28
Bruno Brühwiler Risikomanagement als Führungsaufgabe

Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

Embed Size (px)

Citation preview

Page 1: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

1

Bruno Brühwiler Risikomanagement als Führungsaufgabe

Brühwiler Risikomanagement Inhalt.indd 1Brühwiler Risikomanagement Inhalt.indd 1 22.02.2011 11:12:0422.02.2011 11:12:04

Page 2: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

2

Brühwiler Risikomanagement Inhalt.indd 2Brühwiler Risikomanagement Inhalt.indd 2 22.02.2011 11:12:2122.02.2011 11:12:21

Page 3: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

3

Haupt VerlagBern · Stuttgart · Wien

Bruno Brühwiler

Risikomanagement als Führungsaufgabe

ISO 31000 mit ONR 49000 wirksam umsetzen

3., überarbeitete und aktualisierte Aufl age

Brühwiler Risikomanagement Inhalt.indd 3Brühwiler Risikomanagement Inhalt.indd 3 22.02.2011 11:12:2122.02.2011 11:12:21

Page 4: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

4

3. Aufl age: 20112. Aufl age: 20071. Aufl age: 2003

Bibliografi sche Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografi e; detaillierte bibliografi sche Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN 978-3-258-07678-2

Alle Rechte vorbehalten.Copyright © 2003 by Haupt BerneJede Art der Vervielfältigung ohne Genehmigung des Verlages ist unzulässig.Gestaltung und Satz: René TschirrenPrinted in Germany

www.haupt.ch

Dr. Bruno Brühwiler, Geschäftsführer der Euro Risk Limited in Zürich, die auf ganzheitliches Risikomanagement spezia-lisiert ist. Experte im internationalen Normungsprojekt ISO 31000 «Risk management – Principles and guidelines» und Projektleiter des Regelwerkes ONR 49000 «Risikomanage-ment für Organisationen und Systeme – Umsetzung von ISO 31000 in die Praxis». Unterstützt seit 15 Jahren Unternehmen (herstellende Industrie, Energiewirtschaft, Finanzdienstleistungen) und öffentliche Institutionen (Versorger, Gesundheitswesen) im

Risikomanagement mit Schwerpunkten im strategischen und Innovations-Risiko-management, Notfall-, Krisen- und Kontinuitätsmanagement, in der Konzeption des Risikomanagements bei Grossunternehmen sowie in der Ausbildung von quali-fi zierten Risikomanagern in diesen Gebieten. Hat über 300 Risikomanagement-Projekte realisiert und 1000 qualifi zierte Risikomanager in mehrtätigen Lehrgängen ausgebildet. Dr. Brühwiler ist Gründer und Präsident von «Netzwerk Risikomanagement».

www.eurorisk.ch

Brühwiler Risikomanagement Inhalt.indd 4Brühwiler Risikomanagement Inhalt.indd 4 24.02.2011 10:58:0824.02.2011 10:58:08

Page 5: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

5

Dieses Buch ist meiner lieben Familie gewidmet

Meiner Frau Doris undunseren erwachsenen Söhnen

Rolf und Karl Brühwiler

Zürich, im Januar 2011

Brühwiler Risikomanagement Inhalt.indd 5Brühwiler Risikomanagement Inhalt.indd 5 22.02.2011 11:12:2122.02.2011 11:12:21

Page 6: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

6

Brühwiler Risikomanagement Inhalt.indd 6Brühwiler Risikomanagement Inhalt.indd 6 22.02.2011 11:12:2122.02.2011 11:12:21

Page 7: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

7

Inhaltsverzeichnis

Übersichtenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.1 Zielsetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.2 Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2 Grundlagen des Risikomanagements. . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.1 Merkmale des Risikos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2.1.1 Unsicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.1.2 Ziele und Erwartungen von Organisationen . . . . . . . . . . . . . . . . . 242.1.3 Wahrscheinlichkeit als Maß für die Unsicherheit . . . . . . . . . . . . . 242.1.4 Auswirkungen von Risiken auf die Ziele . . . . . . . . . . . . . . . . . . . . 262.1.5 Risiko als Ereignis bzw. als Entwicklung . . . . . . . . . . . . . . . . . . . . 262.1.6 Risiko als Chance und Gefahr bzw. Bedrohung. . . . . . . . . . . . . . . 272.1.7 Defi nition von Risiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

2.2 Führung, Strategie und Risikomanagement . . . . . . . . . . . . . . . . . . . . . . 292.2.1 Gestaltung und Lenkung von Organisationen. . . . . . . . . . . . . . . . 292.2.2 Strategisches Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302.2.3 Wie Unternehmen untergehen . . . . . . . . . . . . . . . . . . . . . . . . . . 312.2.4 Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.3 Corporate Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.3.1 Charakteristiken verantwortungsvoller Führung . . . . . . . . . . . . . . 382.3.2 Grundsätze von Corporate Governance . . . . . . . . . . . . . . . . . . . 392.3.3 Anforderungen an das Risikomanagement . . . . . . . . . . . . . . . . . 45

2.4 Regelwerke im Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462.4.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462.4.2 COSO Enterprise Risk Management Framework . . . . . . . . . . . . . 472.4.3 ISO 31000 Risk management . . . . . . . . . . . . . . . . . . . . . . . . . . . 502.4.4 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . 57

3 Anwendungen des Risikomanagements . . . . . . . . . . . . . . . . . . . . . . . . 593.1 Managementspezifi sche Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . 59

3.1.1 Die Risikomanagement-Pyramide . . . . . . . . . . . . . . . . . . . . . . . . 593.1.2 Strategisches Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . 61

Brühwiler Risikomanagement Inhalt.indd 7Brühwiler Risikomanagement Inhalt.indd 7 22.02.2011 11:12:2122.02.2011 11:12:21

Page 8: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

8 Inhaltsverzeichnis

3.1.3 Operatives Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . 633.1.4 Prozessbasiertes Risikomanagement . . . . . . . . . . . . . . . . . . . . . . 64

3.2 Sektorspezifi sche Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673.2.1 Schutz der Verbraucher, Produktsicherheit . . . . . . . . . . . . . . . . . . 673.2.2 Patientensicherheit im Gesundheitswesen . . . . . . . . . . . . . . . . . . 843.2.3 Schutz der Arbeitnehmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913.2.4 Schutz der Umwelt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943.2.5 Stabiles Finanzsystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

3.3 Risikomanagement bei kritischen Infrastrukturen . . . . . . . . . . . . . . . . 1013.3.1 Was sind kritische Infrastrukturen?. . . . . . . . . . . . . . . . . . . . . . . 1013.3.2 Merkmale von kritischen Infrastrukturen . . . . . . . . . . . . . . . . . . 1013.3.3 Krisenmanagement als Teil des Risikomanagements . . . . . . . . . 102

4 Prozess des Risikomanagements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1034.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1034.2 Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

4.2.1 Auslöser des Risikomanagement-Prozesses . . . . . . . . . . . . . . . . 1044.2.2 Externe Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . 1044.2.3 Interne Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . 1074.2.4 Rahmenbedingungen des Risikomanagements . . . . . . . . . . . . . 1134.2.5 Defi nition der Risikokriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

4.3 Risikoidentifi kation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1204.3.1 Erkennbarkeit von Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1204.3.2 Systematik der Risikoidentifi kation . . . . . . . . . . . . . . . . . . . . . . 1224.3.3 Früherkennung von Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

4.4 Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1244.4.1 Risiken verstehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1244.4.2 Risikoszenario als Credible-Worst-Case . . . . . . . . . . . . . . . . . . . 1264.4.3 Zeitfaktor im Risikoszenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1294.4.4 Korrelation von Risiken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1304.4.5 Kombination von Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1304.4.6 Einschätzung der Wahrscheinlichkeit . . . . . . . . . . . . . . . . . . . . . 1324.4.7 Einschätzung der Auswirkungen . . . . . . . . . . . . . . . . . . . . . . . . 133

