Die Gefahr eines Imageschadens bewerten

Reputationsrisiko in die Risk-Management-Strategie aufnehmen

Seite: 2/2

Firma zum Thema

Früherkennung eines drohenden Imageverlustes

Es liegt auf der Hand, dass die Phase der Ankündigung, also die Phase für den Zeitraum vor der Eskalation, mit einer Methode zur Früherkennung begegnet werden kann. Hierfür erscheint es zweckmäßig die FMEA/FMECA-Methode einzusetzen. Diese bekannte Methode wird mit einer geringfügigen Anpassung in diesem Kontext verwendet.

Kern der Methode ist die Abschätzung des Risikos z. B. des Eintretens eines Fehlers in der Technik und die Betrachtung der Auswirkung. Um ein fassbares Maß für das Risiko eines Fehlers zu erhalten, wird die so genannte Risikoprioritätszahl (RPZ) berechnet. Diese setzt sich aus dem Produkt der Eintrittswahrscheinlichkeit einer fehlerhaften Aktivität (A), der Bedeutung (B) und der Entdeckungswahrscheinlichkeit (E) zusammen.

Hieraus ergibt sich die Formel RPZ = A * B * E. Die drei Faktoren werden als natürliche Zahl zwischen eins und zehn angegeben, wobei ein kleiner Wert (nahe eins) ein geringes Risiko und ein großer Wert (nahe zehn) ein ernsthaftes Risiko darstellt. Die Risikoprioritätszahl kann demzufolge einen Wert zwischen eins und 1.000 anehmen.

Im Falle des Reputationsrisikos haben wir es üblicherweise mit einer fehlerhaften Aktivität der Betroffenen zu tun. Deshalb müsste die RPZ des Reputationsrisikos durch das Produkt der Eintrittswahrscheinlichkeit einer fehlerhaften Aktivität (A), der Bedeutung oder Auswirkung der fehlerhaften Aktivität auf die Firma oder den Betroffenen (B) und die Entdeckungswahrscheinlichkeit durch die Medien (E) bestimmt werden.

Auswirkungen des Reputationsrisikos mindern

Darüber hinaus ist ein Instrument für die Kommunikationsphase notwendig, also die Phase nach der Eskalation. In dieser Phase kann mit Methoden des Business Continuity gearbeitet werden. Der Eintritt eines Reputationsrisikos ist ein überaus seltenes Ereignis, jedoch mit gravierender Auswirkung für ein Unternehmen.

Für derartige Fälle sind insbesondere die Methoden des Business Continuity prädestiniert. Es müsste – in Anlehnung an ein Businness Continuity Plan (BCP) – ein Reputation Continuity Plan (RCP) für die Kommunikation im Fall eines eingetretenen Reputationsrisikos entworfen werden, um das eingetretene Reputationsrisiko abzumildern.

Somit ist die oben erwähnte MTPCV direkt vergleichbar mit der MTPD (Maximum tolerable Period of Disruption) eines Business-Continuity-Management-Systems wie gemäß der BS25999:2008. Dabei handelt es sich um den im Dezember 2008 von der British Standard Institution vorgestellten Standard „Information and communications technology continuity management – Code of practice“.

Ist der Ruf erst ruiniert…

Bei Überschreitung der MTPD-Zeitspanne ist ein Unternehmen „verloren“, wenn bis dahin der BCP nicht gegriffen hat. Dies gilt ebenso für die MTPCV, wenn keine Kommunikation (RCP) nach außen erfolgt ist. Die Reputation geht dann im nahezu freien Fall verloren, meist mit fatalen finanziellen Folgen.

Letztlich kommt es darauf an, in der richtigen Phase einer Krise die für das jeweilige Unternehmen richtigen Maßnahmen zu ergreifen. Firmen, die allerdings bereit sind, das Reputationsrisiko in ihr Risikomanagement aufzunehmen und die damit verbundenen Konsequenzen entsprechend beherzigen, sind definitiv besser aufgestellt. Denn sie fangen an, auch dieses schwer zu greifende Risiko systematisch zu managen.

Dr. rer. nat. Wolfgang Böhmer

Dr. rer. nat. Wolfgang Böhmer ist zertifizierter CISSP, CISA, ISO27001 LA, BS 25999 LA sowie GS Auditor 27001.

(ID:2041630)