-- WEBONDISK OK --

01855 Praxisbeispiel Risikoanalyse

Die Norm ISO/IEC 31000 beschreibt in Abschnitt 5 den operativen Steuerungsprozess des Risikomanagements. Ziel dieses Prozesses ist der Umgang mit Unternehmensrisiken.
In dem vorliegenden Artikel wird der Anwendungsbereich auf das Management von IT-Risiken begrenzt. Es wird ein Excel-basiertes Risikobewertungssystem vorgestellt, das auf dem operativen Steuerungsprozess der ISO-Norm basiert und sich darüber hinaus an den allgemein anerkannten Umsetzungsempfehlungen des BSI-Grundschutzkompendiums orientiert.
Die Anwendung ist einfach aufgebaut, ohne auf die allgemein anerkannten Konzepte und Prinzipien der Risikobewertung und -behandlung zu verzichten. Die Lösung kann leicht an eigene Bedürfnisse angepasst und erweitert werden.
Arbeitshilfen:
von:

1 Einleitung

1.1 Begrifflichkeiten

Risiko
Was ist ein Risiko?
Die Norm ISO/IES 31000 definiert es so:
„Risiko ist die Auswirkung von Ungewissheit auf Ziele.”
Etwas praxisorientierter könnte man formulieren:
Risiko ist eine nach Eintrittswahrscheinlichkeit und Auswirkung
bewertete Bedrohung eines zielorientierten Systems.
Der Begriff „Risiko” umfasst sowohl die negative, unerwünschte und ungeplante Abweichung, als auch positive, also erwünschte Abweichungen von Systemzielen und deren Folgen.
Im Projektmanagement ist das Risiko eine Funktion von Kosten, Zeit und Umfang. Im Sicherheitsmanagement ist das Risiko eine Funktion der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.
Bedrohung, Chance
Entscheidende Faktoren für die Bewertung eines Risikos sind eine Bedrohung oder Chance, die bei Realisierung des Risikos zu einem Nachteil oder zu einem Vorteil führen können.
Eintrittswahrscheinlichkeit
Die Frage, ob oder wie auf ein erkanntes Risiko reagiert werden muss, wird über die Eintrittswahrscheinlichkeit bestimmt. Die Eintrittswahrscheinlichkeit kann über die Eintrittshäufigkeit je Zeiteinheit abgeschätzt werden.
Erwartungswert
Mathematisch ausgedrückt ist das Risiko das Produkt aus Schadenhöhe (bzw. Größe der Chance) und Eintrittswahrscheinlichkeit. Das Risiko ist somit der Erwartungswert des Schadens (bzw. der Chance).
Risikomanagement
umfasst koordinierte Aktivitäten zur ganzheitlichen Steuerung und Kontrolle einer Organisation hinsichtlich ihrer Risiken.
Prozessschritte
Das Risikomanagement ist in einen Managementprozess eingebettet, der gemäß ISO/IEC 31000 Risiken identifiziert, analysiert, evaluiert, behandelt, kontinuierlich überwacht und regelmäßig überprüft.
Das Risikomanagement hat einen internen und externen Kontext.
Externer Kontext
Der externe Kontext besteht aus den
kulturellen, sozialen, politischen, gesetzlichen, regulatorischen, finanziellen, technischen, ökonomischen, natürlichen und wettbewerblichen Einflussfaktoren, die sowohl international, national, regional oder lokal bestehen.
Der gesellschaftliche Kontext bestimmt die Risikowahrnehmung und die Wertbegriffe der jeweiligen externen Interessenvertreter.
Interner Kontext
Der interne Kontext gilt für die betrachtete Organisation. Er umfasst
die Governance-Ebene mit der Risiko-Trägerschaft,
die erlassenen Richtlinien, Zielsetzungen und Strategien,
Fähigkeiten hinsichtlich finanzieller und personeller Ressourcen und Wissen,
Informationssysteme, Informationsfluss und Entscheidungsfindung
Risikowahrnehmung und die Wertbegriffe der internen Interessenvertreter,
die Organisationskultur sowie
die Leistungserbringung im Verbund mit Vertragspartnern.
Ausgangsrisiko
Das Ausgangsrisiko ist das Risiko, das bereits besteht, bevor Maßnahmen zum Umgang mit dem Risiko getroffen wurden.
Restrisiko
Das Restrisiko ist das Risiko, das verbleibt, nachdem die Organisation Maßnahmen zur Behandlung des Risikos umgesetzt hat. I. d. R. wird das Restrisiko von der Organisation akzeptiert.

1.2 Gesetzliche und regulatorische Anforderungen

Steigende Anforderungen
Viele Gesetze und Regelungen erfordern schon heute ein Management von Risiken – unter Nutzung von Best Practice Lösungen, z. B.: auf Basis von COSO, CoBIT, BSI 200-3, ISO 27001 oder ITIL:
§ 91 Aktiengesetz (AkTG), KonTraG
§ 43 ff. GmbHG
§ 242 ff. HGB
25a KWG / MaRisk
EU-DSGVO, BDSG
SarbanesOxleyAct (SOX)
Der Umsetzungsdruck steigt. Darüber hinaus nehmen die branchenspezifischen regulatorischen Anforderungen zu.

2 Praktische Umsetzung

Die Norm ISO/IEC 31000 beschreibt als weltweit gültiger Standard die grundlegenden Konzepte und Abläufe zur Gestaltung eines Risikomanagementsystems. Die Risikoanalyse ist ein Bestandteil davon. In der nachfolgenden Umsetzung orientieren wir uns an dieser Norm.

Weiterlesen und „IT-Servicemanagement digital“ 4 Wochen gratis testen:

  • IT-Servicemanagement nach ISO 20000, IT Governance und IT Compliance
  • Zugriff auf über 220 Fachbeiträge und 160 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal