Docstoc

cr

Document Sample
cr Powered By Docstoc
					Cyber Risks
IT-Risiken und Grenzen traditioneller Risikofinanzierungprodukte

Autor: Frank Romeike

Quelle und Copyright: Frank Romeike in: Zeitschrift für Versicherungswesen, Jg. 51,
Heft 17 v. 01.09.2000, S. 603-610


1. Überblick zur Entwicklung der Risikolandschaft
Das Umfeld der Unternehmen auf dem Weg ins 21. Jahrtausend ist geprägt durch einen
zunehmenden globalisierten Wettbewerb auf deregulierten Märkten, eine globalisierte
Geschäftstätigkeit, eine wachsende Komplexität, anspruchsvollere Kunden sowie
rasanten Entwicklungen im Bereich Informationstechnologie (IT).

Die optimale Informationsverteilung sowie die Integration der Unternehmensprozesse,
der IT und dem Web werden zunehmend zum strategischen Erfolgsfaktor. Es seien hier
nur einige Begriffe aufgeführt: E-Business, Supply Chain Management, Data
Warehouse, Knowledge Management. Die technische Abhängigkeit der Kernprozesse
von der IT in der Wertschöpfungskette nimmt rapide zu- und damit auch die IT
bezogenen Risiken.

Die IT Prozesse in einem Unternehmen unterstützen auf der einen Seite die
Kernprozesse eines Unternehmens und              reduzieren dadurch auch die
Unternehmensrisiken. Gleichzeitig beinhaltet die Informationstechnologie jedoch
wiederum ein neues Risikopotenzial. Die wesentlichen Risikokategorien im IT Bereich
sind insbesondere
Organisatorische Risiken, d.h. sind beispielweise Daten vor unzulässigen Zugriffen
geschützt?

Anwendungs-und prozessbezogene Risiken, d.h. existieren beispielsweise
Schnittstellenprobleme oder basiert die IT auf unzähligen isolierten Insellösungen?
Projektbezogene     Risiken,   d.h.     führen    Projekte     zu     Termin-    und/oder
Kostenüberschreitungen oder wird kein professionelles Projektmanagement eingesetzt?
Kosten- und leistungsbezogene Risiken, d.h. existiert eine IT-Kostenrechnung mit
verursachungsgerechter Verteilung der Kosten?

Infrastrukturelle Risiken, d.h. sind ausreichende physische Sicherungsmaßnahmen
vorhanden und stellen Business Recovery Pläne sicher, dass Behinderungen des
Betriebsablaufs nach einer IT Unterbrechung minimiert werden.

Neben den traditionellen IT Risiken (vgl. Abbildung 1) sind in den letzten Jahren neue
Risiken - insbesondere in der Folge der zunehmenden Integration der
Unternehmensprozesse mit der IT und dem Internet - entstanden. In der New Economy
haben wir es partiell mit Unternehmen zu tun, die rein virtuell im Internet existieren.
Nicht erst der Wurm „I love you“ sorgte für ein Chaos bei vielen Unternehmen.
Lawinenartig verteilte sich der Wurm über das Internet und legte Tausende von Servern
weltweit lahm. Das amerikanische Computer Response Team schätzt, dass „I love you“
weltweit Arbeitsstunden im Wert von 10 Mrd. US- Dollar vernichtete. Unter
Berücksichtigung anderer Vermögensschäden kommt man leicht auf mehrere 100 Mrd.
US-Dollar. Nach Schätzungen von Network Associates waren etwa 30 % aller E-Mail-
Systeme von britischen Unternehmen und sogar 80 % aller E-Mail-Systeme
schwedischer Unternehmen zusammengebrochen. Nur schwer zu quantifizieren ist der
Imageschaden sowie ein Verlust des Markenwertes. (3)

Vierzehn Tage nach „I love you“ trieb bereits eine neue Version ihr Unwesen im World
Wide Web (WWW). Diesmal wurden jedoch nicht nur bestimmte Dateitypen gelöscht,
sondern ganze Verzeichnisse. Realistisch muss man beachten, dass „I love you“ ein
„digitales Muskelspiel“ war. Vorstellbar sind auch andere Szenarien. Anzumerken ist in
diesem Zusammenhang auch, dass der typische Internet-Kunde keine große Loyalität
gegenüber einer bestimmten Marke hat, da der Mitbewerber ja gerade einen „Klick“
entfernt seine Dienste und Waren offeriert.

