Zürich, 7. Mai 2013 – Unternehmen kennen zwar die potenziellen Risiken aus Naturkatastrophen, sind jedoch noch zu wenig vorbereitet, um deren Auswirkungen zu minimieren. Dies ist das Ergebnis einer Umfrage «Natural catastrophes: business risks and preparedness», die Zurich Insurance Group (Zurich) heute veröffentlichte. Die Umfrage wurde im Januar 2013 von der Economist Intelligence Unit durchgeführt und von Zurich gesponsert. Sie unterstützt die Aktivitäten der Gruppe, um das Verständnis für Risiken zu fördern und deren Auswirkungen abzuschwächen.
Für die Studie wurden 170 Führungskräfte aus mittelgrossen und grossen Unternehmen rund um den Globus befragt. Die Ergebnisse bestätigten die bei Unternehmen weit verbreitete Wahrnehmung, dass Naturkatastrophen immer häufiger und schwerwiegender werden, und dass die Beurteilung und Minderung der damit verbundenen Risiken wichtig sind.
Die Befragten gaben an, dass sich ein Betriebsunterbruch infolge einer Naturkatastrophe auf zahlreiche Bereiche des Unternehmens auswirken würde. Am stärksten betroffen wären die Aufrechterhaltung von IT-Support, von Lieferketten und von geschäftskritischen Funktionen. Die Studie zeigt, dass es ein erhebliches Verbesserungspotenzial bei der Planung und dem Kontinuitätsmanagement der Unternehmen gibt. Dies gilt für geschäftskritische Funktionen und stellt insbesondere für die IT-Funktionen vieler Unternehmen ein ernstes Problem dar.
Obwohl die meisten der befragten Unternehmen vereinzelte Massnahmen zur Minderung der Bedrohungen für ihre IT-Systeme ergriffen haben, ist die Anwendung systematischer, integrierter Ansätze für das Risikomanagement noch erstaunlich selten. Aus den Ergebnissen lässt sich schliessen, dass die Unternehmen diese Herausforderungen zwar kennen, die meisten von ihnen jedoch noch keinen ganzheitlichen Risikomanagement-Ansatz entwickelt haben.
46 Prozent der Befragten gaben an, dass der IT-Support am schwersten von Ausfällen betroffen wäre, gefolgt von geschäftskritischen Funktionen und Lieferketten mit jeweils 44 Prozent. Die Lieferkette im Fall einer Naturkatastrophe aufrecht zu erhalten ist schwer, da sie sich gewöhnlich der direkten Kontrolle eines Unternehmens entzieht und sich oft auf verschiedenste Aspekte der Infrastruktur auswirkt. Das zeigt klar auf, wie wichtig die Vorbereitung und das profunde Verständnis für die Schwachstellen eines Unternehmens sind. Insgesamt betrachtet weisen diese Ergebnisse darauf hin, dass ein erhebliches Verbesserungspotenzial besteht. Anlass zu Hoffnung gibt, dass die Sicherheit sensibler Daten mit einem geringeren Ausfallrisiko in Verbindung gebracht wird. Dies könnte ein Zeichen dafür sein, dass die Unternehmen bereits Schritte unternommen haben, um ihre zentralen IT-Ressourcen auch vor Naturkatastrophen zu schützen.
Weltweit analysieren Unternehmen die Geschäftsrisiken im Zusammenhang mit Naturkatastrophen nicht systematisch
Weniger als die Hälfte der Befragten (45 Prozent) geben an, dass sie Szenario-Analysen anwenden, um die Risiken von Naturkatastrophen zu beurteilen. Weitere 16 Prozent verwenden Beurteilungen von Dritten, aber fast drei von zehn (27 Prozent) erklären, keine systematische Beurteilung durchzuführen. Weiter geben etwa die Hälfte der Unternehmen, die keine Szenario-Analyse anwenden, an, überhaupt keine systematische Beurteilung der Risiken durchzuführen. Das bedeutet, dass viele Unternehmen nicht auf Naturkatastrophen vorbereitet sind, obwohl sie deren Auswirkungen kennen. Unzureichende Budgets und fehlende Fachkompetenz im Risikomanagement scheinen den Ergebnissen der Studie zufolge die primären Hindernisse zu sein.
Fast ein Fünftel (19 Prozent) der Unternehmen haben keine Strategie zur Minderung der IT-Risiken im Zusammenhang mit Naturkatastrophen implementiert. Etwa zwei Drittel (66 Prozent) der Unternehmen haben mindestens eine der drei unten genannten hardware-orientierten Strategien zur Minderung von Bedrohungen ihrer IT-Systeme implementiert. Dazu gehören die Unterbringung der IT-Infrastruktur ausserhalb von Risikogebieten, die Absicherung der IT-Infrastruktur gegen physische Einwirkung und der Einsatz von Frühwarnsystemen für Daten- und Ausfallsicherung. Natürlich versuchen die meisten Unternehmen, in irgendeiner Form aktiv zu handeln, doch nur eine kleine Minderheit setzt die komplette Palette der für sie verfügbaren wirksamen Instrumente zur Risikominderung ein. Und nur eine Minderheit überträgt ihre Risiken auf eine Versicherung (31 Prozent), um die eigenen Vorkehrungen zum Risikomanagement zu ergänzen.
Die Umfrage zeigt, dass Risiken aus Naturkatastrophen heute besser erkannt werden. Eine vollständige unternehmensweite Integration des Risikomanagements ist jedoch nach wie vor selten. Obwohl ein langfristiger Trend hin zu integrierten unternehmensweiten Risikomanagement-Programmen sichtbar ist, geht diese Entwicklung nur langsam vonstatten. Die grösste Schwachstelle im Risikomanagement rund um Naturkatastrophen ist gemäss einem Viertel der Befragten (24 Prozent), dass nicht alle vorhandenen Risiken im Notfallplan berücksichtigt sind. Fast genauso viele Befragte (22 Prozent) nennen hier die nicht klar definierte Verantwortlichkeit für die Risikomanagement-Funktion.
Herausforderungen bei der Entwicklung umfassender unternehmensweiter Risikomanagement-Strategien
Eine vollständige Integration der Bedrohungen aus Naturkatastrophen in das System zur Erkennung, Beurteilung und Kontrolle von Risiken wäre ein zentrales Element der Risikomanagement-Strategie. Auch wenn die Studie feststellt, dass viele Unternehmen in dieser Hinsicht bereits Massnahmen ergreifen, kommt sie doch zum Schluss, dass erheblich mehr Bemühungen erforderlich wären, um diese Risiken angemessen zu kontrollieren. Besonders wichtige Fortschritte wurden im Bereich der Strategien zur Minderung von IT-Risiken erzielt. Hier geben fast 80 Prozent der Befragten an, dass ihr Unternehmen mindestens eine hardwareorientierte sowie mindestens eine mitarbeiterorientierte IT-Risikomanagement-Strategie in Bezug auf Naturkatastrophen implementiert hat. Weiter sagen fast 60 Prozent, dass diese Initiativen weitgehend erfolgreich waren. Dennoch sind die Massnahmen zur Handhabung der Vernetzung von Risikoclustern weiterhin unzureichend, da nur eine Minderheit der Unternehmen ein umfassendes Risikoprofil für die Geschäftsleitung entwickelt hat.
Mangel an Ressourcen und Fachkompetenz
«Fehlende Ressourcen oder Fachkenntnisse sind die häufigsten Gründe, weshalb es Unternehmen nicht gelingt, effizientere Risikomanagement-Prozesse zu entwickeln und zu implementieren», so Axel P. Lehmann, Chief Risk Officer von Zurich. Tatsächlich sind viele der Befragten nicht in der Lage, ein überzeugendes Geschäftsszenario für Risikomanagement-Initiativen vorzulegen. «Doch auch wenn eingehende Analysen vielleicht klarere Informationen für die Entscheidungsträger liefern können, bleibt es den Chief Executive Officers und den Risk Officers überlassen, geeignete Risikostrategien zu entwickeln und ihre Unternehmen besser auf den Ernstfall vorzubereiten.»
Wie bereits aus der im vergangenen Jahr veröffentlichten Studie zum Thema «Risikomanagement in Zeiten globaler Unsicherheit» von Zurich und Harvard Business Review Analytic Services hervorging, besteht die Rolle des Chief Risk Officers darin, ein Rahmenwerk für ein unternehmensweites Risikomanagement zu erstellen, die Risikoübernahme in der gesamten Gruppe abzustimmen und zu kontrollieren, regelmässige Beratung und Kommunikation sicherzustellen und Ressourcen für ein besseres Management der Risiken bereitzustellen.