4.5 Risikobewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1334.5.1 Akzeptierbare, tolerierbare Risiken . . . . . . . . . . . . . . . . . . . . . . . 1334.5.2 Chancenabwägung im Geschäftsbereich . . . . . . . . . . . . . . . . . . 1344.5.3 Rendite-Risiko-Abwägung im Finanzbereich . . . . . . . . . . . . . . . 1354.5.4 Güterabwägung im Sicherheitsbereich . . . . . . . . . . . . . . . . . . . . 1364.5.5 Vorsorgeprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

4.6 Risikobewältigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1394.6.1 Konzepte der Risikobewältigung . . . . . . . . . . . . . . . . . . . . . . . . 1394.6.2 Präventives Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . 1404.6.3 Schadenmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1464.6.4 Risikofi nanzierung / Versicherungsmanagement . . . . . . . . . . . . . 1474.6.5 Restrisiko akzeptieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Brühwiler Risikomanagement Inhalt.indd 8Brühwiler Risikomanagement Inhalt.indd 8 22.02.2011 11:12:2122.02.2011 11:12:21

Page 9: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

9Inhaltsverzeichnis

4.7 Kommunikation und Informationsaustausch . . . . . . . . . . . . . . . . . . . . 1494.7.1 Risikowahrnehmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1494.7.2 Direkte Risikokommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . 1504.7.3 Kommunikation bei Kapitalgesellschaften . . . . . . . . . . . . . . . . . 1524.7.4 Informationsaustausch mit den Stakeholdern . . . . . . . . . . . . . . 153

4.8 Risikoüberwachung und Risikoüberprüfung . . . . . . . . . . . . . . . . . . . . 1544.8.1 Risikoüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1544.8.2 Risikoüberprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1544.8.3 Kontinuierliche Verbesserung . . . . . . . . . . . . . . . . . . . . . . . . . . 155

5 Methoden der Risikobeurteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1575.1 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1575.2 Kreativitätstechniken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

5.2.1 Brainstorming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1605.2.2 Delphi-Studie als Befragungstechnik . . . . . . . . . . . . . . . . . . . . . 161

5.3 Szenario-Analysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1615.3.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1615.3.2 Einzelschadenanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1625.3.3 Credible-Worst-Case Szenario-Analysen . . . . . . . . . . . . . . . . . . . 1645.3.4 Fehlerbaum- und Ablaufanalyse . . . . . . . . . . . . . . . . . . . . . . . . . 167

5.4 Indikatorenanalysen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1735.4.1 Critical Incidents Reporting System (CIRS). . . . . . . . . . . . . . . . . . 1735.4.2 Change Based Risk Management (CBRM) . . . . . . . . . . . . . . . . . 178

5.5 System- und Funktionsanalysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1825.5.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1825.5.2 FMEA – Failure Mode and Effects Analysis . . . . . . . . . . . . . . . . . 1825.5.3 Gefährdungsanalysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1865.5.4 HAZOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

5.6 Statistische Methoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1905.6.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1905.6.2 Abbildung des Risikos mit einer Verteilungsfunktion. . . . . . . . . . 1915.6.3 Value at Risk als Maß für das Risiko . . . . . . . . . . . . . . . . . . . . . . 1955.6.4 Monte-Carlo-Simulation zur Risikoaggregation. . . . . . . . . . . . . . 196

5.7 Zusammenfassung: Methodeneinsatz . . . . . . . . . . . . . . . . . . . . . . . . . 199

6 Risikomanagement-System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2016.1 Einführung des Risikomanagements. . . . . . . . . . . . . . . . . . . . . . . . . . . 201

6.1.1 Projekt der Unternehmensentwicklung . . . . . . . . . . . . . . . . . . . 2016.1.2 Auftretende Widerstände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2026.1.3 Handlungsspielraum und Entscheidungsfreiheit . . . . . . . . . . . . . 2036.1.4 Organisationsspezifi sche Gegebenheiten . . . . . . . . . . . . . . . . . . 204

6.2 Steuerung des Risikomanagements . . . . . . . . . . . . . . . . . . . . . . . . . . . 2066.2.1 Risikomanagement-System . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2066.2.2 Planung des Risikomanagements . . . . . . . . . . . . . . . . . . . . . . . . 2066.2.3 Umsetzung des Risikomanagements . . . . . . . . . . . . . . . . . . . . . 216

Brühwiler Risikomanagement Inhalt.indd 9Brühwiler Risikomanagement Inhalt.indd 9 22.02.2011 11:12:2122.02.2011 11:12:21

Page 10: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

10 Inhaltsverzeichnis

6.2.4 Leistungsbewertung des Risikomanagements. . . . . . . . . . . . . . . 2376.2.5 Verbesserung des Risikomanagements . . . . . . . . . . . . . . . . . . . 242

7 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Defi nitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Beispiel Risikobeurteilung 2011. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Brühwiler Risikomanagement Inhalt.indd 10Brühwiler Risikomanagement Inhalt.indd 10 22.02.2011 11:12:2122.02.2011 11:12:21

Page 11: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

11

Übersichtenverzeichnis

Übersicht 1: Muster der Selbstüberschätzung . . . . . . . . . . . . . . . . . . . . . . . 33Übersicht 2: Muster der Unterschätzung von Komplexität . . . . . . . . . . . . . . 35Übersicht 3: Der COSO-Würfel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Übersicht 4: Prozess Risikomanagement nach AS/NZS 4360 . . . . . . . . . . . . . 52Übersicht 5: Das Risikomanagement-System . . . . . . . . . . . . . . . . . . . . . . . . 53Übersicht 6: Elemente eines Management-Systems . . . . . . . . . . . . . . . . . . . 54Übersicht 7: Struktur der ONR 49000-Serie . . . . . . . . . . . . . . . . . . . . . . . . . 56Übersicht 8: Top-down- und Bottom-up-Ansatz . . . . . . . . . . . . . . . . . . . . . 60Übersicht 9: Strategisches Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . 62Übersicht 10: Prozess des Geld- und Warenfl usses . . . . . . . . . . . . . . . . . . . . 64Übersicht 11: New Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Übersicht 12: CE-Kennzeichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Übersicht 13: Richtlinien des New Approach . . . . . . . . . . . . . . . . . . . . . . . . 69Übersicht 14: Module der Konformitätsbewertung . . . . . . . . . . . . . . . . . . . 74Übersicht 15: Konformitätsbewertungs-Verfahren . . . . . . . . . . . . . . . . . . . . 75Übersicht 16: Die Umsetzung der Maschinenrichtlinie . . . . . . . . . . . . . . . . . 76Übersicht 17: Prozess der Risikoanalyse nach EN ISO 14121 . . . . . . . . . . . . . 78Übersicht 18: Modell der organisatorischen Unfallentstehung . . . . . . . . . . . 87Übersicht 19: Einfl ussnehmende Faktoren . . . . . . . . . . . . . . . . . . . . . . . . . . 88Übersicht 20: Das Schweizer-Käse-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . 89Übersicht 21: Eigenmittelanforderungen Basel I + II . . . . . . . . . . . . . . . . . . . 99Übersicht 22: Eigenmittelanforderungen Solvency I + II . . . . . . . . . . . . . . . . 100Übersicht 23: Der Risikomanagement-Prozess . . . . . . . . . . . . . . . . . . . . . . . 103Übersicht 24: Allgemeine Risikokriterien. . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Übersicht 25: Risikokriterien für die Patientensicherheit . . . . . . . . . . . . . . . . 115Übersicht 26: Defi nition Wahrscheinlichkeit in Organisationen . . . . . . . . . . . 116Übersicht 27: Defi nition Wahrscheinlichkeit in Systemen . . . . . . . . . . . . . . . 117Übersicht 28: Risikotoleranz und Risikoakzeptanz . . . . . . . . . . . . . . . . . . . . 119Übersicht 29: Das Risikoszenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Übersicht 30: Beispiel für ein Risikoszenario . . . . . . . . . . . . . . . . . . . . . . . . 126Übersicht 31: Das Eisbergprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Übersicht 32: Darstellung des Risikos als Linie . . . . . . . . . . . . . . . . . . . . . . . 129Übersicht 33: Gegenseitige Abhängigkeit von Risiken . . . . . . . . . . . . . . . . . 131Übersicht 34: Stufen für Bedrohungen und Chancen . . . . . . . . . . . . . . . . . . 134Übersicht 35: Chancen- und Bedrohungsprofi l . . . . . . . . . . . . . . . . . . . . . . 134Übersicht 36: Risiken mit Chancen und Bedrohungen . . . . . . . . . . . . . . . . . 135Übersicht 37: Capital Asset Pricing Model . . . . . . . . . . . . . . . . . . . . . . . . . . 136Übersicht 38: Menschliche Fehlerarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Übersicht 39: Die Humanfaktoren im Risikomanagement . . . . . . . . . . . . . . 142