Erst vor wenigen Monaten waren die Server des Webkataloges Yahoo!, des Online
Buchhändlers Amazon, des virtuellen Auktionshauses eBay, des Nachrichtensenders
CNN Ziel einer Distributed-Denial-of-Service-Attacke (DDoS). Bei einer Denial-of-
Service-Attackewird eine Angreiferprogramm zunächst unbemerkt auf möglichst vielen
Rechnern installiert, die dann gemeinsam einen Webserver mit so vielen Anfragen
bombardieren, dass dieser unter der Last unkontrolliert kollabiert. Vor einigen Wochen
war von einer neuen Waffe mit dem Codenamen „Mstream“ zu hören. (4)

Basierend auf einer Umfrage des Computer Security Institute (CIS) und des Federal
Bureau of Investigation (FBI) stellten drei Viertel der befragten Unternehmen (es wurden
643 Sicherheitsverantwortliche in US-Unternehmen befragt) fest, dass während der
letzten zwölf Monate ernsthafte Angriffe festgestellt wurden. Unter ernsthaften Angriffen
werden DDoS-Attacken, Sabotage von Daten und Netzwerken sowie das Eindringen in
Computersysteme verstanden.

Zusammenfassend kann festgestellt werden, dass für viele Unternehmen (insbesondere
reine Internetunternehmen) neue Risiken im IT Bereich entstanden sind. Hervorzuheben
sind Imageschäden, neue Haftpflichtrisiken, Key-Positionen sowie DDoS-Attacken.

Die Frage, die sich Unternehmen stellen, ist nun: Reichen traditionelle
Risikofinanzierungsprodukte aus, um sich vor den finanziellen Folgen obiger Risiken zu
schützen? Welche Risiken sollen überhaupt versichert werden? Welche Besonderheiten
sind bei den neuen E-Commerce/E-Business Versicherungslösungen zu beachten?’


2. Grenzen der Risikofinanzierung und Versicherung
Eine Übersicht über die traditionellen Versicherungslösungen für IT Risiken zeigt
Übersicht 2. Bei den traditionellen Sachwertversicherungen handelt es sich in der
Regel um Ausschnittsdeckungen, d.h. Versicherungsschutz wird nur für ganz bestimmte
Gefahren, beispielsweise Feuer, Leitungswasser, Sturm etc. gewährt.

Im Gegensatz dazu handelt es sich bei der Elektronikversicherung um eine sogenannte
Allgefahrendeckung (All-Risk-Deckung), die insbesondere Schäden an der Hardware
und Peripherie durch Fahrlässigkeit und Vorsatz Dritter, Brand, Blitzschlag, Wasser,
Einbruchdiebstahl und höhere Gewalt versichert. Beispiel: Unbekannte Täter dringen in
das Rechenzentrum ein und werfen Drucker und PCs auf den Boden.

In der Softwareversicherung werden demgegenüber die Wiederbeschaffungs- /
Rekonstruktionskosten für Schäden an gespeicherten Daten und Datenträgern auch
dann ersetzt, wenn der Schaden durch höhere Gewalt, Über/Unterspannung, fehlerhafte
Bedienung oder Vorsatz Dritter (Hacker, Computerviren) verursacht wurde. Beispiel:
Durch Hackerangriffe / Computerviren werden Daten gelöscht bzw. beschädigt.

In der Mehrkostenversicherung sind Mehrkosten / Überbrückungskosten, die durch
einen Sachschaden entstanden sind, versichert. Voraussetzung ist ein
Kausalzusammenhang zur versicherten Hardware. Ein entgangener Gewinn wird nicht
ersetzt. Beispiel: Zeitabhängige Mehrkosten durch Benutzung fremder Backup-Systeme
oder Inanspruchnahme eines Service-Rechenzentrums.

