Getty Images/iStockphoto
Risikominderungsstrategien zum Schutz von Geschäftsabläufen
Unternehmen, die Bedrohungen fürchten, haben mehrere Möglichkeiten, Risiken zu erkennen, zu bewältigen und zu mindern, darunter Risikoakzeptanz, -vermeidung und -übertragung.
Ohne Risiken, die es zu bewältigen, und ohne Bedrohungen, die es zu entschärfen gilt, wäre das Leben in Unternehmen um ein Vielfaches einfacher. Interne und externe Risiken sowie Bedrohungen können die vier kritischen Elemente, die die meisten Unternehmen für ihren Betrieb benötigen, stören oder zerstören: Menschen, Prozesse, Technologie und Anlagen. Jedes dieser vier Elemente kann Schwachstellen aufweisen.
Als Teil eines Unternehmensrisikomanagementprogramms müssen Strategien zur Risikominderung nicht nur Risiken und Bedrohungen, wie zum Beispiel organisatorische Risiken, identifizieren, sondern auch die Bedeutung der Identifizierung von Schwachstellen hervorheben, die die Tür zu Risikoereignissen öffnen könnten.
Planung der Risikominderung
Zur Bewältigung von Risiken, Bedrohungen und Schwachstellen müssen diese identifiziert, validiert und analysiert werden, um die Wahrscheinlichkeit ihres Auftretens und ihre Auswirkungen auf die Geschäftsprozesse, Mitarbeiter und Finanzen des Unternehmens zu ermitteln. Es sollte eine Prioritätenliste erstellt werden, in der jedes Risiko nach der Wahrscheinlichkeit seines Eintretens und der Schwere seiner Auswirkungen auf das Unternehmen eingestuft wird. Ein Ereignis mit hoher Eintrittswahrscheinlichkeit, das nur geringe oder gar keine Auswirkungen auf das Unternehmen hat, wie zum Beispiel ein Mitarbeiter, der sich einen Tag lang krank meldet, wird anders behandelt als ein Ereignis mit geringer Eintrittswahrscheinlichkeit und großen Auswirkungen wie ein Erdbeben.
Gemeinsame Strategien zur Risikominderung
Sobald eine Prioritätenliste erstellt wurde, sollten Sie eine Strategie entwerfen und die erforderlichen Maßnahmen planen, um das Risiko, die Bedrohung oder die Schwachstelle zu mindern. Im Folgenden werden die sieben am häufigsten verwendeten Risikominderungsstrategien mit einigen Modifikationen vorgestellt.
1. Das Risiko akzeptieren und damit umgehen
Das Unternehmen stuft ein Risiko als ausreichend unbedrohlich für den Geschäftsbetrieb ein und kann auf das Auftreten einer Bedrohung wirksam reagieren. Beispiele für die Akzeptanz eines Risikos sind: das Risiko von Verzögerungen im Produktionsplan akzeptieren, ohne dass dem Unternehmen dadurch ein Schaden entsteht; Anpassungen der Budgeterwartungen akzeptieren; und die Notwendigkeit akzeptieren, dass Mitarbeiter weiterhin aus der Ferne arbeiten.
2. Vermeiden des Risikos
Das Unternehmen trifft eine bewusste Entscheidung, um den Umgang mit einem bestimmten Risiko und dessen Folgen zu vermeiden. Beispiele für Risikovermeidung sind: Identifizierung spezifischer Risiken und geeigneter Abhilfemaßnahmen oder alternativer Prozesse zur Vermeidung potenzieller negativer Folgen; Identifizierung aller Kosten und unerwarteter Kosten für ein Projekt zur Vermeidung von Budgetüberschreitungen; Identifizierung qualifizierter alternativer Mitglieder eines Projektteams, die bei Bedarf einspringen können, um Projektverzögerungen zu vermeiden.
3. Das Risiko bewältigen
Wenn ein identifiziertes Risiko auftritt, verlangsamt oder beendet das Unternehmen das Ereignis auf ein akzeptables Niveau, bevor es so weit fortschreitet, dass es das Unternehmen schädigen kann. Beispiele für die Bewältigung von Risiken sind: Evakuierung von Mitarbeitern vor einem schweren Sturm, um potenzielle Lebensgefahr zu minimieren; Inbetriebnahme von Notstromsystemen bei einem Stromausfall, um die Betriebsunterbrechung so gering wie möglich zu halten; Erkennung einer Anomalie in der Cybersicherheit und sofortige Isolierung der Malware, bevor sie in die interne Computerumgebung des Unternehmens eindringen kann.
