialwissen und erheblichen finanziellen Einsatz. Es gibt hierfür Cyber-Intelligence Anbieter, die diesen Service anbieten. Einer der führenden Anbieter ist Blueliv mit Hauptsitz in Barcelona, Spanien. Deren Suchmaschinen („Crawler“) liefern hochaktuelle, sofort verwertbare Bedrohungsinformationen. Basierend auf diesen Analysen können sofort Sicherheitslücken entdeckt und entsprechende Maßnahmen abgeleitet werden. Gestohlenen Anmeldedaten werden selten in „Echtzeit“ verwendet. So kann eine frühzeitige Erkennung und Abwehr innerhalb weniger Tage die Auswirkung eines Angriffs stark reduzieren. Die abzuleitenden Sicherheits-Maßnahmen können technischer oder organisatorischer Art sein und/oder sich auf eine Sensibilisierung des Verhaltens der Mitarbeiter oder Dienstleister, Partner beziehen.

Die Bereitstellung von Budgets von den Finanz-Verantwortlichen für ein Unternehmens-Cybersicherheits-Programm und das Einbetten in das Risikomanagement-System verhindert so Reputationsverlust, sichert die Geschäftstätigkeit und Marktpräsenz.

 

Über die Autorin:

Marina Döhlingcat out gmbh, ist seit Beginn ihrer beruflichen Laufbahn in der Informationstechnologie tätig: als Consultant für eine renommierte deutsche Unternehmensberatung und amerikanische Systemhäuser, als Geschäftsführerin in IT-Unternehmensberatungen. Basierend auf ihren langjährigen Erfahrungen in Technologie, Geschäftsprozessen und Branchen-Know-how ist sie für die cat out gmbh als Managing Consultant zum Thema Cyber- und Datensicherheit tätig.

Marina Doehling
T: + 49 172 4300429
cat out gmbh
www.cat-out.com

8 praxiserprobte Tools zur strategischen Planung 150 150 C4B

8 praxiserprobte Tools zur strategischen Planung

Teil 2

Das Instrumentarium zur Unterstützung der strategischen Planung umfasst eine Vielzahl an Planungsmethoden. Im ersten Teil meines Beitrags habe ich Ihnen bereits drei Tools vorgestellt, jetzt folgen fünf weitere, praxiserprobte Tools.

1. Benchmarking
Strategieprozesse können sehr gut durch Benchmarking unterstützt werden: Wer nutzt welche Methoden? Welche Firma sieht wo Vor- oder Nachteile und kann gut mit welchen Methoden arbeiten? Wo ist der Strategieprozess organisatorisch angegliedert? Wie lange dauert ein Strategieprozess und wie wird er durchgeführt Wichtig ist es, das Controlling frühzeitig einzubinden, da sonst der Informationsfluss sehr schwierig wird.

Beobachten Sie aktuelle Trends zum Thema Predictive Analytics, Data Scientist und Digitalisierung. Hierzu werden wir in Kürze auch einen Blog-Beitrag schreiben.

2. Portfolio-Analyse
Ein Ziel der Portfolio-Analyse ist es, die strategische Unternehmensplanung zu verbessern und auf Grundlage der Ergebnisse dieses Instrumentes, Entscheidungen über zukünftige Aktivitäten zu treffen.

Das Grundprinzip der heutigen Portfolio-Analyse stellt das Ausgewogenheitsprinzip dar, welches seinen Ursprung in der Finanzwirtschaft hat. Die Grundidee ist eine finanzwirtschaftliche Ausgewogenheit im Unternehmen. Das bedeutet, dass zwischen den einzelnen geschäftlichen Aktivitäten eine gewisse Balance in Bezug auf die Schaffung und Ausschöpfung von Erfolgspotenzialen herrschen muss. Desweiteren lässt sich hieraus die Zielsetzung der Portfolio-Analyse ableiten. Diese ist eine aus Gesamtunternehmenssicht möglichst vorteilhafte Zusammensetzung von verschiedenen Produkt-Markt-Kombinationen, auch strategische Geschäftseinheiten genannt, um eine nachhaltige Existenzsicherung zu ermöglichen.

3. Business Canvas Model
Mit dem Business Canvas Model („Geschäftsmodell Leinwand“)kann auf einem Blatt Papier die Geschäftsidee übersichtlich dargestellt werden. Das Modell hilft auch bei der Weiterentwicklung eines Geschäftsmodells und um Stärken und Schwächen leichter auf einen Blick zu identifizieren und zu optimieren. Entwickelt wurde das BMC von dem Schweizer Wirtschaftstheoretiker Alexander Osterwalder und dem Computerwissenschafter Yves Pigneur im Jahr 2005. Betrachtet werden:

  • Zielgruppen
  • Kundennutzen
  • Vertriebskanäle
  • Kundenbeziehungen
  • Erlösquellen
  • Schlüsselressourcen
  • Schlüsselaktivitäten
  • Schlüsselpartnerschaften
  • Kostenstruktur.

Vorlagen dazu findet man im Netz viele, hier nur eines als Beispiel:
https://www.existenzgruender.de/SharedDocs/Downloads/DE/Checklisten-Uebersichten/Businessplan/16_Business-modell-Canvas.pdf?__blob=publicationFile

4. Risikomanagement
Was hat Risikomanagement als Tool unter den Strategieprozessen zu suchen? Grundsätzlich werden unter Risiken mögliche Ereignisse oder Handlungen verstanden, die zu einer Abweichung der definierten Ziele beziehungsweise der Strategieumsetzung führen können. Positive Abweichungen werden als Chance und negative Abweichungen als Risiko bezeichnet. Chancen werden im Strategieprozess berücksichtigt, negative Abweichungen werden im Risikomanagementprozess bearbeitet. Die Risiken werden hinsichtlich der Eintrittswahrscheinlichkeit und der quantitativen Auswirkungen im Eintrittsfall bewertet. Gerade Risikoinformationen tragen dazu bei, ein wertorientiertes Controlling zu gestalten und zu verwirklichen. Über das Thema Risikomanagement habe ich hier und hier bereits ausführlich geschrieben.