In der Betriebsunterbrechungsversicherung wird neben den laufenden Kosten infolge
eines Sachschadens auch der entgangene (Betriebs-)Gewinn ersetzt. Beachtet werden
muss, dass eine Feuer-Betriebsunterbrechungsversicherung nicht ausreicht, da IT
Risiken nicht gedeckt sind. Der Versicherungsschutz erstreckt sich in der Regel auf
Fahrlässigkeit,  unsachgemäße      Handhabung,      Vorsatz     Dritter,   Kurzschluss,
Überspannung und Wasser. Unterbrechungsschäden, die auf Sachschäden an
Datenträgern zurückzuführen sind, ersetzen die Versicherer nicht. Beispiel: Durch einen
Brand wird ein Rechenzentrum zerstört. Der Versicherer ersetzt sowohl die
Inanspruchnahme eines Service-Rechenzentrums (Schadenminderungskosten) als
auch den ausgebliebenen Ertrag.

In der Vertrauensschadenversicherung werden Vermögensschäden, die aufgrund
innerbetrieblicher (optimal auch außerbetrieblicher) Kriminalität entstehen, ersetzt.
Voraussetzung für die Leistungspflicht sind diverse Obliegenheiten, die der
Versicherungsnehmer zu erfüllen hat.

In der Computer-Missbrauch-Versicherung sind Vermögensschäden, die aufgrund
innerbetrieblicher Kriminalität oder vorsätzlicher Handlungen in einem unmittelbaren IT
Zusammenhang stehen, versichert. Beispiel: Ein Angestellter richtet falsche Konten ein;
Geld wird vom Firmenkonto auf diese Konten transferiert.
Auch in der Haftpflichtversicherung - insbesondere der Vermögensschaden-
Haftpflichtversicherung - sind IT Risiken partiell versichert.

Ausgehend von einem unternehmerischen Bedürfnis nach Bilanzschutz und effizienten
Risikofinanzierungslösungen muss festgestellt werden, dass die traditionellen
Versicherungsprodukte nur sehr partiell den Bedürfnissen der Kunden Rechnung
tragen. Die Risiken, die über die traditionellen Produkte versichert werden können, sind
nicht unbedingt die größten Risiken, denen ein Unternehmen in der veränderten
Risikolandschaft gegenübersteht. Erinnert sei hier nur an Imageschäden,
Garantieverpflichtungen, Abgang von Key-Managern.
In der Zwischenzeit hat die Versicherungsbranche spezielle E-Commerce/Internet
Versicherungen auf den Markt gebracht, die auf obigen traditionellen
Versicherungslösungen aufbauen. Einige Grenzen traditioneller Produkte werden
überwunden. Jedoch handelt es sich immer noch nicht um Lösungen, die an den
Bedürfnissen der Unternehmen (Stichwort: Bilanzschutz) ausgerichtet sind.

Bilanzschutzkonzepte orientieren sich weniger an dem Kriterium der Versicherbarkeit
bzw. dem Transfer von singulären Risikoklassen. Ziel ist vielmehr die Erfolgsrechnung
bzw. Bilanz vor negativen Risikoauswirkungen zu schützen.
Welche Rolle spielt die Versicherung bei der Risikofinanzierung? Zunächst einmal ist es
wichtig festzustellen, das Versicherungslösungen nur eine Möglichkeit der
Risikobewältigung darstellen.

Basierend     auf  den    geänderten       Kundenbedürfnissen       (insbesondere    bei
Industrieunternehmen und Unternehmen der NewEconomy) und der veränderten
Risikolandschaft gewinnen die folgenden Kriterien für Risikofinanzierungslösungen an
Bedeutung:
    Größere Kapazitäten (evtl. auch unter Nutzung der Finanzmärkte)
    Beteiligung der Unternehmen am eigenen Schadenverlauf
    Höhere Effizienz des Risikotransfers
    Höhere Selbstbehalte
    Ergänzende Serviceleistungen, bspw. Im Bereich Risk Management
    Risikofinanzierung auch traditionell als „nicht versicherbar“ geltender Risiken
    Bilanzschutzkonzepte, um eine Stabilität von Ergebnis und Liquidität zu sichern.