4. Priorisierung des Risikos
Wenn mehr als ein Risikoereignis gleichzeitig eintritt, wie zum Beispiel ein schwerer Sturm und ein Stromausfall, erstellt das Unternehmen eine Prioritätenliste mit Maßnahmen, um die kritischsten Risiken zuerst anzugehen. Beispiele für die Priorisierung von Risiken sind: Aktivierung von Backup-Verfahren zum Schutz von Systemen und Daten aufgrund einer drohenden Überschwemmung und möglicher Wasserschäden in einem Büro; Löschen eines Feuers, Abschalten der Stromversorgung und Benachrichtigung des Stromversorgers und der Feuerwehr, wenn ein Blitzschlag einen Transformator zur Explosion bringt.
5. Kontrolle und Management des Risikos
Sobald die Risiken identifiziert, bewertet und nach Prioritäten geordnet sind, befasst sich das Unternehmen mit den spezifischen Risikofällen und dokumentiert und testet diese Maßnahmen, um sicherzustellen, dass sie angemessen sind und in der richtigen Reihenfolge erfolgen. Beispiele für Risikokontrolle und -management sind die Festlegung von Richtlinien, zum Beispiel für die physische Sicherheit und die Data Protection, die Entwicklung von Plänen für die Business Continuity und das Disaster Recovery von Technologien sowie die Entwicklung von Methoden zur Verfolgung des Zeit- und Kostenaufwands für Projekte, um sicherzustellen, dass die Liefertermine eingehalten und Kostenüberschreitungen vermieden werden.
6. Übertragen Sie das Risiko
Schwierigkeiten, die mit einem bestimmten Risiko verbunden sind, werden auf eine andere Partei übertragen, häufig auf Versicherungsgesellschaften für die Deckung von Risiken wie die Cybersicherheits-Haftpflichtversicherung. Beispiele für den Risikotransfer: Abschluss einer Betriebsunterbrechungsversicherung zur Deckung ungeplanter Ausgaben nach einem Cyberangriff; Verringerung der Wahrscheinlichkeit von Projektpannen durch Beauftragung eines Projektmanagementunternehmens mit der Überwachung eines besonders schwierigen Projekts; Einschaltung der Finanzabteilung des Unternehmens zur Vermeidung von Projektkostenüberschreitungen.
7. Dokumentieren und überwachen Sie das Risiko
Alle Aspekte des Risikomanagements im Unternehmen, wie Risikoprofile, Risikofaktoren und inhärente Risiken, werden in jeder Phase des Prozesses sorgfältig dokumentiert. Ebenso werden alle risikobezogenen Aktivitäten überwacht, um sicherzustellen, dass alle Probleme schnell erkannt und angegangen werden. Beispiele für die Risikodokumentation und -überwachung sind die Kostenüberwachung, um ungeplante Ausgaben zu vermeiden, die ein Projekt über das Budget hinausschießen lassen könnten, die Überwachung betrieblicher Aktivitäten, um Probleme mit der Einhaltung von Vorschriften zu verhindern, und der Einsatz von Intrusion-Detection-Systemen und Firewalls zur Überwachung des ein- und ausgehenden Datenverkehrs, um verdächtige Datenpakete zu identifizieren, die auf einen Cyberangriff hindeuten könnten.
Vorbereitet sein
Strategien zur Risikominderung sind ein wichtiger Bestandteil des gesamten Risikomanagementprogramms eines Unternehmens und der damit verbundenen Planungsaktivitäten zur Risikominderung. Da mehrere Strategien zur Verfügung stehen, haben Risikomanager eine Vielzahl von Werkzeugen, um mit Geschäftsrisiken, Bedrohungen und Schwachstellen im Unternehmen umzugehen. Auch wenn für verschiedene Risiken unterschiedliche Strategien eingesetzt werden können, sollten definitive Risikominderungsstrategien vorhanden und einsatzbereit sein.