Brühwiler Risikomanagement Inhalt.indd 11Brühwiler Risikomanagement Inhalt.indd 11 24.02.2011 11:02:3124.02.2011 11:02:31

Page 12: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

12 Übersichtenverzeichnis

Übersicht 40: Das Drei-Stufen-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145Übersicht 41: Risikokommunikation in der Jahresrechnung . . . . . . . . . . . . . 152Übersicht 42: Methoden der Risikobeurteilung im Überblick. . . . . . . . . . . . . 157Übersicht 43: Das Fischgrat- bzw. Ishikawa-Diagramm . . . . . . . . . . . . . . . . . 162Übersicht 44: Das Zielsystem nach Balanced Scorecards . . . . . . . . . . . . . . . . 164Übersicht 45: Risikolandschaft im Ist- und Soll-Zustand . . . . . . . . . . . . . . . . 165Übersicht 46: Strategische Gefahrengebiete . . . . . . . . . . . . . . . . . . . . . . . . 166Übersicht 47: Fehlerbaum- und Ablaufanalyse . . . . . . . . . . . . . . . . . . . . . . . 168Übersicht 48: Beispiel Erdgasleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170Übersicht 49: Die Störfall-Risikomatrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172Übersicht 50: Critical Incidents als Teil des Eisbergs. . . . . . . . . . . . . . . . . . . . 173Übersicht 51: Airprox Abstände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Übersicht 52: Flugunfallstatistik inkl. Airprox . . . . . . . . . . . . . . . . . . . . . . . . 175Übersicht 53: Ursachen der Critical Incidents in der Luftfahrt . . . . . . . . . . . . 175Übersicht 54: Schematisches Meldeverfahren bei Ereignissen . . . . . . . . . . . . 176Übersicht 55: Bewertung der Veränderung. . . . . . . . . . . . . . . . . . . . . . . . . . 179Übersicht 56: Eskalationsprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180Übersicht 57: Frühe Voraussicht der Subprime-Krise . . . . . . . . . . . . . . . . . . . 181Übersicht 58: Original FMEA-Arbeitsblatt . . . . . . . . . . . . . . . . . . . . . . . . . . . 185Übersicht 59: Risikokriterien bei der Gefährdungsanalyse . . . . . . . . . . . . . . . 187Übersicht 60: HAZOP-Anwendung in der chemischen Industrie . . . . . . . . . . 189Übersicht 61: Defi nition der Auswirkungen . . . . . . . . . . . . . . . . . . . . . . . . . 190Übersicht 62: Normalverteilung mit Standardabweichung . . . . . . . . . . . . . . 192Übersicht 63: Standardabweichung als Maß für das Risiko . . . . . . . . . . . . . . 192Übersicht 64: Statistische Merkmale eines Risikos. . . . . . . . . . . . . . . . . . . . . 193Übersicht 65: Verteilungsfunktionen aus Crystall Ball . . . . . . . . . . . . . . . . . . 194Übersicht 66: Value at Risk als Maß für das Risiko . . . . . . . . . . . . . . . . . . . . 195Übersicht 67: Risiko von Aktien und Anleihen . . . . . . . . . . . . . . . . . . . . . . . 197Übersicht 68: Risiko einer Versicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Übersicht 69: Aggregation eines Risikoprofi ls . . . . . . . . . . . . . . . . . . . . . . . . 199Übersicht 70: Vergleich des Value at Risk IST und SOLL. . . . . . . . . . . . . . . . . 199Übersicht 71: Übersicht über die Methoden . . . . . . . . . . . . . . . . . . . . . . . . 200Übersicht 72: Das Risikomanagement-System . . . . . . . . . . . . . . . . . . . . . . . 206Übersicht 73: Planung des Risikomanagements . . . . . . . . . . . . . . . . . . . . . . 207Übersicht 74: Beispiel Risikomanagement-Politik . . . . . . . . . . . . . . . . . . . . . 209Übersicht 75: Anforderungen an den Risikomanager . . . . . . . . . . . . . . . . . . 212Übersicht 76: Risikomanagement in ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . 215Übersicht 77: Risikomanagement als Führungsprozess . . . . . . . . . . . . . . . . . 215Übersicht 78: Umsetzung des Risikomanagements . . . . . . . . . . . . . . . . . . . . 216Übersicht 79: Risikomanagement im Strategieprozess . . . . . . . . . . . . . . . . . 218Übersicht 80: Gefahrenliste Strategische Führung . . . . . . . . . . . . . . . . . . . . 219Übersicht 81: Produkt-Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . 223Übersicht 82: Gefahrenliste Produktrisiken . . . . . . . . . . . . . . . . . . . . . . . . . . 224Übersicht 83: Projekt-Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Übersicht 84: Gefahrenliste Projektmanagement . . . . . . . . . . . . . . . . . . . . . 227

Brühwiler Risikomanagement Inhalt.indd 12Brühwiler Risikomanagement Inhalt.indd 12 24.02.2011 11:02:4224.02.2011 11:02:42

Page 13: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

13Übersichtverzeichnis

Übersicht 85: Beispiele für Notfälle und Krisen . . . . . . . . . . . . . . . . . . . . . . . 230Übersicht 86: Ablauf von Notfällen und Krisen . . . . . . . . . . . . . . . . . . . . . . . 230Übersicht 87: Führungsprozess Krisenmanagement . . . . . . . . . . . . . . . . . . . 232Übersicht 88: Risikokriterien für die Auswirkungen im BCM . . . . . . . . . . . . . 234Übersicht 89: Leistungsbewertung im Risikomanagement . . . . . . . . . . . . . . 237Übersicht 90: Risikoprofi l IST und SOLL (in CHF) . . . . . . . . . . . . . . . . . . . . . . 239Übersicht 91: Ergebnis der Monte-Carlo-Simulation . . . . . . . . . . . . . . . . . . . 240Übersicht 92: Die wichtigsten Audit-Punkte . . . . . . . . . . . . . . . . . . . . . . . . 241Übersicht 93: Integriertes Risikomanagement. . . . . . . . . . . . . . . . . . . . . . . . 244

Brühwiler Risikomanagement Inhalt.indd 13Brühwiler Risikomanagement Inhalt.indd 13 24.02.2011 11:02:4224.02.2011 11:02:42

Page 14: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

14

Brühwiler Risikomanagement Inhalt.indd 14Brühwiler Risikomanagement Inhalt.indd 14 22.02.2011 11:12:2122.02.2011 11:12:21