Bis zum heutigen Tag sind die Mehrzahl aller Versicherungsprodukte an der
aufsichtsrechtlich geprägten Spartentrennung ausgerichtet. Die Bedürfnisse der
Unternehmen können mit diesen traditionellen Produkten nur partiell befriedigt werden.
Insbesondere Risiken im „High Severity“ Bereich können mit traditionellen Produkten
nicht befriedigt werden.

Risiken im „High Frequency“ Bereich wiederum werden in der Regel von den
Unternehmen selbst getragen (Captive Lösungen, Selbstbeteiligungen etc.)
Viele Unternehmen betrachten die Risiken nicht ganzheitlich bzw. holistisch; dadurch ist
auch kein effizienter Risikotransfer möglich. Basierend auf der Portfolio-Theorie profitiert
ein Unternehmen von einem Diversifikationseffekt innerhalb des Risikoportefeuilles
infolge der unterschiedlichen Korrelationen der einzelnen Risiken. Für die Festlegung
eines Selbstbehaltes und für einen effizienten Risikotransfer ist daher eine Betrachtung
der Risiken als Portefeuille wichtig. Des weiteren sollte ein Unternehmen nur die Risiken
transferieren, die mit den eigentlichen Kernkompetenzen verbunden sind.

Über Versicherungslösungen sollte nur bei existenzbedrohenden Risiken nachgedacht
werden, denn die totale Sicherheit ist kein originäres Ziel für ein Unternehmen.
Brühwiler et al. (5) kommen zu dem Ergebnis, dass bei traditionellen
Versicherungsprodukte nur zu 20 bis 30 % der Bruttoprämie dem eigentlichen
Bilanzschutz dienen. Versicherungssteuern, Makler-Courtage, Administration sowie
weitere Transaktionskosten absorbieren einen großen Teil der Prämie. Der rasche
Wandel     der    Risikolandschaft      lassen      diese     Ineffizienzen   traditioneller
Versicherungsprodukte immer stärker hervortreten.

Diese Ineffizienzen traditioneller Versicherungsprodukte haben zur Entstehung neuer,
innovativer Risikofinanzierungslösungen beigetragen. Diese Produkte werden unter
dem Begriff ART (Alternative Risk Transfer) zusammengefasst.

Abbildung 3 gibt einen Überblick über die Risikofinanzierungslösungen und -kanäle.
Der      Übergang      zwischen     traditionellen   und      alternativen/innovativen
Risikotransferlösungen ist fließend. Traditionelle Risikofinanzierungslösungen sind
durch niedrige variable Schadenkosten und hohe Transaktionskosten gekennzeichnet.
Demgegenüber sind bei ART Lösungen die variablen Schadenkosten höher und die
Transaktions- und Verwaltungskosten niedriger.
Kennzeichen von ART Produkten sind primär:
   Lösungen werden gesucht, unabhängig davon, ob Risiken aus traditioneller Sicht
     als „versicherbar“ gelten oder nicht.
   Mehrjährige Deckungen
   Risikoausgleich      über die Zeit und innerhalb des Risikoportfolios
     (Bilanzschutzkonzepte)
   Maßgeschneiderte Lösungen (nicht Produkte)
   Häufig Einbezug traditionell nicht versicherbarer Risikoklassen
   Teilweise Nutzung des Kapitalmarktes

Vor dem Hintergrund volatiler Finanzmärkte und einer zunehmenden Konvergenz von
Versicherungs-, Bank- und Kapitalmarktlösungen ist eine breite Palette von Lösungen
entstanden, mit deren Hilfe sowohl traditionelle Versicherungsrisiken als auch bislang
nicht versicherbare Risiken finanziert oder externalisiert werden können. Die
Versicherungswirtschaft muss umdenken und sollte noch intensiver über alternative
Lösungen - auch unter Einbezug des Kapitalmarktes - nachdenken.
Im folgenden werden einige ART-Ausprägungen skizziert.