5. Maßnahmen und Treiberbasierte Planung
Was macht die treiberbasierte Planung anders als klassische Planungsmodelle? Die treiberbasierte Planung fokussiert sich auf die Treiber des eigenen Geschäfts. Dazu werden im Planungsmodell monetäre und nicht-monetäre Einflussgrößen (Treiber) und deren Auswirkungen auf Unternehmensergebnisse beschrieben. Durch die Anpassung der Treiber im Rahmen des Planungsprozesses werden die Veränderungen im Geschäft transparent und schnell abgebildet und erlauben durch die Simulation anhand weniger Treiber die flexible Ermittlung von Ergebniseffekten. Mit der Maßnahmen- und treiberbasierten Planung habe ich mich hier auf dem Blog bereits ausführlich befasst.

8 praxiserprobte Tools zur strategischen Planung 150 150 C4B

8 praxiserprobte Tools zur strategischen Planung

Teil 1

Das Instrumentarium zur Unterstützung der strategischen Planung umfasst eine Vielzahl an Planungsmethoden. Generell kann bei diesen Verfahren zwischen solchen unterschieden werden, die nur jeweils eine Teilphase der strategischen Planung unterstützen und solchen, die als integrierte Methoden mehrere Zwecke im Rahmen der strategischen Planungs- beziehungsweise Entscheidungsprozesse erfüllen. Die wichtigsten Tools zur strategischen Planung möchte ich Ihnen in diesem Beitrag und im Folgebeitrag vorstellen.

1. Ansoff-Matrix
In der Matrix werden Normstrategien für neue beziehungsweise bestehende Produkte in neuen oder bestehenden Märkten beschrieben. Dabei ist „Märkte“ nicht nur regional zu verstehen, sondern kann auch neue Zielgruppen oder Kundensegmente bedeuten.

Die Produkt-/Marktmatrix kommt zu Anwendung, wenn eine Wachstumsstrategie umgesetzt werden soll.

  1. Marktdurchdringung: intensivere Marktbearbeitung, z.B. durch intensiveren Vertrieb und Marketing
  2. Markterweiterung: neue Märkte mit bestehenden Produkten erobern, z.B. durch Internationalisierung
  3. Produkterweiterung: durch Produktvarianten oder -modifikationen mehr Kunden im bestehenden Markt erreichen
  4. Diversifikation: mit neuen Produkten in neue Märkte vordringen

2. SWOT-Analyse
Die Gegenüberstellung der Stärken (Strength), Schwächen (Weaknesses), Chancen (Opportunities) und Bedrohungen (Threats) ist ein wesentlicher Part der Strategieentwicklung. Die Chancen und Bedrohungen ergeben sich aus der Umfeldanalyse, die Stärken und Schwächen aus der Unternehmensanalyse. Beide zusammen helfen, die strategischen Herausforderungen abzuleiten: Was muss ich tun, wenn eine Chance (bzw. ein Risiko) auf eine Schwäche (bzw. Stärke) trifft?

Die Analyse gibt Unternehmen eine klare Vorstellung davon, auf welche Stärken sie sich stützen können, um Marktchancen auszunutzen oder Risiken zu begegnen. Zugleich kennen sie ihre Schwächen, an denen sie arbeiten müssen oder die ihre strategischen Handlungsmöglichkeiten einschränken.

3. ABC-Analyse
Die ABC-Analyse hilft bei der Prioritätensetzung. Kunden, Produkte, Einkaufteile oder andere Analyseobjekte werden nach ihrer Bedeutung für das Unternehmen sortiert und klassifiziert. Dazu werden die Objekte anhand einer ausgewählten Kenngröße in drei Klassen unterteilt:

  • A: sehr wichtig
  • B: wichtig
  • C: weniger wichtig

Mithilfe der ABC-Analyse können Maßnahmen und die dafür erforderlichen Ressourcen zielgerichtet eingesetzt werden – und zwar dort, wo sie den größten Effekt versprechen. Beispielsweise erhalten Kunden der A-Klasse eine intensivere Betreuung, bessere Lieferbedingungen oder Rabatte, weil dort ein höherer Umsatz oder Gewinn erzielt werden kann.

Überwachung und Steuerung von Risiken als Bestandteil des Risikomanagements 150 150 C4B

Überwachung und Steuerung von Risiken als Bestandteil des Risikomanagements

Teil 4 von 4
In meiner Serie zum Risikomanagement habe ich die verschiedenen Aspekte sowie Prozessschritte des Risikomanagements unter die Lupe genommen:

Teil 1: Einführung Risikomanagement
Teil 2: Risikoidentifikation
Teil 3: Risikoanalyse und Risikobewertung

Im vierten und letzten Beitrag zum Risikomanagement geht es um die Überwachung und Steuerung von Risiken. Die Basis für die Risikosteuerung bildet die Risikostrategie, da auf ihrer Grundlage zu entscheiden ist, welche Risiken akzeptiert werden und welche aktiv gesteuert werden sollen. Ziel ist die Veränderung der Risikosituation gemäß der Ziele und Vorgaben des Unternehmens beziehungsweise die Herstellung einer ausgewogenen, dem Risikoprofil entsprechenden Relation von Chancen und Risiken.

Risikosteuerung
Ziel der sich anschließenden Risikosteuerung ist es, Aktionspläne zur aktiven Beeinflussung der analysierten und geplanten Risiken zu entwickeln. Grundsätzlich stehen dem Unternehmen dabei vier Risikosteuerungsalternativen zur Verfügung:

  1. Risikovermeidung: Vollständiger Verzicht auf risikobehaftete Aktivitäten; z.B. Ausstieg aus riskanten Projekten, Verzicht auf unausgereifte Technologien, Vorkasse bei insolvenzgefährdeten Kunden.
  2. Risikoverminderung: Reduzierung von Eintrittswahrscheinlichkeit oder Schadensausmaß; z.B. Diversifikation des Produktportfolios, Festlegung von Risikolimits.
  3. Risikoüberwälzung: Transfer von risikobehafteten Aktivitäten an Dritte; z.B. Factoring, Versicherungslösungen (z.B. über Betriebshaftpflicht-Versicherungen, Betriebsunterbrechungsversicherungen etc.), Outsourcing, Währungsswap-Geschäfte.
  4. Selbstbehalt von Risiken und aktives Management (Risikoakzeptanz): Durch Früherkennung, organisatorische Sicherungsmaßnahmen und interne Revision. Bewusstes Eingehen von Risiken mit vertretbarem Risikopotenzial; aktive Vorsorge durch ausreichendes Risikodeckungspotenzial (Eigenkapitalausstattung).