Page 15: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

15

Abkürzungsverzeichnis

AKW AtomkraftwerkALARP As low as reasonably practicableAS/NZS Australian/New ZealandATC Air Traffi c Control ATIR Air Traffi c Incident ReportATM Air Traffi c ManagementBCM Business Continuity ManagementBMI Bundesministerium des Innern (Deutschland)BSI British Standard InstituteCAPM Capital Asset Pricing Model CEN European Committee for Standardization Comité Européen de NormalisationCENELEC Comité Européen de Normalisation Electrotechnique European Committee for Electrotechnical StandardizationCIRS Critical Incidents Reporting SystemCobiT Control Objectives Information Technology COSO Committee of Sponsoring Organizations of the Teeadway Com-

missionCSR Corporate Social Responsibility DIN Deutsches Institut für NormungDoD Department of Defence (USA)EBIT Earnings Before Interest and TaxEFQM European Foundation for Quality ManagementEG Europäische GemeinschaftEN Europäische NormEU Europäische Union EWG Europäische Wirtschaftsgemeinschaft F.A.Z. Frankfurter Allgemeine Zeitung FERMA Federation of European Risk Management Associations FMEA Failure Mode and Effects Analysis Fehler-Möglichkeiten und Einfl uss-Analyse IEC International Electrotechnical CommissionISO International Standard OrganizationITIL Information Technology Infrastructure Library KonTraG Deutsches Gesetz über die Kontrolle und Transparenz im Unter-

nehmensbereich vom 30. April 1998MAS Master of Advanced Studies (Hochschulabschluss)MIL-STD Military Standard NZZ Neue Zürcher Zeitung

Brühwiler Risikomanagement Inhalt.indd 15Brühwiler Risikomanagement Inhalt.indd 15 22.02.2011 11:12:2122.02.2011 11:12:21

Page 16: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

16 Abkürzungsverzeichnis

OEM Original Equipment ManufacturerON Österreichisches Normungsinstitut ONR Regelwerk des Österreichischen Normungsinstituts (ON)OR Schweizerisches Obligationenrecht Q Quality REACH Registration, Evaluation, Authorization of Chemicals RLCG Richtlinie Corporate Governance (Schweiz)RPZ Risikoprioritätszahl PrSG Produktsicherheits-Gesetz (Schweiz) vom 1. Juli 2010 PSA Persönliche SchutzausrüstungSA Social Accountablity SEC Securities Exchange Commission SNV Schweizerische NormenvereinigungSOP Start of Production, Standard Operation ProcedureSOX Sarbanes Oxley Act (USA)STEG Bundesgesetz über die Sicherheit von technischen Einrichtungen

und Geräten STEV Verordnung über die Sicherheit von technischen Einrichtungen

und GerätenStGB Schweizerisches StrafgesetzbuchSUVA Schweizerische Unfallversicherungs-AnstaltUN United NationsUNCED UN Commission on Environment and DevelopmentUSV Unterbrechungsfreie StromversorgungUVEK Eidgenössisches Departement für Umwelt, Verkehr, Energie und

Kommunikation (Schweiz)VaR Value at Risk

Brühwiler Risikomanagement Inhalt.indd 16Brühwiler Risikomanagement Inhalt.indd 16 22.02.2011 11:12:2122.02.2011 11:12:21

Page 17: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

17

Vorwort

Seit der Veröffentlichung der 2. Aufl age dieses Buches sind vier Jahre vergangen. Sei-nerzeit dominierten noch die Betrugsskandale von Enron und Worldcom das Thema Risikomanagement. Viele Menschen glaubten noch, dass der US-amerikanische Sarbanes Oxley Act vom 30. Juli 2002 (SOX), der eine grundlegende Veränderung der Finanzberichterstattung von börsennotierten Kapitalgesellschaften in den USA bewirken sollte, Schlimmeres verhindern könnte. Risikomanagement ist darin auf die Aspekte von «Reporting» und «Compliance» fokussiert. Die auf Amerika ausgerich-teten Großunternehmen, vor allem auch die Finanzindustrie, investierten bedeutende Summen in ihr Internes Kontrollsystem. Der maßgebliche und anerkannte Standard dafür ist das «COSO Enterprise Risk Management Framework ». Dass damit eine kost-spielige Überregulierung einherging, wäre noch zu verkraften gewesen. Aber dass trotz diesen internen Kontrollsystemen die dramatische Finanzkrise von 2007–2009 möglich war, stellt die Frage nach dem Nutzen und nach der Wirksamkeit von Internen Kontrollsystemen und von Risikomanagement schlechthin. Es wäre in der Zwischenzeit niemandem in den Sinn gekommen, das Risiko-management als solches in Frage zu stellen und zu postulieren, dass Unternehmens-führung ohne dieses genau so effektiv sein würde wie mit Risikomanagement. Im Gegenteil: Der Wunsch bzw. der Ruf nach einem wirksamen Risikomanagement ist stärker geworden. Eine Erkenntnis drängt sich aber in den Vordergrund: Auch wenn interne Finanzkontrolle für Unternehmen und Organisationen wichtig ist, Risiko-management darf sich nicht mit einem defensiven Kontrollkonzept zufrieden geben. Vielmehr ist es als wesentliche Komponente des strategischen Managements, auch als Beitrag zur Komplexitätsbewältigung zu betrachten. Stärker gewichtet werden müsste vielleicht die Erkenntnis, dass menschliche Eigenschaften wie Fehlerhaftigkeit, vor allem aber die Untugenden der Selbstüberschätzung und der Arroganz ganz besondere Risikoquellen sind. Am 15. November 2009 wurde der Internationale Standard ISO 31000 «Risk management – Principles and guidelines» veröffentlicht. Es wäre vermessen zu behaupten, dass dieser globale Ansatz die Finanzkrise hätte vermindern oder gar verhindern können. Aber die Tatsache, dass eine solche globale Norm entstanden ist, weist auf große Erwartungen an das Risikomanagement hin. Im Gegensatz zum amerikanischen COSO Standard ist ISO 31000 nicht durch eine defensive, von außen aufgezwungene Kontrollkultur geprägt, sondern durch einen strategischen Ansatz, der dem innerlich akzeptierten Auftrag und der überzeugten Verpfl ichtung der obersten Leitung einer Organisation entspringen sollte und dem Grundsatz verpfl ichtet ist: «Risk Management Creates Value». Konkret stellt sich die Frage, wie ein Risikomanagement gestaltet werden soll, damit es wirksam ist und Wert schafft.

Brühwiler Risikomanagement Inhalt.indd 17Brühwiler Risikomanagement Inhalt.indd 17 22.02.2011 11:12:2122.02.2011 11:12:21

Page 18: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

18 Vorwort

In meiner Tätigkeit als Experte im internationalen Normungsprojekt ISO 31000 und als Projektleiter für die ONR 49000 , die sich inzwischen als «Umsetzung der ISO 31000 in die Praxis» bezeichnen kann, sind mir besonders meine vielen prakti-schen Erfahrungen im Risikomanagement von Unternehmen und die Ausbildung von Risikomanagern als Fachleuten zugutegekommen. Etwa 300 Projekte in Industrie, Energiewirtschaft, Finanz- und Gesundheitswesen vermitteln eine umfassende Sicht der Möglichkeiten und Grenzen des Risikomanagements. Aber auch die vertiefte Ausbildung von bald 1000 Risikomanagern nach der ONR 49003 und noch mehr Studenten aus verschiedenen Kulturbereichen im In- und Ausland zeigten mir, welche Erwartungen und Hoffnungen mit dem Risikomanagement einhergehen. Sie alle stel-len sich vor, dass Unternehmen und Organisationen so geführt und gelenkt werden, dass die Wertschöpfung im materiellen und immateriellen Bereich vergrößert wird. Gerne erwähne ich meine verlässlichen Partner. Besonders bin ich Austrian Stan-dards verbunden, vor allem dem Direktor, Ing. Dr. iur. Gerhard Hartmann und vielen seiner engsten Mitarbeitenden, die mich über viele Jahre im Risikomanagement unterstützen. Austrian Standards erlaubt mir auch die Verwendung von Bildern und Tabellen, die in der ONR 49000-Serie veröffentlicht sind. Ein sehr herzliches Dankeschön gehört meiner lieben Frau Doris. Sie hat mich – einmal mehr – mit ihren sprachlichen Fähigkeiten und mit dem seit vielen Jahren gewachsenen Verständnis für mein komplexes Fachgebiet tatkräftig unterstützt. Sie war auch bei dieser dritten, überarbeiteten Aufl age des Buches unentbehrlich.