Captive-Lösungen sind sicherlich die bekannteste Form der alternativen
Risikofinanzierung. Bei einer Captive handelt es sich um eine Erst- oder
Rückversicherungsgesellschaft, die einem einzelnen oder einer Gruppe von Industrie-,
Handels- oder Finanzunternehmen gehört und die primär die Risiken der Eigentümer
übernimmt. Captives sind ein sinnvolles Instrument für Frequenzschäden, da kleinere
und mittlere Schäden im Eigenbehalt des Captive-Eigentümers bleiben. Ein echter
Risikotransfer findet lediglich im „Low Frequency/High Secerity“ Bereich statt, indem
Versicherungsdeckungen im Direkt-/Rückversicherungsmarkt eingekauft werden.

Ein weiterer Vorteil einer Captive ist der direkte Zugang zum Rückversicherungsmarkt
mit niedrigeren Transferkosten und Risikoprämien. Aus finanzieller Sicht bietet eine
Captive den Vorteil, dass in der Regel höhere versicherungstechnische Rückstellungen
gebildet werden können als traditionelle Bilanzrückstellungen. Eine Captive ist ein
flexibles Unternehmen, dass ganz gezielt zum Bilanzschutz eingesetzt werden kann.

In den letzten Jahren gewinnen Rent-a-captive oder Protected-cell-captive an
Bedeutung. Hierbei können Unternehmen eine Captive mieten, statt eine eigene
Captive zu gründen. Diese Modelle eignen sich vor allem für kleinere oder mittlere
Unternehmen.

Weltweit gibt es ca. 4.000 Captives mit einem Prämienvolumen von ca. 21 Mrd. US-
Dollar. Voraussetzung für eine effiziente Captive-Lösung ist die Implementierung eines
pro-aktiven Risk Management Prozesses im Unternehmen, damit die Rendite des
eingesetzten Eigenkapitals möglichst hoch ist. Oder anders formuliert: Eine Captive
muss gewisse betriebswirtschaftliche Vorteile gegenüber dem traditionellen
Risikotransfer aufweisen. Als Grundvoraussetzung sollten die eingebrachten Risiken
einen günstigen Schadenverlauf aufweisen.
Interessant ist eine Captive Lösung auch für Risiken (nicht nur im IT Bereich), die auf
den traditionellen Märkten nicht oder nur sehr teuer transferiert werden können.
Insbesondere Technologierisiken, Kreditrisiken, Umweltrisiken sowie Risiken aus
Naturgefahren können effizient über eine Captive Lösung finanziert werden.
Bei Finite-Risk (FR) Lösungen findet eine begrenzte Risikoübernahme des Versicherers
statt. Im Gegensatz zur traditionellen Versicherung, bei der ein Risikoausgleich im
Kollektiv stattfindet, basieren FR-Lösungen auf dem Risikoausgleich eines
Versicherungsnehmers in der Zeit. Der FR-Versicherer übernimmt in der Regel neben
den traditionellen Risiken auch versicherungsfremde Risiken, wie beispielsweise das
Zinsänderungsrisiko, das Delkredererisiko oder Wechselkursrisiken. Durch den
Risikoausgleich in der Zeit basieren FR-Lösungen auf mehrjährigen Vertragsdauern.
Kapitalanlageerträge während der Laufzeit werden berücksichtigt. Bei prospektiven FR-
Lösungen übernimmt der FR-Versicherer in der Zukunft erwartete Schäden, bei
retrospektiven Verträgen übernimmt der FR-Anbieter bereits eingetretene Schäden.
Eine Besonderheit der retrospektiven FR-Lösungen sind die sogenannten Loss Portfolio
Transfers      (LPTs),     bei     denen      der    Versicherungsnehmer     komplette
Schadenrückstellungen an den Versicherer transferiert, um das Zeitrisiko zu
externalisieren. Für die Glättung der jährlichen Schadenkosten und die Reduzierung von
Katastrophenrisiken bietet der FR-Markt Blended Covers an. Bezogen auf die
traditionell nicht versicherbaren Risiken handelt es sich hierbei eher um ein
Finanzgeschäft als um einen echten Risikotransfer.