Der konkrete Steuerungsmix als Kombination der gerade beschriebenen Maßnahmen wird schließlich auf Basis einer zuvor definierten Risikostrategie determiniert. Zentral hierbei ist der Punkt 4 – das aktive Management. Hier hat sich die in meinem letzten Beitrag zum Risikomanagement vorgestellt Matrix und die Filterung von Risiken nach Priorität bewährt.

Risikoüberwachung und –kontrolle
Die Entwicklung der unternehmerischen Risikostruktur und der Fortschritt der eingeleiteten Steuerungsmaßnahmen müssen laufend überwacht werden. Dies dient dazu festzustellen, ob ein neues Risiko eingetreten ist oder ob sich Veränderungen der Risikostruktur erkennen lassen. Zur Unterstützung der Kontrolle ist es sinnvoll, ein Berichtswesen in der Unternehmung zu implementieren, das die Risikosituation aufzeigt, die Risiken im Zeitablauf darstellt und einen Gesamtüberblick ermöglicht.

Risiko- und Systemdokumentation
Gemäß den Anforderungen des KonTraG müssen die Elemente des Risikomanagementprozesses, die risikopolitischen Grundsätze, die Aufbau- und Ablauforganisation sowie die definierten Risikolimits für interne und externe Adressaten nachvollziehbar dokumentiert werden. Dies geschieht in der Risiko- und Systemdokumentation. Ein sogenanntes Risikomanagement-Handbuch fasst die zentralen Aspekte zusammen. Wie das Risikomanagement-Handbuch aufgebaut sein muss, ist unternehmensindividuell zu beantworten. Nehmen Sie für Tipps gerne persönlich Kontakt zu mir auf: u.schroeder@c4b-team.de

Prozessbegleitend ist eine Risikokommunikation im Unternehmen erforderlich, die eine rechtzeitige Weiterleitung der relevanten Informationen an die jeweils Verantwortlichen sicherstellt und das Risikobewusstsein in der Unternehmung stärken soll.

Wichtig: Die Kommunikationsschnittstelle zwischen Verantwortlichen des Risikomanagements und den Verantwortlichen im Controlling muss auf jeden Fall besprochen und transparent geklärt sein im Unternehmen. Beispielsweise muss geklärt sein, ob in einer Planung die Risiken eingearbeitet wurden oder nicht.
Das Thema Risiko hat vielfältige Aspekte, dazu zählt letztendlich auch das Thema Krisenmanagement und Krisenkommunikation. Krisenmanagement ist ein umfangreiches Thema für sich, deshalb hier nur kurz ein paar Gedanken: Die wirkliche Gefahr der Unternehmenskrise ist, dass sie außer Kontrolle gerät und damit unternehmensbedrohend wird. Durch eine Krise können in kürzester Zeit Glaubwürdigkeit und Vertrauen in die Kompetenz des Unternehmens verloren gehen. Krisenmanagement bezeichnet den systematischen Umgang mit Krisensituationen. Dies beinhaltet die Identifikation und Analyse von Krisensituationen, die Entwicklung von Strategien, sofern nicht bereits im Rahmen des Risikomanagementgeschehens, zur Bewältigung einer Krise, sowie die Einleitung und Verfolgung von Gegenmaßnahmen. Also: Krisenmanagement beginnt nicht erst mit dem Eintreten einer Krise im Unternehmen oder Projekt. Im Wesentlichen besteht es aus den drei Bereichen

  • Krisenprävention
  • Krisenfrüherkennung und
  • Krisenbewältigung

Geklärt sein muss u.a. im Unternehmen:

  • Krisenhandbuch mit definierten Verfahren – Was haben wir für Krisenmanagementszenarien?
  • Wie vermeide ich Reputationsrisiken?
  • Wie geht man im Krisenfall vor? Wer spricht im Namen des Unternehmens?
Risikosystematik als wichtiger Bestandteil des Risikomanagements 150 150 C4B

Risikosystematik als wichtiger Bestandteil des Risikomanagements

Teil 3 von 4
Sind die Risiken für die Unternehmung identifiziert, müssen Risiken analysiert und bewertet werden.

Die Risikoanalyse ist der Kern des Risikomanagements, denn es können nur solche Risiken gesteuert werden, die erfasst beziehungsweise gemessen werden können. Typischerweise entstehen bei der ersten Betrachtung und der Identifikation von Risiken mitunter umfangreiche Listen mit vielen Einzelrisiken. Nachdem die Risiken erkannt wurden, sollten diese deshalb in eine Risikosystematik gebracht beziehungsweise zu Risikokategorien zugeteilt werden.

Die Bewertung der identifizierten Risiken hinsichtlich der risikorelevanten Dimensionen Eintrittswahrscheinlichkeit und Schadenausmaß ist zentral, sie kann beispielsweise im Rahmen von Workshops oder Expertenrunden stattfinden. Ein umfassenderes Bild der Risikosituation erhält man sicherlich, wenn fachübergreifend diskutiert wird.

Die Risikobewertung zeigt auf, in welchem Ausmaß die Unternehmensziele durch die identifizierten Risikoereignisse gefährdet sind. Man fixiert die Wahrscheinlichkeiten für das Eintreten von Risiken und nimmt eine quantitative und/oder qualitative Bewertung der potenziellen Ergebniseffekte vor. Die Risiken können nach dem Schadensgrad in folgende Kategorien unterteilt werden:

  • Kritische Risiken, die den Fortbestand des Unternehmens gefährden können;
  • Wichtige Risiken, die zur kurzfristigen Kapitalmaßnahmen führen können, um die Geschäftstätigkeit aufrechterhalten zu können;
  • Unwichtige Risiken, die keine besonderen Maßnahmen erfordern und aus dem laufenden Geschäft heraus bewältigt werden können.