Zürich, im Januar 2011 Bruno Brühwiler

Brühwiler Risikomanagement Inhalt.indd 18Brühwiler Risikomanagement Inhalt.indd 18 22.02.2011 11:12:2122.02.2011 11:12:21

Page 19: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

19

1 Einführung

1.1 Zielsetzungen

Das Ziel dieses Buches besteht darin, dem Leser die Grundlagen, die vielfältigen Anwendungen und die Instrumente und Techniken des Risikomanagements für private Unternehmen in Industrie, Finanzwirtschaft, Dienstleistung, für Non-Profi t-Organisationen und für die öffentliche Verwaltung zu vermitteln. Hinzu kommen die organisatorischen Rahmenbedingungen und die Führungsaufgaben, die dem Risiko-management erst seine Durchschlagskraft verleihen. Risikomanagement-Prozess und Risikomanagement-System sind dafür die Kernbegriffe. Sie werden in den neuesten internationalen Normen ISO 31000 und ONR 49000 eingehend beschrieben. Die folgenden Ausführungen zeigen auf, wie man ein umfassendes Risikomanagement nach den Empfehlungen der neuesten Normen wirksam umsetzen kann. Adressaten sind erstens die Führungskräfte des Top Managements , die für ihre Unternehmen und Organisationen die Strategie entwickeln und umsetzen. Dazu gehören viele Unsicherheiten, die es zu berücksichtigen gilt. Zu diesen Führungs-kräften kommen zweitens weitere Personen als Risikoeigner hinzu. Sie beeinfl ussen direkt die Chancen und Bedrohungen, denen ihre Organisation ausgesetzt ist, und das Gelingen und Misslingen ihrer eigenen Führungstätigkeit. Drittens sind die Risikomanager angesprochen. Sie sind die Fachleute, die die Tech-niken und Methoden des Risikomanagements beherrschen und effi zient einsetzen können. Ihre vordergründige Aufgabe besteht darin, die Risikoeigner zu unterstützen. Sie sollen sich aber im Interesse der obersten Leitung auch selbst eine (unabhängige) Meinung zu Chancen und Bedrohungen bilden. Risikomanagement befähigt eine Organisation, ihre Entscheidungen bewusst, mit weniger Unsicherheit und nicht nur intuitiv oder improvisiert zu treffen. Dadurch sollen Pläne und Strategien zum Wohle der Shareholder, aber auch der Stakeholder gestaltet und wirksam umgesetzt werden. Zudem werden all diejenigen in diesem Buch Hinweise zu Inhalt, Anwendung und Praxis des Risikomanagements fi nden, die damit in ihrem Beruf zu tun haben, auch wenn sie nicht Risikoeigner oder Risikomanager sind. Darunter fallen nicht nur Kon-trollorgane von Organisationen (interne Revision, externe Kontrollstellen), sondern z. B. auch Hochschullehrer und ihre Studenten, Journalisten, Politiker und weitere Interessierte. Das wirkliche Ziel dieses Buches aber besteht darin, Unsicherheiten bei Entschei-dungen zu erkennen und zu vermindern, Fehlentwicklungen zu vermeiden, Kom-plexität zu verstehen und damit materielle und auch immaterielle Werte zu erhal-ten, zu vermehren und das Wohlbefi nden und den Wohlstand vieler Menschen und Organisationen zu sichern und zu stabilisieren. Risikomanagement leistet in unserer komplexen Welt einen wichtigen Beitrag zur Wertschöpfung.

Brühwiler Risikomanagement Inhalt.indd 19Brühwiler Risikomanagement Inhalt.indd 19 22.02.2011 11:12:2122.02.2011 11:12:21

Page 20: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

20 Einführung

1.2 Vorgehen

Kapitel zwei legt die Grundlagen für das Risikomanagement. Es geht um das Verständ-nis von «Risiko», dessen Vernetzung mit der strategischen und operativen Unterneh-mensführung, um die Verankerung des Risikomanagements in den Anforderungen von Corporate Governance, und um die neuesten internationalen Normen, die für das Risikomanagement von privaten Unternehmen sowie Organisationen und Insti-tutionen der öffentlichen Verwaltung von Bedeutung sind. Im Vordergrund stehen heute nur noch der amerikanische COSO Standard sowie die internationale Norm ISO 31000 und dessen Spezifi kationen für die wirksame Umsetzung durch die ONR 49000. Das Kapitel drei zeigt die vielfältigen Anwendungen des Risikomanagements im strategischen, operativen und dispositiven Bereich einer Organisation. Am Anfang stehen der Top-down- und der Bottom-up-Ansatz, die mit Praxisbeispielen unter-mauert werden. Weitere spezifi sche Ausprägungen des Risikomanagements sind in den verschiedenen Wirtschaftssektoren zu fi nden wie etwa der herstellenden Indus-trie oder des Gesundheitswesens. Produktsicherheit, Patientensicherheit, Umwelt-sicherheit und Arbeitssicherheit werden dabei besonders erwähnt. Als spezielle Anwendungen des Risikomanagements gelten auch die Ansätze bzw. Modelle der Finanzindustrie für die Eigenmittelunterlegung. Schließlich wird das Thema Krisen-management und kritische Infrastrukturen angesprochen. Kapitel vier befasst sich mit dem Prozess Risikomanagement. Er beschreibt, wie die Führung einer Organisation mit der Unsicherheit bzw. mit dem Risiko umgehen soll. Der Prozess Risikomanagement führt den Risikoeigner zum bewussten Entscheid, ein Risiko zu akzeptieren oder es zu bewältigen. Risikomanagement ist nicht nur eine Frage von rationalen Entscheidungen, son-dern auch von subjektiven Einschätzungen. Die Risikowahrnehmung durch die von einem Risiko betroffenen Menschen ist dabei die eine Seite. Sie hat sehr viel zu tun mit der Risikokommunikation. Eine besondere Rolle spielt die Fehlerhaftigkeit des Menschen, der eben nicht immer rational handelt, sondern auch gerne improvisiert. Dies tut er i.d.R. nicht etwa aus Absicht oder Fahrlässigkeit, sondern aufgrund seiner natürlichen Grenzen im Umgang mit unserer sehr komplex und sensibel geworde-nen Welt. Eine offene Risikokultur hilft dem Menschen und den Führungskräften im Umgang mit Risiken. Kapitel fünf befasst sich mit dem «Werkzeugkasten», mit der «Toolbox» des Risi-komanagers. Um den Prozess Risikomanagement zu einem brauchbaren Ergebnis zu führen, sind Methoden und Instrumente erforderlich. Sie werden umfassend, wenn auch nicht im Detail erschöpfend dargestellt. Der Risikomanager muss in der Lage sein, einige von diesen vielen Methoden in der Praxis griffi g und effi zient anzuwenden. Kapitel sechs beschreibt das Risikomanagement-System. Es zeigt, wie Risikoma-nagement in der Organisation aufgebaut und eingebettet werden sollte. Es handelt sich dabei um die «Architektur» des Risikomanagements. Diese zeigt den organisa-torischen Rahmen, Strukturen, Prozesse, Fähigkeiten, Aufgaben, Kompetenzen und Verantwortungen auf. Das Risikomanagement-System stellt nicht nur die Steuerung und Kontrolle von Risiken sicher, sondern es kümmert sich auch um die Wirksamkeit

Brühwiler Risikomanagement Inhalt.indd 20Brühwiler Risikomanagement Inhalt.indd 20 24.02.2011 11:00:2424.02.2011 11:00:24

Page 21: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

21Vorgehen

und Verbesserung des Risikomanagements. Dabei steht der bekannte Management-Regelkreis Plan-Do-Check-Act bzw. der Planung, Umsetzung, Bewertung und Ver-besserung des Risikomanagement-Systems im Mittelpunkt. Kapitel sieben fasst zusammen und wagt eine Bewertung des Risikomanagements. Dabei sehen wir Risikomanagement als eines der wichtigsten Führungs instrumente überhaupt. Es stellt eine Querschnittsfunktion dar und nimmt eine integrierende Aufgabe wahr. Es muss in der Zukunft der Unternehmensführung eine herausragende Stellung einnehmen, um der Unsicherheit, der Sensibilität und der Komplexität der heutigen Welt gerecht zu werden.

