01855 Praxisbeispiel Risikoanalyse
|
Die Norm ISO/IEC 31000 beschreibt in Abschnitt 5 den operativen Steuerungsprozess des Risikomanagements. Ziel dieses Prozesses ist der Umgang mit Unternehmensrisiken.
In dem vorliegenden Artikel wird der Anwendungsbereich auf das Management von IT-Risiken begrenzt. Es wird ein Excel-basiertes Risikobewertungssystem vorgestellt, das auf dem operativen Steuerungsprozess der ISO-Norm basiert und sich darüber hinaus an den allgemein anerkannten Umsetzungsempfehlungen des BSI-Grundschutzkompendiums orientiert.
Die Anwendung ist einfach aufgebaut, ohne auf die allgemein anerkannten Konzepte und Prinzipien der Risikobewertung und -behandlung zu verzichten. Die Lösung kann leicht an eigene Bedürfnisse angepasst und erweitert werden. Arbeitshilfen: von: |
1.1 Begrifflichkeiten
Risiko
Was ist ein Risiko?
Was ist ein Risiko?
Die Norm ISO/IES 31000 definiert es so:
„Risiko ist die Auswirkung von Ungewissheit auf Ziele.”
Etwas praxisorientierter könnte man formulieren:
| • | Risiko ist eine nach Eintrittswahrscheinlichkeit und Auswirkung |
| • | bewertete Bedrohung eines zielorientierten Systems. |
Der Begriff „Risiko” umfasst sowohl die negative, unerwünschte und ungeplante Abweichung, als auch positive, also erwünschte Abweichungen von Systemzielen und deren Folgen.
Im Projektmanagement ist das Risiko eine Funktion von Kosten, Zeit und Umfang. Im Sicherheitsmanagement ist das Risiko eine Funktion der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.
Bedrohung, Chance
Entscheidende Faktoren für die Bewertung eines Risikos sind eine Bedrohung oder Chance, die bei Realisierung des Risikos zu einem Nachteil oder zu einem Vorteil führen können.
Entscheidende Faktoren für die Bewertung eines Risikos sind eine Bedrohung oder Chance, die bei Realisierung des Risikos zu einem Nachteil oder zu einem Vorteil führen können.
Eintrittswahrscheinlichkeit
Die Frage, ob oder wie auf ein erkanntes Risiko reagiert werden muss, wird über die Eintrittswahrscheinlichkeit bestimmt. Die Eintrittswahrscheinlichkeit kann über die Eintrittshäufigkeit je Zeiteinheit abgeschätzt werden.
Die Frage, ob oder wie auf ein erkanntes Risiko reagiert werden muss, wird über die Eintrittswahrscheinlichkeit bestimmt. Die Eintrittswahrscheinlichkeit kann über die Eintrittshäufigkeit je Zeiteinheit abgeschätzt werden.
Erwartungswert
Mathematisch ausgedrückt ist das Risiko das Produkt aus Schadenhöhe (bzw. Größe der Chance) und Eintrittswahrscheinlichkeit. Das Risiko ist somit der Erwartungswert des Schadens (bzw. der Chance).
Mathematisch ausgedrückt ist das Risiko das Produkt aus Schadenhöhe (bzw. Größe der Chance) und Eintrittswahrscheinlichkeit. Das Risiko ist somit der Erwartungswert des Schadens (bzw. der Chance).
Risikomanagement
umfasst koordinierte Aktivitäten zur ganzheitlichen Steuerung und Kontrolle einer Organisation hinsichtlich ihrer Risiken.
umfasst koordinierte Aktivitäten zur ganzheitlichen Steuerung und Kontrolle einer Organisation hinsichtlich ihrer Risiken.
Prozessschritte
Das Risikomanagement ist in einen Managementprozess eingebettet, der gemäß ISO/IEC 31000 Risiken identifiziert, analysiert, evaluiert, behandelt, kontinuierlich überwacht und regelmäßig überprüft.
Das Risikomanagement ist in einen Managementprozess eingebettet, der gemäß ISO/IEC 31000 Risiken identifiziert, analysiert, evaluiert, behandelt, kontinuierlich überwacht und regelmäßig überprüft.
Das Risikomanagement hat einen internen und externen Kontext.
Externer Kontext
Der externe Kontext besteht aus den
Der externe Kontext besteht aus den
| • | kulturellen, sozialen, politischen, gesetzlichen, regulatorischen, finanziellen, technischen, ökonomischen, natürlichen und wettbewerblichen Einflussfaktoren, die sowohl international, national, regional oder lokal bestehen. |
| • | Der gesellschaftliche Kontext bestimmt die Risikowahrnehmung und die Wertbegriffe der jeweiligen externen Interessenvertreter. |
Interner Kontext
Der interne Kontext gilt für die betrachtete Organisation. Er umfasst
Der interne Kontext gilt für die betrachtete Organisation. Er umfasst
| • | die Governance-Ebene mit der Risiko-Trägerschaft, |
| • | die erlassenen Richtlinien, Zielsetzungen und Strategien, |
| • | Fähigkeiten hinsichtlich finanzieller und personeller Ressourcen und Wissen, |
| • | Informationssysteme, Informationsfluss und Entscheidungsfindung |
| • | Risikowahrnehmung und die Wertbegriffe der internen Interessenvertreter, |
| • | die Organisationskultur sowie |
| • | die Leistungserbringung im Verbund mit Vertragspartnern. |
Ausgangsrisiko
Das Ausgangsrisiko ist das Risiko, das bereits besteht, bevor Maßnahmen zum Umgang mit dem Risiko getroffen wurden.
Das Ausgangsrisiko ist das Risiko, das bereits besteht, bevor Maßnahmen zum Umgang mit dem Risiko getroffen wurden.
Restrisiko
Das Restrisiko ist das Risiko, das verbleibt, nachdem die Organisation Maßnahmen zur Behandlung des Risikos umgesetzt hat. I. d. R. wird das Restrisiko von der Organisation akzeptiert.
Das Restrisiko ist das Risiko, das verbleibt, nachdem die Organisation Maßnahmen zur Behandlung des Risikos umgesetzt hat. I. d. R. wird das Restrisiko von der Organisation akzeptiert.
1.2 Gesetzliche und regulatorische Anforderungen
Steigende Anforderungen
Viele Gesetze und Regelungen erfordern schon heute ein Management von Risiken – unter Nutzung von Best Practice Lösungen, z. B.: auf Basis von COSO, CoBIT, BSI 200-3, ISO 27001 oder ITIL:
Viele Gesetze und Regelungen erfordern schon heute ein Management von Risiken – unter Nutzung von Best Practice Lösungen, z. B.: auf Basis von COSO, CoBIT, BSI 200-3, ISO 27001 oder ITIL:
| • | § 91 Aktiengesetz (AkTG), KonTraG |
| • | § 43 ff. GmbHG |
| • | § 242 ff. HGB |
| • | 25a KWG / MaRisk |
| • | EU-DSGVO, BDSG |
| • | SarbanesOxleyAct (SOX) |
Der Umsetzungsdruck steigt. Darüber hinaus nehmen die branchenspezifischen regulatorischen Anforderungen zu.