Zur Filterung von Risiken nach Priorität empfiehlt sich folgende Formel:

“Schadenshöhe in €  x  Eintrittswahrscheinlichkeit”

Wie bewerte ich Risiken? Hier hat sich die Nettobewertung bewährt, d.h. man ermittelt die Schadenshöhe, die nach dem Einleiten von Gegenmaßnahmen wahrscheinlich ist und nicht nur das Risiko erfasst. Die 10-20 größten Risiken sollte man sich dann genauer ansehen und monitoren.

Tipp: Berücksichtigen Sie Wirkungszusammenhänge zwischen den verschiedenen Einzelrisiken. Bestimmte Einzelrisiken mögen isoliert betrachtet nur von nachrangiger Bedeutung für das Unternehmen sein, können aber kumulativ ein existenzbedrohendes Risiko darstellen.

Für die Darstellung der verdichteten Risikoinformationen können im Anschluss Indikatoren, wie der Value at Risk und der Return on Risk Adjusted Capital (RORAC), bestimmt werden.

Infokasten

Definiert wird der Value at Risk als der absolute Wertverlust einer im Unternehmen definierten Risiko-Position, der mit einer zuvor definierten Wahrscheinlichkeit (Konfidenzniveau) innerhalb eines fest bestimmten Zeitraums (Halteperiode) nicht überschritten wird [von Balduin 2003, S. 41 sowie Romeike/Hager 2009, S. 203 und Romeike/Hager 2013, S. 191].
Beim Return on Risk Adjusted Capital (RORAC) wird formal der Gewinn einer Periode ins Verhältnis zum notwendigen Risikokapital (Sicherheitskapital) gesetzt und damit eine Risikoadjustierung (Risikobereinigung) des Gewinns vorgenommen. Das notwendige Risikokapital wird dabei typischerweise auf der Basis des Value at Risk bestimmt. Vgl.: http://wirtschaftslexikon.gabler.de/Archiv/296452/return-on-risk-adjusted-capital-rorac-v3.html

Eine qualitative Risikobewertung ist erforderlich, wenn eine Quantifizierung nicht möglich ist (z.B. bei Imageverlust). In diesem Fall werden häufig Klassifizierungen vorgenommen, die eine Differenzierung der Gefährdungspotenziale erlauben, wie z.B. auf Basis einer Einteilung in „Existenz bedrohend“, „schwerwiegend“, „mittel“, „gering“ oder „unbedeutend“.

Ein Blick in die Praxis: Wir haben die Unternehmen unserer C4B Benchmarking-Circle Risiken befragt, wie sie Risiken bewerten.

  • Alle Unternehmen mit einem RMS benennen Einzelwertrisiken
  • Alle Unternehmen mit einem RMS bündeln ähnliche Risiken und
  • alle mit einem RMS nehmen Gegensteuerungsmaßnahmen vor.
  • Der Betrachtungszeitraum für Risiken ist jedoch unterschiedlich: Er liegt zwischen 2 bis 5 Jahren.
  • Nur zwei der Befragten arbeiten bei der Bewertung der Höhe des Risikos mit der Angabe von Bandbreiten
    • von unbedeutend (< 5T€) bis existenzbedrohend (> 1Mio.€)
    • sowie bis 1 Mio. USD, bis 20 Mio. USD., > 20 Mio. USD netto
  • Risikokorrelationen wurden bei den meisten Unternehmen nicht, bei einem Unternehmen nur „gedanklich“ berücksichtigt; nur ein einziges bejahte die Risikokorrelationsbildung.
  • Eine Erfassung eines Unternehmensrisikos aus der Addition der gewichteten Einzelrisiken (Eintrittswahrscheinlichkeit * Schadenshöhe in Euro) hielt keiner in unseren Benchmarking-Circles für sinnvoll. Die entstehenden Werte sind einfach zu praxisfremd.

Eine große Bandbreite gab es auch auf die Frage, wie oft die Risikobewertung aktualisiert wurde. Sie reicht von jährlich über zwei Mal jährlich bis hin zu quartalsweise. Als IT-Tool zur Risikoerfassung wurde zumeist Excel genutzt. Als IT-Tool haben die Unternehmen neben Microsoft Excel auch folgende Anbieter genannt:

Wie ist es in Ihrem Unternehmen? Welche IT-Tools nutzen Sie zur Risikoerfassung? Und sehr spannend: Wie ist der Prozess der Risikoerfassung bezogen auf „WER erfasst die Risiken“ geregelt (jede Abteilung, nur Management, nur Controlling, wie ist es in Matrixorganisationen)? Ich freue mich auf Ihre Antworten, gerne auch direkt per E-Mail an u.schroeder@c4b-team.de

Im nächsten Beitrag zum Risikomanagement geht es um die Überwachung und Steuerung von Risiken.

Systematische Identifikation von Unternehmensrisiken 150 150 C4B

Systematische Identifikation von Unternehmensrisiken

Teil 2 von 4
Im ersten Teil meines Beitrags zum Risikomanagement habe ich Ihnen schon ein paar Grundlagen des Risikomanagements erläutert, in diesem Beitrag möchte ich Ihnen weiteren theoretischen Unterbau sowie Praxisbeispiele vorstellen.

Risikomanagement im Unternehmen muss als permanenter Prozess verstanden werden und sollte in die bestehenden Managementsysteme integriert werden. Kurz zur Erinnerung: Die vier Teilprozesse des Risikomanagements:

  • Risiken identifizieren
  • Risiken analysieren
  • Risiken bewerten
  • Risiken steuern

Wie geht man im Detail vor?

1. Risikoidentifikation

Im Rahmen der Risikoidentifikation werden alle Risiken, die das Unternehmen betreffen könnten, zuerst identifiziert und anschließend systematisiert. Dies bildet die Grundlage für den sinnvollen und effektiven Umgang mit Risiken. Welcher Art die unternehmerischen Risiken sind, ist natürlich stark von unternehmerischen Besonderheiten abhängig. Ein gutes Risikomanagementsystem (RMS) bildet die individuellen Strukturen des Unternehmens ab. Es gibt verschiedene Ansätze zur Systematisierung, ich finde folgende hilfreich:

  • Allgemeine externe Risiken
    wie politische Rahmenbedingungen, konjunkturelle Entwicklung, Technologiesprünge
  • Leistungswirtschaftliche Risiken
    Ausfall zentraler Produktionskomponenten,
    alle Gefahren, die innerhalb der gesamten Wertschöpfungskette auftreten können (Beschaffung, Produktion, Absatz, Vertrieb)
  • Finanzwirtschaftliche Risiken
    wie Wechselkursschwankungen, Zinsänderungen, Liquidität
  • Umweltrisiken
    Naturkatastrophen, Abfallbeseitigung
  • Interne Risiken
    oder auch Risiken aus Schnittstellen – also Informations- und Kommunikationsdefizite

Zur Identifikation können zahlreiche Instrumente eingesetzt werden, wie Unternehmens- und Umweltanalysen, Befragungen der Mitarbeiter, Checklisten, Früherkennung und -aufklärung sowie Fehlerbaum- und Flow–Chart–Analysen.