Multi-line-multi-year (MMP) Lösungen sind eigentlich keine echte Innovation, da es
kombinierte Versicherungsprodukt immer schon gab. Trotzdem handelt es sich bei den
modernen MMP-Lösungen um echte Innovationen, da Haftungslimite und auch
Selbstbehalte über alle Sparten und die Vertragsdauer aggregiert werden. Kennzeichen
von MMP-Lösungen ist die Zusammenfassung mehrerer Sparten in einem Produkt bei
einer mehrjährigen Vertragslaufzeit.

Vorteilhaft für den Versicherungsnehmer ist zunächst einmal die holistische Betrachtung
der Risiken. Auf diesem Hindergrund wurde bereits oben kurz eingegangen. Des
weiteren ergeben sich klare Kostenvorteile im administrativen Bereich (Verhandlungs-
und Koordinationskosten sinken bei geringer Zahl von involvierten Versicherern und
Versicherungsmaklern sowie bei mehrjähriger Laufzeit). Als Nachteil kann aufgeführt
werden, dass bei der Konzentration auf wenige oder einen MMP Anbieter die
Abhängigkeit vom Versicherer wächst.

Bei Multi Trigger Produkten (MTP) muss neben dem „First Trigger“
(Versicherungsschaden) auch ein „Second Trigger“ (Nicht-Versicherungsereignis)
eintreten. Der „First Trigger“ kann beispielsweise ein Feuerschaden sein; der „Second
Trigger“ beispielsweise steigende Rohstoffpreise oder Kursverluste and den
Aktienmärkten. MTP Produkte stellen sicherlich eine interessante Lösung im Rahmen
einer holistischen Risikobetrachtung dar. Bisher verhindern jedoch steuerliche und
bilanzielle    Unsicherheiten     den     praktischen    Einsatz    als    innovatives
Risikofinanzierungsinstrument.

Bei dem Instrument Contingent Capital geht es primär darum, die Finanzierung eines
Versicherungsschaden nach dessen Eintritt sicherzustellen. Contingent Capital kann
man mit „Bedingte Kapitalaufnahme“ übersetzen. Hierbei wird ex ante festgelegt, zu
welchen Konditionen sich ein Unternehmen bei einem Großschaden Kapital - Eigen-
oder Fremdkapital - beschaffen kann. Eine Variante der bedingten Kapitalaufnahme ist
der Kauf einer Put-Option auf den unternehmenseigenen Aktienkurs. Das Unternehmen
kann bei einem Versicherungsschaden dann die Option ausüben, wenn der Aktienkurs
unter ein ex ante definiertes Niveau sinkt und somit zusätzliches Kapital - zum
vereinbarten Ausübungspreis - beschaffen. Contingent Capital Lösungen eignen sich
vor allem zur Risikofinanzierung äußert seltener Schadensereignisse, um eine
eventuelle Insolvenz eines Unternehmens zu verhindern.

Durch Risk Securitization werden Risiken - es handelt sich hierbei heute in der Regel
um Portefeuilles von Katastrophenrisiken - in den Kapitalmarkt transferiert. Ein Transfer
ist jedoch nicht auf Katastrophenrisiken begrenzt. Ein Risikotransfer durch die
Verbriefung von Risiken fand bisher eher auf der Ebene der Rückversicherung statt. Es
spricht jedoch nichts dagegen, dass auch Captives oder Industrieunternehmen
bestimmte Risiken direkt auf dem Kapitalmarkt transferieren.
Versicherungs-Derivate werden als Insurance Futures, Insurance Options und Cat
Spreads seit Ende 1992 an der CBOT (Chicago Board of Trade) gehandelt. Mit Hilfe
von Versicherungs-Derivaten kann ein potenzieller Verlust aus einer ungünstigen
Indexentwicklung (Schadenentwicklung für bestimmte Risikokategorien) durch die
positive Wertentwicklung eines derivativen Instruments ausgeglichen werden. Eine
besondere Bedeutung haben Versicherungsderivate zur Absicherung von Wetterrisiken
erlangt ( beispielsweise für Energieversorger, Freizeitparks).