Brühwiler Risikomanagement Inhalt.indd 21Brühwiler Risikomanagement Inhalt.indd 21 24.02.2011 11:00:3724.02.2011 11:00:37

Page 22: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

22

Brühwiler Risikomanagement Inhalt.indd 22Brühwiler Risikomanagement Inhalt.indd 22 22.02.2011 11:12:2122.02.2011 11:12:21

Page 23: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

23

2 Grundlagen des Risikomanagements

2.1 Merkmale des Risikos

2.1.1 Unsicherheit

«Wer wagt gewinnt – außer er verliert». Dieses Sprichwort weist auf das Risiko hin, das im Spannungsfeld des menschlichen Tuns, der Unsicherheit und des Zufalls liegt. Menschen, die im Casino spielen, liefern sich dem Zufall aus. Menschen, die ihr Leben aktiv gestalten wollen, versuchen jedoch den Zufall zu beeinfl ussen. Sie setzen sich mit der Unsicherheit, d. h. dem Risiko systematisch auseinander. Das Risiko liegt in der Zukunft. Um sich optimal auf diese einzustellen, neigt der Mensch dazu, einerseits aus seinen Erkenntnissen der Vergangenheit und andererseits aus den Erfahrungen von anderen zu lernen. Er verspricht sich davon mehr Sicherheit für ein gutes Leben. Die Auseinandersetzung mit dem Risiko ist dem Menschen als Individuum oder als Teil einer Organisation angeboren.

Mehrere Merkmale kennzeichnen den Risikobegriff: – Risiko gibt es nur, wenn Menschen oder Organisationen bewusst Ziele setzen und

diese verfolgen und/oder von internen oder externen Umständen und Annahmen bzw. Erwartungen ausgehen und diese sich überraschend verändern können. Risiko steht für die Möglichkeit, dass Ziele nicht erreicht werden oder sich Annah-men verändern.

Risikos ist Unsicherheit . Dabei hat dieses Wort in der deutschen Sprache mehrere Inhalte: Unsicherheit im Sinne von Ungewissheit , Unsicherheit aber auch im Sinne der englischen Begriffe «Safety / Security ». Risikomanagement versucht, die Unsicherheit einzugrenzen bzw. einzuschätzen und sie in den Entscheidungen zu berücksichtigen.

– Risiken haben negative, aber oft auch positive Auswirkungen auf Ziele oder Erwar-tungen. Risikomanagement will mögliche Auswirkungen erfassen oder einschät-zen. Theoretisch ist der Risikobegriff neutral, praktisch hingegen dominiert die Befürchtung, dass Risiken negativ auf die Ziele einwirken.

– Risiken haben immer konkrete Inhalte: Diese können ein Ereignis sein wie z. B. ein Erdbeben. Viel häufi ger sind für Organisationen und ihr Management jedoch die-jenigen Risiken, die zu einer bestimmten Entwicklung bzw. einer Fehlentwicklung führen. Risiko stellt auch stets eine Kombination von Eintrittswahrscheinlichkeit und Auswirkung dar.

– Schließlich ist Risiko der Überbegriff von Chance und Gefahr bzw. Bedrohung . Risiko beinhaltet das Spannungsfeld, das im Sprichwort «no risk no fun» zum Ausdruck kommt.

Diesen Merkmalen des Risikos gilt einleitend die vertiefte Aufmerksamkeit.

Brühwiler Risikomanagement Inhalt.indd 23Brühwiler Risikomanagement Inhalt.indd 23 22.02.2011 11:12:2122.02.2011 11:12:21

Page 24: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

24 Grundlagen des Risikomanagements

2.1.2 Ziele und Erwartungen von Organisationen

Organisationen zeichnen sich dadurch aus, dass sie ein vernetztes und strukturiertes Gefüge von Personen, Tätigkeiten und Sachen sind und Ziele verfolgen. Die Ziele einer Organisation sind vielfältig. Man kann sie unterteilen in Leistungsziele, Wachs-tumsziele, Ertragsziele, Stabilitätsziele und Gleichgewichtsziele usw. Die Leistungsziele bzw. strategischen Ziele werden direkt aus dem Leitbild und aus der Strategie der Organisation abgeleitet. Sie beziehen sich auf die Kunden und Märkte sowie auf die Produkte und Dienstleistungen, welche eine Organisation erbringt. Profi t-Organisationen wollen damit materiellen Gewinn erwirtschaften. Non-Profi t-Organisationen verfolgen in erster Linie soziale, gesellschaftliche oder ideelle Ziele. Wenn die Gefahr besteht, dass Ziele nicht erreicht werden, spricht man von Risiken. Organisationen verfolgen neben den ausdrücklich formulierten Leistungszielen auch unausgesprochene Ziele. Sie beruhen oft auf Annahmen und als normal emp-fundenen Voraussetzungen. Dazu gehören z. B. Stabilität und Kontinuität. Menschen und Organisationen gehen oft von der einfachen Erwartung aus, dass keine unvor-hergesehenen Störungen, Notfälle oder Krisen eintreten, welche die Leistungsziele in Frage stellen. Schließlich sind Organisationen bestrebt, mit ihrem Umfeld, in das sie eingebettet sind, eine harmonische Beziehung zu pfl egen. Sie wollen in Einklang sein mit den sozialen, ökologischen, ökonomischen, rechtlichen oder ethischen Wertvorstellungen und Erwartungen ihrer unmittelbaren Umgebung. Die Pfl ege positiver Wechselwir-kungen zwischen der Organisation und ihrem Umfeld steht dabei im Vordergrund. Die Menschen, die eine Organisation lenken, bemühen sich, die Spannungen mit dem Umfeld auszugleichen. Wenn externe Erwartungen nicht erfüllt werden, entstehen Nachteile, die sich indirekt auf die Organisation auswirken. Deshalb orientiert sich das Risikomanagement auch an den vorhandenen Gegebenheiten, die das Umfeld ausmachen oder die in der Organisation selbst bestehen.

2.1.3 Wahrscheinlichkeit als Maß für die Unsicherheit

Ein bestimmendes Element des Risikos ist die Wahrscheinlichkeit, mit der ein Ereig-nis eintritt oder eine (oft ungünstige) Entwicklung ihren Lauf nimmt. Oft ist unklar, wie sich dieser Unsicherheitsfaktor auf die Ziele und Erwartungen der Organisation auswirkt. Die Wahrscheinlichkeit ist das Maß für die Unsicherheit. Im Umgang mit dem Begriff der Wahrscheinlichkeit herrscht in der Mathematik weitgehend Einigkeit. Uneinigkeit besteht jedoch darüber, worauf die Rechenregeln der mathematischen Theorie angewendet werden dürfen. Dies führt zur Frage nach der Interpretation des Begriffs «Wahrscheinlichkeit». Dabei stehen mehrere, unterschiedliche Auffassungen im Vordergrund.1

1 http://de.wikipedia.org/wiki/Wahrscheinlichkeit, Januar 2010.