Die in unseren C4B Benchmarking Circle befragten Unternehmen unterscheiden folgende Risiko-Kategorien:

Unternehmen A (Konzern, Produzierend):

  • Kartellrecht
  • Gesundheit /Sicherheit und Umwelt im Betrieb
  • Kommunikation inkl. Reputation
  • Rechtlich /Fiskale Risiken
  • Joint Ventures
  • Qualitätsrisiken
  •  Einzelrisiken falls erforderlich

Unternehmen B (Mittelstand, Dienstleister):

  • Arbeitsmarktpolitische Veränderungen
  • Fachkräftemangel
  • Strukturwandel der Förderträger
  • techn. Veränderungen (IT)
  • Datenverlust
  • Liquidität
  • Verlust der Zulassung
  • Negativkampagnen Wettbewerb

Unternehmen C (Konzern, Produzierend):
4 Beobachtungsfelder, die sich in 18 Risikoobergruppen untergliedern:

  • Lieferant (Ausfallrisiko)
  • Kunde (Forderungsausfall, Kundenausfall)
  • Personal (Ausfallrisiko)
  • Finanzen (Währungsrisiko)
  • IT (Ausfallrisiko)
  • Markt (rechtliche Rahmenbedingungen)

Wir haben unsere Unternehmen auch befragt, ob sie denn auch Chancen-Kategorien unterscheiden. Doch nur zwei der befragten Unternehmen erfassen Chancen, bei einem davon fließen diese jedoch nicht in das RMS ein, sondern nur in die 3-Jahres-Planung. Ein Konzern erfasst folgende Chancen:

  • Produktinnovation- und verteilung
  • Standortvorteile
  • Wachstumschancen
  • Personalqualifikation
  • Geschäftsbereich-übergreifende Modelle für DE

Warum die Frage nach Chancen?

Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts.“ (Walter Scheel)

Insbesondere das strategische Controlling ist von seiner Natur aus auf die Entwicklung möglichst günstiger Strategien und weniger auf die Vermeidung ungünstiger Entwicklungen ausgerichtet. Eine ausschließlich auf Risikovermeidung angelegte Unternehmensführung wäre selbst ein Risikofaktor, weil zum langfristigen Überleben jeder Organisation das Entdecken und Wahrnehmen von in der Regel risikobehafteten Chancen gehört. Ein gesundes Risikomanagement sollte sich daher nicht ausschließlich auf Vermeidung von Risiken konzentrieren, sondern auch auf das Erkennen, Bewerten und sorgfältige Abwägen von Chancen und Risiken ausrichten. Hierzu zählen Wachstumschancen oder Chancen durch Innovationen oder neue Geschäftsmodelle. Das gilt auch für die Kommunikation nach außen – werden in Geschäftsberichten oder Bankenreports nur Risiken genannt, so ist nicht erkennbar, welche Chancen dem gegenüberstehen.

Im nächsten Beitrag meiner Serie zum Risikomanagement wird es um die Analyse und Bewertung von Risiken gehen.

Risikomanagement: Vorbeugung als strategischer Erfolgsfaktor 150 150 C4B

Risikomanagement: Vorbeugung als strategischer Erfolgsfaktor

Teil 1 von 4
Kleine und mittelständische Unternehmen haben es nicht nur durch schwankende und globalisierte Märkten mit den gleichen Risiken zu tun wie Großunternehmen, sondern beispielsweise auch durch das Thema Cyberkriminalität: Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden drei von vier aller deutschen Unternehmen im Jahr 2017 Opfer von Cyber-Attacken. Ob Datenschutzverletzungen, Manipulation, Beschädigung oder Verlust von Daten oder zum Internetbetrug – der Schaden, der der Deutschen Wirtschaft durch Spionage, Sabotage und Datendiebstahl entsteht, wird auf jährlich 55 Milliarden Euro beziffert, so eine Studie des Digitalverbands Bitkom. Dabei zeigt sich, dass kleine und mittlere Unternehmen die Gefahren von Cyber-Schäden zu einem großen Teil unterschätzen und als weniger kritisch beurteilen.

Meine Erfahrung ist, dass im Unternehmensalltag Risikomanagement immer noch gerne mit Krisenmanagement verwechselt wird. Während letzteres rückwärtsgewandt die Fehler der Vergangenheit für die zukünftige Fehlervermeidung oder -minimierung nutzt, ist Risikomanagement als zukunftsorientiertes Verfahren auf die Minimierung beziehungsweise Vermeidung zukünftiger Risiken ausgerichtet. Deshalb möchte ich hier auf dem Blog noch einmal das Thema Risikomanagement beleuchten.

Mit jeder unternehmerischen Tätigkeit sind untrennbar Risiken verbunden, sie können den Prozess der Zielsetzung und Zielerreichung negativ beeinflussen. Unachtsamer Umgang mit Risiken kann sich schnell existenzgefährdend auswirken. Dies gilt ganz besonders für mittelständische Unternehmen. Da sich das Risikomanagement mit den Ursachen für Planabweichungen (hier sowohl Chancen als auch und Gefahren) befasst, ergeben sich zwangsläufig viele Berührungspunkte zu Planung und Controlling. Deshalb haben wir das Thema Risikomanagement intensiv in unseren C4B Benchmarking Circles behandelt. Ich möchte Ihnen in den kommenden Blogbeiträgen zum Risikomanagement eine Einführung zum Thema geben sowie Beispiele und Learnings aus der Praxis vorstellen.

