Nachdem alle Risiken identifiziert, bewertet und behandelt worden sind, dürfen wir uns leider nicht zurücklehnen und über die getane Arbeit freuen (ein bißchen natürlich schon).
Risiken müssen überwacht werden.
Dazu zählt neben der Überwachung des Risikos selbst und dem Erfolg der getroffenen Maßnahmen zur Reduktion von Eintrittswahrscheinlichkeit und Auswirkung auch die Beobachtung veränderter Rahmenbedingungen.
Kurzer Rückblick: Innerhalb des Risikomanagementkreislaufs befinden wir uns nun also an Punkt 4, der Risikoüberwachung.
Was ist das Ziel der Risikoüberwachung?
Das Hauptziel der Risikoüberwachung besteht darin, sicherzustellen, dass
die Risikolandschaft weiterhin so existiert, wie zum Zeitpunkt der Bewertung
die getroffenen Maßnahmen der Risikobehandlung effektiv sind
es keine Änderungen in der Abhängigkeit von Maßnahmen gibt (Zusammenwirken verschiedener Maßnahmen)
keine Änderung von internen Prozessen sich negativ auf das Risiko auswirkt
die Risikobewertung weiterhin zutreffend ist (z.B. durch veränderte Marktbedingungen oder Angreifermotivation)
Wir wollen durch die Risikoüberwachung sicherstellen, dass wir die behandelten Risiken weiterhin effektiv reduzieren, die Maßnahmen wirken und wir dynamisch auf veränderte Umgebungsvariablen reagieren können.
Da Risiken nie statisch sind, sondern durch Aktionen (intern wie extern initiiert) getriggert werden, kommt der Risikoüberwachung eine hohe Bedeutung zu.
Beispiele:
Wir haben eine Cyberversicherung abgeschlossen, um einen Teil unseres Risikos zu transferieren. Die Cyberversicherung stellt nun neue Anforderungen an uns, sowohl technologisch als auch prozessual, daher muss geprüft werden, ob wir die Anforderungen erfüllen (können und wollen) oder ob wir eine Veränderung der Maßnahmen vornehmen müssen.
Die Geschäftsführung möchte einen neuen Markt erschließen, wir müssen daher nicht nur prüfen, ob dadurch neue Risiken entstehen, sondern auch, ob unsere existierenden Risiken sich dadurch verändern, z.B. durch veränderte rechtliche Anforderungen und Branchenanforderungen für den neuen Markt.
Die IT installiert eine neue Firewall, die veränderte Möglichkeiten und neue Sicherheitsfeatures bietet, daher sind die Risiken, welche durch eine Firewall behandelt werden, hinsichtlich der Veränderungen zu prüfen. Insbesondere ist auch zu klären, ob durch eine Veränderung der Firewall, andere Maßnahmen, die darauf basieren oder damit in Zusammenhang stehen, ebenfalls angepasst werden müssen.
Es kann auch schlicht passieren, dass sich die Zuständigkeit für ein Risiko verändert, weil der Risikoeigner wechselt oder nun mehr Verantwortung übernehmen darf und dadurch Anpassungen erforderlich werden.
Das Ergebnis der Risikoüberwachung ist eine Bestätigung
des Risikos,
der Eintrittswahrscheinlichkeit und Auswirkungen, sowie
der behandelnden Maßnahmen,
oder die Risikobehandlung initiiert, dass eben genau hier Änderungen erforderlich sind.
Diese Änderungen erfolgen gemäß den bekannten Schritten des Risikomanagements.
Zuständigkeit:
Für die Risikoüberwachung ist grundsätzlich der Risikoeigner verantwortlich, wobei hier die 2nd Line Funktion (das übergreifende Risikomanagement-Team) und auch die interne Revision (3rd Line) Initiator sein können.
Wie oft sollte ein Risiko überwacht werden?
Die Risikoüberwachung ist eine durchgehende Aufgabe, das zuständige Team sollte über alle Veränderungen im Unternehmen informiert sein und gleichzeitig selbst die Risikolandschaft überblicken, sowie Veränderungen, die sich auf die Risiken des Unternehmens auswirken können. Aus diesem Grund ist bei allen unternehmerischen Entscheidungen die Einbindung der Risikoexperten wichtig, damit so früh es geht Brainstorming hinsichtlich bestehender und neuer Risiken durchgeführt werden kann.
Fazit:
Die Risikoüberwachung ist der letzte wichtige Schritt im Risikomanagement, aber nur ein Schritt in der durchgehenden und wiederkehrenden Verwaltung von Risiken.
Ein Unternehmen tut gut, entsprechende Triggerpoints zu definieren, diese können Änderungen an Technik, Personal oder unternehmerischer Ausrichtung sein oder ein Zeitfenster vorgeben, nach welchem eine erneute Prüfung aller Risiken erfolgt.
Turnusmäßig sollten Risiken in der Häufigkeit nach ihrem Schweregrad erneut geprüft werden. Gerade bei dem TOP-Risiken mit den schwerwiegendsten Auswirkungen auf den Geschäftsbetrieb ist es essenziell, dass hier nicht verpasst wird, notwendige Anpassungen vorzunehmen.
Durch das Risikomonitoring werden dann die anderen Phasen des Risikomanagements erneut angetriggert und so kann sichergestellt werden, dass das Unternehmen über ein effektives Risikomanagement verfügt und Maßnahmen auch effektiv Risiken mindern. Nicht selten ergibt sich, dass eine Maßnahme zwar gut geplant aber am Ende kaum effektiv ist und Veränderungen erfordert. Nicht selten ergibt sich auch, dass die Kosten einer Maßnahme falsch geplant wurden und daher die Maßnahme nicht im geplanten Umfang umgesetzt worden ist.
Ohne eine strukturierte Risikoüberwachung fällt dies möglicherweise erst auf, wenn es zu spät ist und ein Schaden eintritt.
Mit diesem Beitrag endet meine Serie zum Thema Risikomanagement.
Dieser Beitrag ist als Kurzübersicht zu verstehen, das Thema Risikomanagement ist insgesamt wesentlich komplexer, bei Fragen kommen Sie gern direkt auf mich zu.
Comments