Die meisten ART-Lösungen sind zunächst einmal dadurch gekennzeichnet, dass sie auf
einer holistischen/ganzheitlichen Risikosicht basieren. Der Dualismus zwischen
„versicherbaren“ und „nicht versicherbaren“ Risiken wird überwunden. Ausgangspunkt
ist vielmehr das gesamte Risikoportefeuille eines Unternehmens. ART Produkte
kommen dem Bilanzschutzgedanken näher. Klargestellt werden muss hier, dass es
nicht um einen umfassenden Bilanzschutz für Unternehmen gehen kann. Es wird immer
der unternehmerische Grundsatz gelten: Keine Chance ohne Risiko. Viele ART-
Lösungen stecken noch in den Kinderschuhen. Insbesondere steuerliche und bilanzielle
Unklarheiten haben bisher den Durchbruch verhindert.

Voraussetzung für ein effizientes Risikofinanzierungsprogramm - nicht nur mit Hilfe von
ART Lösungen - ist in jedem Fall ein proaktives, ganzheitlich ausgerichtetes Risk
Management.


4. Die Bedeutung eines proaktiven Risk Managements für Unternehmen
Ohne eine Risikoidentifikation und -bewertung kann ein Unternehmen kein
Bilanzschutzkonzept etablieren. Das KonTraG (Gesetz zur Kontrolle und Transparenz
im Unternehmensbereich) hat dazu geführt, dass Vorstände deutscher
Aktiengesellschaften (nach überwiegender Auffassung auch GmbHs und andere
Rechtsformen) - basierend auf § 91 II AktG - explizit zur Einrichtung eines Risk
Management Systems verpflichtet sind. Ein angemessenes Risk Management ist
Bestandteil der Sorgfaltspflichten eines Vorstandes oder GmbH Geschäftsführers. Im
Falle einer Unternehmenskrise hat der Vorstand basierend auf § 93 II AktG zu
beweisen, dass er sich objektiv und subjektiv pflichtgemäß verhalten hat.
In den nächsten Jahren werden sich Unternehmen stärker mit dem Thema Risk
Management beschäftigen müssen, da Risk Management ein wesentlicher Erfolgsfaktor
für ein Unternehmen ist. Nicht erst die jüngsten Unternehmenskrisen zeigen die
Bedeutung eines effizienten Risk Management Prozesses. Der auf dem Konzept des
Regelkreislaufes basierende Risk Management Prozess ist in Abbildung 4 dargestellt.

Der Risk Management Prozess umfasst alle Aktivitäten zum Umgang mit Risiken in
einem Unternehmen. Wichtig ist, dass Risk Management nicht als einmalige
sporadische Maßnahme angesehen wird. Risk Management muss in die
Geschäftsprozesse eines Unternehmen integriert werden. Wenn ein Risk Management
System in einem Unternehmen implementiert wird ist es wichtig, dass dieses System in
der Risikokultur des Unternehmens verankert wird. Risk Management muss tagtäglich
gelebt werden. Der einzelne Mitarbeiter muss sich bewusst sein, was er anrichten kann,
wenn der E-Mail Anhang - verschickt von einem unbekannten Absender - geöffnet wird.
Eine offene Kommunikation ist wichtig für die Effizienz eines implementierten
Risikofrüherkennungssystems.
Der Risk Management (RM) Prozess beginnt mit der Formulierung von strategischen,
risikopolitischen Leitlinien. Das strategische Risk Management bildet quase die
integrative Klammer für den gesamten RM Prozess. Bei der Festlegung von RM-Zielen
ist zu beachten, dass diese direkt mit den sonstigen Unternehmenszielen (Technologie-,
Markt-, Produkt-, Qualitätsziele, Wirtschaftlichkeit, Shareholder value etc.)
zusammenhängen. Ziel des RM sollte im Kern sein;

      Sicherung der Unternehmensziele
      Sicherung des künftigen Erfolges des Unternehmens
      Senkung der Risikokosten.