Worauf zielt Risikomanagement ab?
Risikomanagement kommt bei allem Praxisbezug nicht ohne theoretischen Unterbau und Systematiken aus. An dieser Stelle deshalb ein kurzer Ausflug. Was bedeutet im unternehmerischen Kontext Risiko? Das Wirtschaftslexikon Gabler definiert Risiko so:
„Kennzeichnung der Eventualität, dass mit einer (ggf. niedrigen, ggf. auch unbekannten) Wahrscheinlichkeit ein (ggf. hoher, ggf. in seinem Ausmaß unbekannter) Schaden bei einer (wirtschaftlichen) Entscheidung eintreten oder ein erwarteter Vorteil ausbleiben kann.“
Einfach gesagt zielt Risikomanagement darauf ab, existenzbedrohende Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

Wie identifiziere ich nun die für das Unternehmen relevanten Risiken und baue mein Risikomanagement auf? Man kann das Risikomanagement zunächst einmal in vier Teilprozesse zerlegen:

  • Risiken identifizieren
  • Risiken analysieren
  • Risiken bewerten
  • Risiken steuern

Mit diesen Teilprozessen haben wir uns im C4B Benchmarking Circle intensiver befasst, deshalb habe ich für Sie den theoretischen Unterbau mit Praxisbeispielen unterfüttert. Bevor wir dazu kommen, ein kurzer Ausflug zu den gesetzlichen Grundlagen:

Gesetzliche Anforderungen an das Risikomanagement nach BILMOG
Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurde der entsprechende § 107 Abs. 3 Satz 2 AktG in das Aktiengesetz eingefügt. Dieser regelt unter anderem erstmalig die Einrichtung eines Prüfungsausschusses aus dem Kreise des Aufsichtsrats und kodifiziert darüber hinaus, dass der Aufsichtsrat bzw. die Mitglieder des eingerichteten Prüfungsausschusses für die Überwachung der Wirksamkeit des internen Kontrollsystems, des internen Revisionssystems sowie des Risikomanagementsystems zuständig sind.

Risikomanagement-Systeme sind nur für kapitalmarktorientierte Unternehmen gesetzlich verbindlich vorgeschrieben. Mittelständler zählen aber immer häufiger dazu. Seit Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 sind Aktiengesellschaften, Gesellschaften mit beschränkter Haftung (GmbHs) und Kommanditgesellschaften auf Aktien (KGaAs) sowie diesen gleichgestellte Gesellschaftsformen wie GmbH & Co. KGs verpflichtet, ein Risikofrüherkennungssystem einzuführen. Börsennotierte Aktiengesellschaften müssen das System auch durch einen Abschlussprüfer prüfen lassen. Mit der hier geregelten „Früherkennung” sind Risiken gemeint, die das Bestands- und Insolvenzrisiko für eine Gesellschaft erheblich steigern oder hervorrufen können. Rein operative Geschäftsrisiken unterhalb der Schwelle der Bestandsgefährdung sind dagegen nicht einbezogen.

Im nächsten Teil meines Beitrags zum Risikomanagement beleuchte ich den ersten der oben genannten vier Teilprozesse des Risikomanagements, die Risikoidentifikation, und gebe Ihnen dazu Praxisbeispiele.

Planung von Wachstumsinitiativen – Risiken einschätzen 150 150 C4B

Planung von Wachstumsinitiativen – Risiken einschätzen

Thorsten Ohm

Gastbeitrag Thorsten Ohm

Bei der operativen Planung von Wachstumsinitiativen ist das Risiko von Fehleinschätzungen hoch. Hilfreich ist es, sich einen Überblick über mögliche Risiken zu verschaffen. Im zweiten Teil seines Gastbeitrags stellt Thorsten Ohm, Berater und Interimsmanager, Waypoint Ventures Pte. Ltd., mögliche Unsicherheiten vor, die in der Planung berücksichtigt werden müssen und wie ein Frühwarnsystem erstellt werden kann. Den ersten Teil des Gastbeitrags können Sie hier nachlesen.

In einem unsicheren Umfeld, ist es hilfreich sich über die Risikoart im Klaren zu werden. In Anlehnung an das Buch 20/20 Foresight von Hugh Courtney können Risiken grob in vier Klassen unterteilt werden:

  1. Eine vorhersehbare Zukunft ohne systematische Informationslücken und dem Vertrauen, dass einzelne Abweichungen sich im gauß’schen Mittel gegenseitig aufheben. Dies ist die perfekte Voraussetzung für den klassischen Planungsprozess mit einem Zielwert als Ergebnis einer gründlichen Analyse- und Abstimmungsarbeit.
  2. Alternative Szenarien mit diskreten Endszenarien in Abhängigkeit von differenzierenden Ereignissen, wenn z.B. eine Akquisition durchgeführt wird, eine entscheidende Regulierung erlassen oder ein Grundsatzurteil gefällt wird. Hier gibt es Analogien zum ersten Fall, aber mit jeweils unterschiedlichen Annahmen für jedes Szenario.
  3. Eine Bandbreite von Lösungen, wenn externe Faktoren sehr weit streuen oder schnell variieren und eine Schlussfolgerung aus historischen Daten nicht möglich ist, z.B. ein Ergebnis in Abhängigkeit von dem Bitcoin-Kurs um ein plakatives Beispiel zu nennen. Diese Risikoklasse hat einige Gemeinsamkeiten mit der Klasse 2, wenn man Segmente aus der Bandbreite herausdefiniert und alternative Endszenarien entwickeln kann. Für Werte im Grenzbereich zwischen den definierten Segmenten und bei sehr schnellen Veränderungen hilft dies allerdings nicht. Die Zukunft bleibt unsicher und kann in einer großen Bandbreite von Möglichkeiten eintreten.
  4. Echte Unklarheit die sich z.B. aus risikoreichen Akquisitionen, technologischen oder politischen Umbrüchen herleiten; insbesondere auch, wenn das eigene Agieren den Gesamtausgang wesentlich beeinflusst. Welche Kräfte dann am Ende die Oberhand gewinnen, ist unmöglich vorherzusehen und eine Szenario-Analyse wie in Klasse 2 oder 3 versperrt sich hier aus der Unzahl und Kombinatorik von möglichen Ausgängen

Im Vorfeld der Planung müssen alle verfügbaren und relevanten Informationen ermittelt und bewertet werden, um das Bewertungsrisiko möglichst auf die verbleibenden tatsächlichen Fakten zu reduzieren. Ein Risiko aus Unwissenheit muss dringend vermieden werden. Ignoranz kann aus dem Mangel an Erfahrung herrühren und könnte durch fremde Expertise behoben werden. Ignoranz im Sinn eines Nicht-Wissen-Wollens ist die gefährlichere Variante, aber nicht selten in der Realität anzutreffen in Abwägung mit höheren oder persönlicheren Zielen.