Brühwiler Risikomanagement Inhalt.indd 24Brühwiler Risikomanagement Inhalt.indd 24 22.02.2011 11:12:2122.02.2011 11:12:21

Page 25: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

25Merkmale des Risikos

– Die aleatorische Wahrscheinlichkeit beschreibt die relative Häufi gkeit zukünftiger Ereignisse, die von einem zufälligen physikalischen Prozess bestimmt werden. Deterministische Prozesse sind i. d. R. mit ausreichender Information vorhersagbar. Das Ergebnis von zufälligen Prozessen (Würfelspiel, Wettervorhersage) ist i. d. R. im Einzelfall nicht genau vorhersagbar (so auch nicht die Entwicklung einer Orga-nisation in der Zukunft). Erst durch die Anwendung des Häufi gkeitsprinzips bzw. durch das «Gesetz der großen Zahl» ist die Voraussetzung für die Anwendung von Wahrscheinlichkeiten gegeben.

– Die epistemische Wahrscheinlichkeit beschreibt die Unsicherheit von Aussagen, bei denen kausale Zusammenhänge und Hintergründe nur unvollständig bekannt sind. Solche Aussagen können sich auf vergangene und auf zukünftige Ereignisse beziehen. Diese Interpretation der Wahrscheinlichkeit kommt vor allem in der Politik, der Wirtschaft und in der Rechtsprechung vor.

– Die bayessche Wahrscheinlichkeit steht für den Grad an persönlicher Überzeu-gung betreffend den Eintritt eines Ereignisses oder einer Entwicklung. Die Wahr-scheinlichkeit drückt den Grad der (Un-)Sicherheit in der persönlichen Einschät-zung eines Sachverhaltes oder einer Entwicklung aus.

Wahrscheinlichkeiten werden entweder als Prozentsätze (z. B. 20 %), als Dezimalzah-len (z. B. 0,2) oder als Häufi gkeiten (2 von 8 oder zweimal in zehn Fällen) angegeben. Ein Ereignis oder eine Entwicklung, die sicher eintritt, hat die Wahrscheinlichkeit W = 1. Ein unmögliches Ereignis bzw. eine unmögliche Entwicklung nimmt den Wert W = 0 an. Alle Stufen von mehr oder minder wahrscheinlichen Auswirkungen liegen dazwischen. Im Risikomanagement spielt die Wahrscheinlichkeit als Maß für die Unsicherheit eine zentrale Rolle. Es wäre natürlich wünschbar, eine aleatorische, streng statistische Wahrscheinlichkeits-Konzeption zu verfolgen. Doch die vielen Lebensbereiche, in denen Unsicherheiten vorhanden sind, lassen sich meistens nicht mit ausreichender Information deterministisch erfassen. Es fehlt i.d.R. die «Große Zahl» an beobacht-baren Ereignissen oder Entwicklungen. Der epistemischen Wahrscheinlichkeits-Konzeption kommt in Organisationen eine besondere Bedeutung zu, weil die kausalen Zusammenhänge und Hintergründe oft nur ungenügend bekannt sind. Die Komplexität der Wirklichkeit ist enorm und sie nach zwingender Logik zu strukturieren entsprechend schwierig. Die Unsicherheit wird zwar mit einem Wahrscheinlichkeitswert beschrieben, doch dieser beruht auf einer Interpretation einer Vielzahl logisch erscheinender Zusammenhänge. Auch die bayessche Wahrscheinlichkeits-Konzeption spielt im Risikomanagement von Organisationen eine dominante Rolle. Risikoeigner haben über die Unsicher-heit des Eintritts von Ereignissen eine – mehr oder weniger – intuitive, vielfach auf individuellen Erfahrungen beruhende Meinung. Sie drücken mit einem Wahrschein-lichkeitswert die persönliche Einschätzung aus. Vielfach bilden sie dazu Stufen oder Klassen wie «unwahrscheinlich», «sehr selten», «selten», «möglich» oder «häufi g». Je größer der Erfahrungsbereich von Risikoeignern und Risikomanagern ist, desto zuverlässiger können sie die Wahrscheinlichkeit eines Ereignisses oder einer Entwick-lung einschätzen.

Brühwiler Risikomanagement Inhalt.indd 25Brühwiler Risikomanagement Inhalt.indd 25 22.02.2011 11:12:2122.02.2011 11:12:21

Page 26: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

26 Grundlagen des Risikomanagements

Wenn immer möglich, sollten für die Bestimmung der Wahrscheinlichkeit nicht subjektive Einschätzungen, sondern objektiv nachvollziehbare Werte herangezogen werden. In der Wirklichkeit ist diese Anforderung leider oft nicht erfüllbar.

2.1.4 Auswirkungen von Risiken auf die Ziele

Es gibt mehrere Möglichkeiten, die direkten und indirekten Auswirkungen von Risiken auf die Organisation bzw. auf ihre Ziele darzustellen. Der übliche Weg besteht darin, Stufen oder Klassen zu bilden, die einen Bezug zu einem Ziel oder einer Erwartung haben. Die Stufen werden oft mit «unbedeutend», «gering», «spürbar», «kritisch», «katastrophal» oder ähnlich bezeichnet. Es ist wichtig zu verstehen, was sie bedeu-ten. So kann «katastrophal» verstanden werden als «Konkurs» oder als «Todesfall», je nach inhaltlicher Bedeutung des Risikos und dem Zusammenhang, in dem es gebraucht wird. Eine gängige, weit verbreitete Darstellung eines zukünftigen, unsicheren Ereig-nisses oder einer ungeplanten Entwicklung ist das Risikoszenario mit den beiden Elementen der Wahrscheinlichkeit des Eintritts und der Auswirkung auf die Ziele. Das Risikoszenario umschreibt eine konkrete Bedrohung, die auf bestimmte Ursachen zurückzuführen ist und die Ziele der Organisation vielfältig beeinträchtigen kann. Der Begriff des « Credible-Worst-Case-Szenarios» ist weit verbreitet. Er bezeichnet einen schlimmstmöglichen, aber dennoch vorstellbaren Fall. Die Menschen können sich dabei gut vorstellen, worum es beim Risiko geht. Oft wird aber ein Risiko nicht als Extremfall beschrieben, sondern es werden auch mittlere und minimale Varianten für ein bestimmtes Szenario in Betracht gezogen. Damit sollen die Auswirkungen eines Risikos auf die Ziele der Organisation in einer bestimmten Bandbreite dargestellt werden. Bei quantitativ messbaren Zielen, die vorwiegend in Profi t-Organisationen anzu-treffen sind, lässt sich das Risiko oft als statistische Verteilung abbilden. Dies ist sinnvoll, wenn der mathematische Wahrscheinlichkeitsbegriff angewendet wird und eine historische Datengrundlage vorhanden ist. Durch die Verallgemeinerung von Erfahrungen der Vergangenheit und ihre Extrapolation in die Zukunft werden die Wahrscheinlichkeit und die Auswirkung des Risikos beschrieben. Diese Praxis ist in der Finanzindustrie weit verbreitet. Dabei lässt sich das Risiko mit der Standardab-weichung und/oder mit dem Value at Risk beschreiben. Die Darstellung des Risikos mit einer Wahrscheinlichkeitsverteilung hat auch den Vorteil, dass sich negative wie positive Werte, also auch Chancen, abbilden lassen.

