4.5 Risikostrategie wählen
Grundsätzlich können vier Möglichkeiten unterschieden werden, angemessen mit Risiken umzugehen und zwar:
- die Übernahme der Risiken,
- der Transfer der Risiken,
- die Vermeidung der Risiken sowie
- die Reduktion der Risiken.
Nachfolgend werden diese möglichen Strategien näher erläutert.
Risikoübernahme
Geringe Risiken können akzeptiert werden, also solche, bei denen der mögliche Schaden oder die Eintrittswahrscheinlichkeit niedrig sind. Gleiches gilt, wenn für eine Gefährdung keine hinreichend wirksamen oder wirtschaftlich vertretbaren Gegenmaßnahmen bekannt sind.
Beispiel: Zu den Risiken, die von der RECPLAST GmbH übernommen wurden, zählt die Erdbebengefahr. Im Rheinland sind Erdbeben keine Seltenheit. Diese verursachten in den letzten Jahrhunderten jedoch nur vergleichsweise geringe Schäden. Bei der RECPLAST GmbH wurde daher keine Notwendigkeit gesehen, durch Neubauten die Erdbebensicherheit der Firmengebäude zu erhöhen.
Risikotransfer
Beim Transfer von Risiken wird der mögliche Schaden an einen Dritten verlagert. Viele finanzielle Risiken lassen sich beispielsweise durch den Abschluss einer Versicherung abfedern. Die Delegation risikobehaftete Aufgaben an einen externen Dienstleister verlagert ebenfalls das finanzielle Risiko. Risikotransfer entbindet eine Institution jedoch nicht von der Gesamtverantwortung für seine Sicherheit und seine Notfallvorsorge. Durch Risikotransfer können daher zwar finanzielle Schäden abgemildert, jedoch nicht alle Risiken beseitigt werden. Beispielweise schützt ein Risikotransfer nur eingeschränkt gegen Ansehensverluste oder juristische Konsequenzen.
Beispiel: Ein Brand der Produktionshallen gehört zu den größtmöglichen Katastrophen für die RECPLAST GmbH. Die theoretische Möglichkeit, durch einen zweiten Produktionsstandort für mehr Ausfallsicherheit zu sorgen, ist für das Unternehmen betriebswirtschaftlich unsinnig. Neben der strikten Beachtung des vorbeugenden Brandschutzes (Risikovermeidung) wurde daher eine ausreichend dimensionierte und sowohl die Sachwerte als auch Ertragsausfälle umfassende Industrieversicherung abgeschlossen, um auf das Brandrisiko zu reagieren. Das Risiko wurde also im Wesentlichen transferiert.
Risikovermeidung
Der Geschäftsprozess wird so verändert, dass eine Gefährdung ausgeschlossen ist. Hierfür können dessen Abläufe und Rahmenbedingungen verändert werden. Wenn dies nicht sinnvoll möglich ist, kann ein Geschäftsprozess auch ganz eingestellt werden.
Beispiel: In der Leitlinie zum Notfallmanagement hatte die RECPLAST GmbH den Grundsatz formuliert, dass Aktivitäten, die mit einem untragbaren Risiko verbunden wären, von dem Unternehmen nicht weiter verfolgt werden. Daher untersagte sich das Unternehmen alle Herstellungsverfahren, die im Falle eines Unglücks zu gravierenden Umwelt- oder Personenschäden in der Umgebung des Firmengeländes führen könnten. Nach Möglichkeit sollten keine hochgiftigen oder hochgradig explosiven Gefahrstoffe gelagert oder verarbeitet werden.
Risikoreduktion
Risikoreduktion bedeutet, durch zusätzliche Schutzvorkehrungen oder Änderungen an den Verfahrensabläufen die Wahrscheinlichkeit eines Schadens oder dessen Auswirkungen zu verringern. In der Praxis dürfte dies die am häufigsten gewählte Risikostrategie sein.
Beispiel: Aufgrund ihrer beiden, in hinreichend großer Entfernung voneinander angesiedelten Standorte, entschied sich die RECPLAST GmbH dafür, die Ausfallsicherheit ihrer Informationstechnik durch den Aufbau zusätzlicher Redundanzen zu erhöhen. Für wichtige Arbeitsplätze in den Verwaltungsabteilungen des Unternehmens wurde diskutiert, ob Voraussetzungen für Telearbeitsplätze geschaffen werden sollten.
- Kurz-URL:
- https://www.bsi.bund.de/dok/6611684