Bernd Lohmeyer
Bessere Risikoprävention durch dynamische Schutzmaßnahmen
Aktualisiert: 11. Sept.
Durch die Dynamisierung der Schutzmaßnahmen kann man auch einer heterogenen Risikolage Herr werden. Bei gleichem Investment kann das Sicherheitsniveau und damit der Return On Investment signifikant gesteigert werden. Dieser Artikel basiert darauf, dass wir uns der Risikolage eines Unternehmens von den Prozessen her nähern: Kostenreduzierung durch prozessbasierte Risikoanalyse.
Ausgangslage
Zu oft ist die genaue Risikolage eines Unternehmens nur unzulänglich bekannt. Man weiß, dass die Anlagen des Unternehmens einem Risiko unterliegen. Schließlich sind technische Einrichtungen in ihrer Gesamtheit immer irgendwie gefährdet. Wo aber genau die Risiken liegen und welcher Art diese sind, ist oft unklar. Daher wird dem allgemeinen Risiko mit einer großen Feuerpatsche entgegen getreten. Oder lassen Sie es mich anders ausdrücken: Das Unternehmen breitet über den gesamten Anlagenpark eine gleichbleibend stabile (oder eher instabile) “Feuerdecke” aus.
Lassen Sie mich ein Bild bemühen: Es ist Weihnachten. Sie schmücken den Baum mit echten Kerzen. Da Sie gegen die erhöhte Feuergefahr gewappnet sein möchten, sorgen Sie für Löschwasser. 20 Liter sollten für den Sofortangriff reichen. Sie verteilen also das Wasser in Schnapsgläser gefüllt im ganzen Haus. Das ist absurd, werden Sie einwenden. Und warum? Weil Sie die Risikolage kennen. Wenn es zu einem Brand kommen sollte, entsteht der beim Weihnachtsbaum im Wohnzimmer (oder wo der auch immer stehen mag) – und nicht im Badezimmer. Sie stellen daher einen Eimer mit hinreichend Wasser in dessen Nähe.
Das Beispiel zeigt sehr deutlich, dass es enorm hilft, die Risikolage genau zu kennen. Doch das ist in vielen Unternehmen nicht hinreichend der Fall. Häufig stoßen wir auf eine indifferente Risikokenntnis.

Indifferente Risikolage: Die Risikolage ist nur unzureichend bekannt
Auf einer unklaren Grundlage kann man nur unklare Maßnahmen ergreifen. Der Anlagenpark wird also gleichmäßig mit gleichstarken Schutzmaßnahmen bedacht.

Der Anlagenpark wird gleichmäßig mit allgemeinen Risikomaßnahmen bedacht
Die wirklich Risikolage
Doch die Risikolage eines Unternehmens sieht nie so gleichförmig aus. Es gibt immer Bereiche mit einem geringeren und einem höheren bis hohen Gefährdungspotenzial. In einem vorangegangenen Artikel habe ich das ja bereits beispielhaft dargelegt (End-to-end example of process based risk analysis).
Die Prozessbasierte Risikoanalyse zeigt die unternehmenskritischen Risikolage deutlich. Es gibt Anlagenbereiche mit vernachlässigbarem Risiko. Andere Bereiche würden bei einem Ausfall den Betrieb -und schlimmstenfalls das Unternehmen selbst- ernsthaft gefährden.

Risikolage über das gesamte Unternehmen hinweg
Risikobekämpfung mit der Gießkanne
Begegnet man dieser heterogenen Risikolage mit standardisierten Maßnahmen, die gleich dem Gießkannenprinzip die Anlagenlandschaft bedecken, werden bestenfalls niedrige Risiken abgesichert.

Risikolage mit Standardschutz: Mittlere und hohe Risiken werden nicht abgefangen
Vielen Unternehmen ist das glücklicherweise zu gefährlich. Sie nehmen deutlich mehr Geld in die Hand, um das Sicherheitsniveau anzuheben. Das Sicherheitsniveau wird durch zusätzliche Mittel gesteigert – eine zweite Ladung aus der Gießkanne sozusagen.

Risikolage mit Intensivschutz: Es werden auch mittlere Gefährdungspotenziale abgedeckt. Nicht aber die hohen Risiken…
Dynamisierte Schutzmaßnahmen statt Gießkanne
Um die verbleibenden Risikopotenziale mit dem zuvor beschriebenen Gießkannenprinzip abzudecken, müsste man so viel investieren, dass auch das gesündeste Unternehmen in die Knie ginge. Es wäre zwar nicht durch Feuer oder Umweltkatastrophen ruiniert, aber zumindest finanziell “abgebrannt”. Es hilft also nur eine dynamische Anpassung der Schutzmaßnahmen an den Schutzbedarf.

Risikolage mit dynamisch angepassten Schutzmaßnahmen
Hat man die Unternehmensprozesse hinsichtlich ihrer Relevanz für den Geschäftsbetrieb und die darin eingebundenen technischen Anlagen hinsichtlich ihrer Gefährdung analysiert, kennt man die Risikolage. Das ermöglicht die Dynamisierung der Schutzmaßnahmen und optimiert somit die Risikoprävention. Anlagen mit minderem Risikopotenzial werden mit einfachen Maßnahmen abgesichert. Die dadurch eingesparten Mittel steckt man in die Absicherung risikoreicher Anlagen.
Optimierungspotenzial
Daraus ergeben sich zwei Optimierungsperspektiven:
Minimalprinzip: Mit reduzierten Mitteln das gleiche Sicherheitsniveau gewährleisten.
und / oder
Maximalprinzip: Mit den bisher eingesetzten Mitteln die Sicherheitslage deutlich optimieren.
Je nach Unternehmen oder Risikosituation kann man die eine oder die andere Perspektive einnehmen. Beide Perspektiven verdeutlichen aber, wie der Return On Investment durch diesen Ansatz optimiert wird.
Fazit
Die Risikosituation eines Unternehmens ist in der Regel äußerst heterogen. Mit der Gießkanne verteilte Maßnahmen der Risikoprävention helfen nicht. Die Schutzmaßnahmen müssen sich in Umfang und Qualität an den einzelnen Schutzbedarf einer Anlage anpassen. Hierfür muss man die prozessuale Relevanz einer Anlage kennen. Durch die Dynamisierung der Schutzmaßnahmen lassen sich dann bei gleichem Sicherheitsniveau Mittel sparen und / oder das Sicherheitsniveau steigern.
Welche Optimierungspotenziale sehen Sie durch diese Dynamisierung? Ich freue mich auf Ihre Kommentare. Vielleicht interessiert dies auch Ihre Kollegen und Kunden. “Teilen” und +1 stehen zur Verfügung.
#Risikomanagement #BusinessProcessAnalysis #Methodik #Projektmanagement #ReturnOnInvestment