Frühwarnsystem einrichten
Bei einem Markteintritt hat man es in der Regel in einer Risikoklasse 2 oder 3 zu tun. Nur wenn der Markt doch schon leidlich bekannt ist, ist ein klassischer Planungsprozess wie im Fall 1 erfolgversprechend. Ein Szenario 4 ist zu vermeiden, allerdings sind externe Ereignisse unvorhersehbar und insbesondere politische Risiken können wider Erwarten schnell eintreten.

Ziel einer Unternehmensplanung und der operativen Planung ist es, einen einzigen Zielwert zu ermitteln und die Ressourcen und Aktivitäten auf dieses Ziel auszurichten. Am Ende wird man das Szenario als Planungsreferenz auswählen, das am schlüssigsten die interne wirtschaftliche Logik und die plausiblen Referenzen vereint.

Trotzdem sind die anderen ermittelten Szenarien oder Bandbreiten von hoher Relevanz. Sie helfen eine Übereinkunft über unakzeptable Szenarien zu erzielen, dessen Entwicklung frühzeitig zu erkennen und schon im Vorfeld Gegenmaßnahmen zu erwägen. Diese unakzeptablen Risiken können vielfältiger Natur sein: zum Beispiel ein massiver Finanzierungsbedarf, uneinholbarer Rückstand im Markt oder unhaltbare Risikopositionen. Sie müssen vom Management bewertet werden. Die Szenarien helfen, diese Risiken zu benennen und mit Kenngrößen zu versehen. So können Grenzen gezogen werden und die Organisation hat Orientierungspunkte für ihr Handeln. In einem Beispiel in Osteuropa hat sich herausgestellt, dass Anlaufverluste unterhalb einer kritischen Marge über einen überschaubaren Zeitraum sich nicht mehr durch operative Maßnahmen kompensieren lassen, es gibt im gesamten Markt nicht eine einzige Erfolgsgeschichte: Der Standort funktioniert nicht, manchmal aus nicht beeinflussbaren Gründen: Die Verlegung einer Bushaltestelle kann für frequenzsensitive Geschäfte das Aus bedeuten. Von diesem Zeitpunkt an weiß die Organisation, dass es nur noch darum gehen kann, die Verluste zu minimieren und den Standort ggf. wieder zu abzustoßen, anstatt wertvolle Unternehmens-Ressourcen mit hoher Intensität in einen aussichtslosen und kostenintensiven Turnaround-Versuch zu schicken.

Flexibel reagieren können
Neue Märkte zu entwickeln geht immer mit Risiken einher. Daher ist es gut, eine plausible und nachvollziehbare Zielvorstellung zu haben und die Risiken ihrer Erreichung identifizieren und überwachen zu können.

In der Umsetzung ist es entscheidend immer eine alternative Route offenzuhalten, gegebenenfalls sogar einen Rückzug. Konkrete Aktivitäten, die die Flexibilität reduzieren und dadurch die Risikoauswirkung noch erhöhen, wie z.B. überdimensionierte oder einengende Investitionen, eine großzügige Sicherheitenvergabe oder auch Put-Optionen in einem JV-Vertrag, die wertmäßig den operativen Gewinn deutlich übersteigen. In einem risikoreichen Umfeld ist Flexibilität ein strategischer Vorteil, auch wenn es kurzfristig etwas kostet. Selbst wenn eine bestimmte Geschäftspraxis im Stammgeschäft akzeptabel ist, wäre sie für einen Markteintritt nicht angemessen. Die Risikoauswirkung erhöht sich dramatisch und kann allein durch die Existenz das Tagesgeschäft negative beeinflussen, da mehr Zeit in die Simulation spieltheoretischer Optionen investiert wird („tun oder lassen“) als in die Entwicklung des operativen Geschäftes selbst.

ISO 19600: Antwort auf Compliance-Herausforderungen 150 150 C4B

ISO 19600: Antwort auf Compliance-Herausforderungen

wolf-werner-alebrand-foto.256x256

Wie kann man als Unternehmen Compliance-Regelungen erstellen, die gesetzeskonform und dennoch im Unternehmensalltag praktikabel sind? Im zweiten Teil seines Gastbeitrags stellt Wolf-Werner Alebrand einen Standard vor, der die Umsetzung eines effektiven Compliance Management Systems erleichtert: die ISO-Norm „ISO 19600 Compliance“.

Die Bedeutung von Compliance wächst, trotzdem fällt die Umsetzung nicht leicht. Im ersten Teil meines Beitrags habe ich die Herausforderungen für das Compliance-Management vorgestellt. Im heutigen Beitrag möchte ich die Norm „ISO 19600 Compliance“ als eine mögliche Antwort darauf vorstellen.

Bisher haben viele Unternehmen ihr Compliance Management System (CMS) auf individuelle Ziele und Risikovermeidungsstrategien ausgerichtet, häufig fehlt es an einem einheitlichen Standard. Es gibt einige Standards, die den Unternehmen Orientierung bieten bei dem Ziel, regelwidriges Verhalten des Managements und der Mitarbeiter zu vermeiden. Der ISO 19600, Ende 2014 als Standard für Compliance-Management-Systeme (CMS) veröffentlich, ist der erste internationale Standard bei dem sich verschiedene Länder auf einen gemeinsamen Konsens verständigen konnten. Auch kleine und mittelgroße Unternehmen können von der Norm profitieren, da die Empfehlungen skalierbar sind und abhängig von der Unternehmensgröße in unterschiedlich starker Ausprägung angewandt werden können.

6 Vorteile der ISO 19600 Compliance:

  1. International anerkannter Standard

Bei ISO 19600 handelt es sich um die erste und bislang einzige internationale Norm zum Thema Compliance Management und Compliance Management Systeme (CMS). Sie verkörpert einen weltweiten „Best-Practice“ Standard und wird jetzt schon als Benchmark für angemessene Compliance-Bemühungen genannt.

  1. Hohe Signalwirkung nach Innen und Außen

Mit der Anwendung der ISO19600-Norm können Unternehmen der Erwartungshaltung einer Vielzahl von Stakeholdern gerecht werden (Behörden, Aktionäre, Geldgeber, Mitarbeitende, Kunden und Lieferanten, Öffentlichkeit, NGOs, Medien, Ratingagenturen etc.), denn diese stellen zunehmend höhere Erwartungen an ein CMS. Dessen Anwendung zeigt Partnern weltweit, dass ihre Organisationen ihre Prozesse auf Regelkonformität ausgerichtet haben. Auch nach innen – den Mitarbeitern gegenüber – hat die Norm eine starke Signalwirkung: Sie ist Ausdruck eines starken Bekenntnisses des Unternehmens zu Compliance. Das ist wichtig, damit sich die Bedeutung von Compliance auch im Bewusstsein der Mitarbeiter verankert, denn es können niemals alle im täglichen Geschäftsverlauf anfallenden Situationen vorab geregelt werden.

  1. Skalierbar für jede Unternehmensgröße und -risiken

Aufgrund der Tatsache, dass die Empfehlungen in der ISO 19600-Norm allgemein gehalten sind, lassen sich die unternehmensspezifischen Besonderheiten (Größe des Unternehmens, Branche, unternehmensspezifische Compliance-Risikolage) bei der Einsetzung, Verbesserung oder Weiterentwicklung eines CMS berücksichtigen.

  1. Flexibel in seiner Anwendung (risikobasiert)

Eine praxisorientierte laufende Risikobewertung ist zentrales Element des CMS nach ISO 19600. Durch die Verbindung der Risikobeurteilung mit den Tätigkeiten, Produkten und Dienstleistungen der Organisation und ihrer Mitarbeiter werden mögliche Verstösse identifiziert, in deren Zusammenhang es zu einer Nichteinhaltung von Compliance-Verpflichtungen, und damit ggf. zu Gefährdungen, Strafen/Verlusten für die Mitarbeiter und das Unternehmen direkt oder indirekt kommen kann. Die möglichen Nichteinhaltungen werden nach Schwere ihrer Folgen sowie der Wahrscheinlich ihres Eintretens analysiert und bewertet. Danach werden dazu passende Compliance-Verpflichtungen ausgewählt oder neu entwickelt, deren Einhaltung durch Maßnahmen des CMS sichergestellt werden sollen. So wie im klassischen Risikomanagement muss die Risiskobeurteilung in ausreichenden Intervallen erneuert werden, um möglichen Veränderungen zeitnah im CMS Rechnung zu tragen.

  1. In bereits bestehende Management-Systeme integrierbar

Das CMS nach ISO 19600 basiert auf dem klassischen PDCA-Zyklus (Plan-Decide-Check-Amend). Diese dynamische Managementstruktur ist in der Regel bereits für das bestehende Risikomanagement, z.B. im Rahmen eines IKS (Internes Kontroll System), etabliert. Es gilt also hier, die Compliance Risiken geordnet aufzunehmen und entsprechende präventive Verhaltensrichtlinien vom Eigentümer bzw. Aufsichtsgremium Top-Down über Geschäftsführung bzw. Vorstand bis in die Organisation hinein zu integrieren. Das CMS muss nicht vollständig neu aufgesetzt, sondern kann vielmehr als Erweiterung des bestehenden Management Systems angefügt werden.

  1. Kann zertifiziert werden – muss aber nicht

Die ISO 19600 ist eine reine Empfehlungsnorm, sie enthält im Gegensatz zu anderen Systemnormen keine verpflichtenden „Muss- oder Kann-Bedingungen“ sondern verwendet ausschließlich die Formulierung „sollte“. Damit zählt sie nicht zu den klassischen Zertifizierungsnormen, was aber nicht bedeutet, dass man sich nicht nach dieser Norm zertifizieren lassen kann.

Und wie baut man nun ein CMS auf?

Eine Compliance-Architektur sieht für jedes Unternehmen anders aus. So müssen Branchenbesonderheiten, aber auch die Größe und Ausrichtung sowie die Anzahl der Mitarbeiter eines Unternehmens berücksichtigt werden. Sie machen individuelle Lösungen und eine unternehmensspezifische Anpassung des Compliance-Systems erforderlich. Die Norm ISO 19600 bildet eine gute „Leitplanke“, um je nach individuellen Voraussetzungen des Unternehmens, also Geschäftsfeld, Größe oder bereits existierende Compliance-Strukturen, ein praxisorientiertes CMS aufzusetzen.

Die Phasen der Installation eines Compliance-Management-Systems:

  • Entscheidungsphase: Das Unternehmen muss den Entschluss fassen, ein solches System installieren zu wollen.
  • Analysephase: Zu Beginn ist eine Risikoanalyse durchzuführen, der Ist-Zustand festzustellen und mit dem angestrebten Soll-Zustand zu vergleichen.
  • Umsetzungsphase: Auf Basis der Analyse wird ein entsprechendes internes Regelwerk erarbeitet und dokumentiert.
  • Implementierung, Training und Anwendung.

Fazit
Compliance in der Unternehmenskultur zu verankern heißt, nicht nur Verbote und Strafen aufzustellen, sondern praktische Handlungsempfehlungen zu geben. Dabei geht es darum, sowohl den Mitarbeitern als auch der Geschäftsführung eine Richtschnur für akzeptables und damit richtiges Verhalten an die Hand zu geben. Jeder im Unternehmen muss in die Lage versetzt werden, einschätzen zu können, ob sein Verhalten den relevanten Normen im konkreten Tätigkeitsumfeld entspricht, und damit „compliant“ ist. Eine Compliance-Architektur, wie es die ISO 19600 vorschlägt, ist dabei ein geeignetes Fundament und bietet zugleich eine international anerkannte Basis für die praktische Ausgestaltung eines effektiven CMS egal ob kleine, mittlere oder große Unternehmen bzw. Organisationen.

Kontakt Alebrand: Mail, XING, LinkedIn