66
dass die Gefahr hoch ist, 5 Prozent sehr hoch.
In Zusammenhang mit den Cyberangriffen wur-
den die Probanden außerdem gefragt, ob ihr
Unternehmen hinsichtlich Cyber-Risiken abge-
sichert ist. Eine eindeutige Mehrheit von 89
Prozent der Unternehmen bejaht diese Frage-
stellung. Nahezu jedes dieser Unternehmen (99
Prozent) ist technisch abgesichert; darüber hin-
aus verfügen 33 Prozent zusätzlich über eine
Versicherung.
Risikoanalyse und -bewertung
Im nächsten Schritt wurden die Teilnehmer ge-
beten, darzulegen, wie oft Risiken in ihrem Un-
ternehmen identifiziert, analysiert, bewertet,
behandelt und überwacht werden. Bei 54 Pro-
zent der Unternehmen findet dies in regelmäßi-
gen Abständen statt, bei 22 Prozent bei Bedarf
und bei lediglich 17 Prozent kontinuierlich. Bei
einer Minderheit von 3 Prozent wird der Prozess
nie durchlaufen, bei 4 Prozent findet der Pro-
zess in dieser Art und Weise nicht statt.
Näher auf die Prozessschritte Risikoanalyse
und -bewertung eingehend, zielte eine weite-
re Frage darauf ab, festzustellen, wie Risiken
in den Unternehmen analysiert und bewertet
werden. Den Probanden standen folgende
litische, gesellschaftliche oder Katastrophen-
Risiken (vgl. Abbildung 6).
Aufgrund der aktuellen Brisanz wurde näher
auf das Thema Cyber-Risiken eingegangen. Die
Probanden wurden zunächst gefragt, wie sie
die Gefahr von Cyberangriffen auf ihr Unterneh-
men einschätzen. Lediglich 3 Prozent schätzen
die Gefahr als sehr gering ein, 24 Prozent je-
doch als gering. Der Großteil der Teilnehmer,
nämlich 42 Prozent, stuft die Gefahr von Cyber-
angriffen als mittel ein. 26 Prozent glauben,
Unternehmen verfügen über ein integriertes,
wertorientiertes Risikomanagementsystem der
Stufe 4 und 4 Prozent der Unternehmen über
ein holistisches, vollständiges Risiko- und
Chancenmanagementsystem (vgl. Gleißner
2016, S. 32; vgl. Abbildung 5).
Managementumfang von Risiken
Um einen Eindruck zu erhalten, in welchem
Ausmaß verschiedene Risiken in den Unter-
nehmen gemanagt werden, wurden die Teil-
nehmer dazu um eine Einschätzung gebeten.
Sie erhielten eine Auswahl an unterschiedli-
chen Risikoarten und konnten angeben, ob die
jeweilige Risikoart in ihrem Unternehmen in ei-
nem sehr geringen, geringen, mittleren, star-
ken oder sehr starken Ausmaß gemanagt
wird. Die Auswertung der Daten zeigt, dass
insbesondere finanzwirtschaftliche Risiken bei
den Unternehmen eine große Relevanz haben,
denn diese werden laut 61 Prozent der Teil-
nehmer stark oder sehr stark gemanagt, ge-
folgt von operationellen Risiken (56 Prozent),
wie bspw. fehlerhaften Transaktionen oder
Prozessfehlern, rechtlichen Risiken (51 Pro-
zent) und IT-Risiken (50 Prozent). Weniger Re-
levanz haben Absatzmarkt/Vertriebsrisiken
(42 Prozent stark bzw. sehr stark), Cyber-Risi-
ken, (39 Prozent), strategische Risiken (38
Prozent), Projektrisiken (35 Prozent), Perso-
nalrisiken (30 Prozent), Risiken aus Corporate
Governance und Organisation (26 Prozent) so-
wie externe Risiken (20 Prozent), wie z. B. po-
Abb. 5: Stufen des Risikomanagementsystems
Abb. 6: Managementumfang von Risiken
Risikomanagement und Risikocontrolling