Das operative Risk Management beinhaltet den Prozess der systematischen und
laufenden Risikoanalyse des Unternehmens und der Geschäftsabläufe. Zunächst
einmal müssen die Risiken eines Unternehmens erkannt und analysiert
(Risikoidentifikation) werden. Die Informationsbeschaffung ist eine Schlüsselfunktion im
RM und gleichzeitig die schwierigste Phase. Bei der Identifikation der Risiken helfen u.a.
Besichtigungen, Checklisten, Interviews, Bilanzen und Schadenstatistiken.

Sind die Risiken erkannt, so erfolgt in der nächsten Phase der Risikobewertung eine
Quantifizierung hinsichtlich Erwartungswert. Ist eine Quantifizierung nicht möglich, so
sollte das Risiko qualitativ bewertet werden (existenzbedrohend, schwer wiegend,
mittel, gering, unbedeutend). Ziel der Risikoidentifikation und -bewertung
(=Risikoanalyse) ist die Erstellung eines Risikoinventars bzw. einer Risk-Map (vgl.
Abbildung 5)

Nach der Risikoanalyse müssen die bewerteten Risiken mit den vorgegebenen
Sicherheitszielen (vgl. Risikopolitik) verglichen werden. Die Phase der Risikosteuerung
und -kontrolle zielt darauf ab, die Risikolage des Unternehmens positiv zu verändern.
Risiken können vermieden werden, indem wirtschaftliche Aktivitäten aufgegeben bzw.
verändert werden. Risiken können durch Risikoüberwälzung und Risikostreuung
begrenzt werden. Durch die Ausgliederung von Unternehmensfunktionen
(beispielsweise IT) oder Leasingverträge können Risiken reduziert werden.
Insbesondere auch durch organisatorische (bspw. CO2-Löschanlage) Maßnahmen
können Risiken vermindert werden.
Im Rahmen der Risikofinanzierung stellt sich die Frage, welche Risiken durch
Versicherungslösungen oder ART Lösungen transferiert werden können. Der Prozess
der Risikosteuerung und -kontrolle ist in Abbildung 6 dargestellt.

Da es sich beim RM Prozess um einen Regelkreis handelt, fließen die Ergebnisse des
operativen RM in die Ziele des strategischen RM ein.
Häufig wird der Risk Management Prozess in Unternehmen nicht gelebt. Man macht
sich     Gedanken       über      Risikofinanzierungslösungen (in    der     Regel
Versicherungsprodukte), ohne zuvor eine detaillierte, umfassende Risikoanalyse
durchgeführt zu haben. Die Tatsache, dass viele Unternehmen Risk Management mit
Versicherungsmanagement verwechseln, unterstreicht diese Behauptung noch.
Unternehmen müssen sich bewusst sein, dass bei Risikofinanzierungslösungen, die
sich am Bilanzschutzgedanken orientieren, Risk Management einen besonderen
Stellenwert genießt.
Die zunehmende Globalisierung des Wettbewerbs sowie die rasante Entwicklung des e-
Business und der gesamten NewEconomy, die technische Abhängigkeit der
Kernprozesse von der IT in der Wertschöpfungskette auf der einen Seite und die
Grenzen traditioneller Risikofinanzierungslösungen auf der anderen Seite,
unterstreichen die Bedeutung eines pro-aktiven und ganzheitlichen Risk Managements.
(Quelle: http://www.risknet.de)
    Abbildung 1                                                           [zurück]
Abbildung 2   [zurück]




Abbildung 3   [zurück]
Abbildung 4   [zurück]




Abbildung 5   [zurück]
Abbildung 6   [zurück]

				
DOCUMENT INFO