2.1.5 Risiko als Ereignis bzw. als Entwicklung

Wer von einem Risiko spricht, denkt an ein bestimmtes Ereignis oder an eine konkrete Entwicklung von internen und / oder externen Umständen. Diese beiden Begriffe wiederspiegeln die seit jeher in der Risikoliteratur zu fi ndende Dualität des Risikobe-griffs. Früher sprach man bei den «Ereignissen» von statischen, reinen, messbaren und

Brühwiler Risikomanagement Inhalt.indd 26Brühwiler Risikomanagement Inhalt.indd 26 22.02.2011 11:12:2122.02.2011 11:12:21

Page 27: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

27Merkmale des Risikos

deshalb auch versicherbaren Risiken. Der Begriff «Sicherheitsrisiken» wiederspiegelt ebenfalls diese Ereignisrisiken. Demgegenüber umfassten die «Entwicklungen» die sogenannten Unternehmensrisiken, die Business-Risiken, die dynamischen, spekula-tiven und nicht messbaren oder strategischen Risiken2. Ereignisse treten plötzlich und überraschend ein, während Entwicklungen sich allmählich, schleichend und durchaus langsam einstellen. Es wurde auch versucht, die Risiken in Aktions- und Bedingungs-risiken zu unterteilen3. Wie immer auch diese Gliederungsversuche ausgefallen sind, niemand hat es bisher geschafft, eine klare Trennlinie zu defi nieren. So können Ereig-nisse bestimmte Entwicklungen auslösen (Terrorakt von 9/11 führte zum Krieg gegen den Terror) oder Entwicklungen können zu Ereignissen führen (Klimaveränderung führt zu mehr Stürmen und Überschwemmungen). Unbestritten ist die Tatsache, dass Risiken in der Zukunft liegen und ihr Eintritt und ihre Auswirkung unsicher bzw. ungewiss sind. Das Risiko kann auch als eine Kombination zwischen Eintrittswahrscheinlichkeit und Auswirkung auf die Ziele der Organisation verstanden werden. Diese Kombination kann, muss aber nicht in einer Multiplikation von Eintrittswahrscheinlichkeit und Auswirkung bestehen.

2.1.6 Risiko als Chance und Gefahr bzw. Bedrohung

Die Unterscheidung zwischen den zwei Risikogruppen, Ereignis einerseits bzw. Ent-wicklung andererseits, führte immer auch zur Interpretation, dass der einen Gruppe Gewinnchancen, der andern jedoch ausschließlich ein Verlustpotenzial zugeordnet werden kann. Wenn man z. B. von Unternehmensrisiken spricht, erwartet man selbstverständlich das Bestehen von negativen Bedrohungen und von Chancen. Spricht man hingegen von den Sicherheitsrisiken wie Arbeitssicherheit, Produktsicherheit (Gesundheits-risiken durch fehlerhafte Produkte) oder von Patientensicherheit (fehlerhafte Behand-lung im Krankenhaus), so kann man die Chancen solcher Risiken nicht immer erken-nen. Doch bei vielen Risiken, auch wenn sie konkret die Gesundheit von Menschen betreffen, fi ndet letztlich ein Abwägen zwischen den Chancen und dem Schadens-potenzial statt. Ein Medikament oder ein Medizinprodukt kann auf der einen Seite Nebenwirkungen und ein hohes Gesundheits- oder Integritätsrisiko für den Patienten aufweisen. Diesem Risiko steht auf der anderen Seite eine möglicherweise erhebli-che Verbesserung der Lebensqualität oder der Lebensdauer als Chance gegenüber. Ohne dieses Spannungsfeld zwischen großer Chance und eher begrenztem Schadens-potenzial würde sich kein Patient im Spital einer Operation unterziehen. Die Auseinandersetzung mit dem Risikomanagement soll hier aber nicht dazu führen, ein isoliertes Chancenmanagement zu entwickeln. Wer in unserer Wirt-schaftswelt heute von Risiko spricht, denkt vor allem daran, dass Ziele verfehlt und Erwartungen enttäuscht werden.

2 Siehe Brühwiler, B.: 1980, S. 1 ff. 3 Siehe Haller, M.: 1999, S. 90.

Brühwiler Risikomanagement Inhalt.indd 27Brühwiler Risikomanagement Inhalt.indd 27 22.02.2011 11:12:2222.02.2011 11:12:22

Page 28: Bruno Brühwiler Risikomanagement als Führungsaufgabe file3 Haupt Verlag Bern · Stuttgart · Wien Bruno Brühwiler Risikomanagement als Führungsaufgabe ISO 31000 mit ONR 49000 wirksam

28 Grundlagen des Risikomanagements

2.1.7 Defi nition von Risiko

Nachdem die entscheidenden Merkmale des Risikos dargestellt worden sind, stellt sich die Aufgabe, den Begriff Risiko zu defi nieren. In der Statistik, in der Entschei-dungstheorie, in den Ingenieurswissenschaften, in der Soziologie, in der Philosophie und in den Wirtschaftswissenschaften werden je unterschiedliche Ansätze verfolgt. Diese Vielfalt deutet darauf hin, dass Risiko ein abstrakter und komplexer Begriff ist. Nachfolgend interessieren vor allem die Ansätze aus den Wirtschaftswissenschaften. Aus den vielen Defi nitionen seien folgende erwähnt:

Risiko = Gefahr einer (negativen) Zielabweichung

Schon vor vielen Jahren wurde Risiko in der betriebswirtschaftlichen Literatur als Gefahr einer (negativen) Zielabweichung defi niert.4 Das Risiko beinhaltet die Möglich-keit einer unerwarteten Abweichung von Zielen oder die möglichen Konsequenzen der Nichterfüllung von Anforderungen.5 Ähnliche Defi nitionen verstehen unter Risiko die Gefahr, einen Schaden oder Verlust zu erleiden.6 Risiko bedeutet auch einen Schaden oder Verlust als Konsequenz eines bestimmten Verhaltens oder Geschehens.7

Risiko = Kombination von Wahrscheinlichkeit und Auswirkung

Die Welt der Normung beschäftigt sich eingehend mit dem Begriff des Risikos. In ISO Guide 51 wird Risiko defi niert als Kombination von Wahrscheinlichkeit eines Scha-denseintrittes und seinem Schadensausmaß8. Der alte ISO/IEC Guide 73 vereinfachte den Begriff des Risikos auf die «Kombination von Wahrscheinlichkeit und Auswirkung eines Ereignisses»9. Dabei können die Auswirkungen positiv oder negativ sein. In diese Defi nition könnte man auch die statistischen Risikobegriffe einordnen, die in den Finanzwissenschaften und im Finanzmanagement verwendet werden. Dazu gehört einerseits die Standardabweichung als Maß für das Risiko. Sie kommt im Asset Management zur Anwendung. Andererseits fi ndet das Konfi denzniveau einer Verteilungsfunktion unter dem Begriff «Value at Risk» immer mehr Beachtung für die Bestimmung eines quantifi zierbaren Risikos.10 Beide statistischen Risikobegriffe stellen eine Kombination von Wahrscheinlichkeit und Auswirkung eines Ereignisses oder einer Entwicklung dar.

Risiko = Auswirkungen von Unsicherheit auf Ziele

Nachfolgend wird Risiko11 wie folgt defi niert und verstanden:

4 Vgl. Brühwiler 1980, S. 40. 5 Vgl. Brühwiler 2003, S. 30. 6 Vgl. Kendall 1998, S. 11.7 Vgl. Romeike 2004, S. 102. 8 Vgl: ISO Guide 51:1999. 9 Vgl: ISO Guide 73:200210 Vgl. Kapitel 5.6. Statistische Methoden. 11 In Anlehnung an die Defi nitionen in ISO 31000, dem neuen ISO Guide 73 und der ONR 49000-Serie.

Brühwiler Risikomanagement Inhalt.indd 28Brühwiler Risikomanagement Inhalt.indd 28 22.02.2011 11:12:2222.02.2011 11:12:22