By: adminPosted on

Was ist ein Risikomanagementprozess und warum ist er notwendig?

Risiko stellt jede Art von Unsicherheit dar, die die Fähigkeit zur Erreichung Ihrer Ziele verbessern oder verringern kann. Es kann viele Formen annehmen, einschließlich Risiken, die Projekte, Finanzen, Sicherheit und Privatsphäre sowie die Umwelt betreffen. Sowohl für positive (Chancen) als auch für negative Risiken benötigen Sie einen absichtlichen Ansatz, um das Gleichgewicht zwischen Risiko und Ertrag zu verstehen. Dieser Artikel konzentriert sich auf den Prozess zum Verwalten von Risiken, die sich negativ auf Ihre Organisation auswirken können. Ähnliche Prozesse gelten für die Bestimmung, wie vorteilhafte Unsicherheiten, d. H. Positive Risiken, ausgenutzt werden können.

Die jüngste Geschichte hat die Auswirkungen hervorgehoben, die Risikofaktoren auf die Arbeitsweise von Unternehmen und Einzelpersonen haben können – und darauf, ob sie dies weiterhin tun können. Die Fähigkeit, Risiken besser als Wettbewerber zu steuern, wird sicherlich zum Erfolg des Unternehmens beitragen. Wenn Sie dies nicht tun, kann dies zu einer Katastrophe führen, die möglicherweise nicht wiederhergestellt werden kann.

Aus diesen Gründen ist es wichtig, einen bewährten und konsistenten Risikomanagementprozess anzuwenden. Wenn ein Risikomanagementprozess auf einer soliden Grundlage des Verständnisses der Ziele und des internen / externen Kontexts der Organisation aufbaut, trägt er dazu bei, den Erfolg Ihrer Organisation sicherzustellen.

Was sind die 5 Schritte des Risikomanagementprozesses?

Viele Wissenseinrichtungen haben das Risikomanagement dokumentiert, aber das vielleicht bekannteste ist das der Internationalen Organisation für Normung oder ISO. Der ISO 31000-Standard, Risikomanagement – Richtlinien, enthält umfangreiche Informationen darüber, wie verschiedene Risiken kommuniziert, verwaltet und überwacht werden können. Der Prozess ist für jede Art von Entität im Wesentlichen derselbe und umfasst die folgenden fünf Schritte:

Dieser Artikel ist Teil von

Was ist Risikomanagement und warum ist es wichtig?

  • Dazu gehören auch:
  • Governance, Risikomanagement und Compliance (GRC)
  • Risikovermeidung
  • Risikokarte (Risiko-Heatmap)

  1. Identifizieren Sie die Risiken.
  2. Analysieren Sie die Wahrscheinlichkeit und die Auswirkungen der einzelnen.
  3. Priorisieren Sie Risiken basierend auf Unternehmenszielen.
  4. Die Risikobedingungen behandeln (oder darauf reagieren).
  5. Überwachen Sie die Ergebnisse und verwenden Sie diese, um sie bei Bedarf anzupassen.

Obwohl diese Schritte einfach sind, hat jedes Unternehmen einzigartige Faktoren, die beeinflussen, wie es Risiken verwalten und überwachen sollte. Um diese Faktoren zu bestimmen und anzuwenden, ist es hilfreich, ein Risikomanagement-Framework als Teil eines umfassenden Ansatzes zur Planung, Ausführung und Verfolgung des Gesamtmanagements der verschiedenen Risiken anzuwenden.

Fünf Schritte des Risikomanagementprozesses
Abbildung 1. Ein effektives Risikomanagement erfordert diese fünf Schritte.

Es ist auch wichtig zu bedenken, dass das Ziel des Risikomanagementprozesses im Kontext eines breiten Rahmens nicht darin besteht, alle Risiken vollständig zu eliminieren, sondern angesichts Ihrer Ziele akzeptable Risikoniveaus zu bestimmen und dann daran zu arbeiten, diese Risikofaktoren innerhalb der vereinbarten Grenzen zu halten. Die folgenden Schritte helfen Ihnen dabei, bestimmte Aktionen zu bestimmen und anzuwenden.

Risiken identifizieren

Der erste Schritt besteht darin, die potenziellen Risiken selbst zu bestimmen. Das erfordert einen gewissen Kontext: Um zu überlegen, was schief gehen könnte, muss man mit dem beginnen, was richtig gehen muss.

Beginnen Sie den Prozess mit einer Überprüfung Ihrer Ziele und der verschiedenen Ressourcen oder Assets, die diese ermöglichen. Risikopraktiker wenden häufig einen Top-Down-Bottom-up-Ansatz an, um darüber nachzudenken, was diese Ziele behindern könnte.

Der Top-Down-Bereich berücksichtigt geschäftskritische Programme, die nicht beeinträchtigt werden sollten (z. B. Verkaufstransaktionen in einem Einzelhandelsgeschäft oder Herstellungsprozesse in einer Fabrik).

Für den Bottom-up-Teil kann man verschiedene bekannte Bedrohungsquellen (wie Erdbeben, Ransomware-Angriffe oder wirtschaftliche Abschwünge) betrachten und darüber nachdenken, welche Auswirkungen diese auf das Unternehmen haben könnten.

Da Risiko per Definition jede Unsicherheit ist, die sich auf Ziele auswirkt, ist ein Risiko nur dann ein Risiko, wenn es Auswirkungen hat. Je wirkungsvoller ein Risiko ist, desto höher ist die Priorität. Die Analyse dieser Priorität wird im nächsten Schritt erfolgen, aber zuerst muss man die verschiedenen Risikofaktoren berücksichtigen, um ein Szenario zu erstellen, das gemessen werden kann.

Der NIST Interagency Report (NISTIR) 8286A – „Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM)“ – enthält Anleitungen zur Entwicklung von Risikoszenarien. Dem Bericht zufolge müssen die folgenden vier Elemente vorhanden sein, um ein negatives Risiko zu beschreiben (siehe Abbildung 2):

  1. ein wertvolles Gut oder eine Ressource, die betroffen wäre;
  2. eine Quelle einer bedrohlichen Handlung, die gegen diesen Vermögenswert handeln würde;
  3. eine bereits bestehende Bedingung (oder Sicherheitsanfälligkeit), die es dieser Bedrohungsquelle ermöglicht, zu handeln; und
  4. eine schädliche Auswirkung, die von der Bedrohungsquelle ausgeht, die diese Sicherheitsanfälligkeit ausnutzt.

Mit diesen Bausteinen kann man eine breite Palette von Risikoszenarien zusammenstellen, die analysiert, sortiert und behandelt werden sollen. Die Beschreibung des Risikos als Szenario hilft bei der Kommunikation der Risikobedingungen und der Analyse der Wahrscheinlichkeit und Auswirkung des Risikos. Es macht es auch einfacher zu überlegen, wie man reagiert. Ein Beispielszenario könnte sein: „Die Produktionsanlage ist von einem Stromausfall infolge eines tropischen Sturms betroffen, der den Anlagenbetrieb für mehrere Tage unterbricht.“

Attribute eines negativen Risikos
Abbildung 2. Ein negatives Risiko ist definiert als mit diesen vier Attributen.

Im Nachhinein ist dies zwar nie perfekt, bietet jedoch nützliche Einblicke in die zukünftigen Risikoereignisse. Insbesondere kann es hilfreich sein, Schlagzeilen über Risiken zu lesen, denen ähnliche Unternehmen ausgesetzt waren, die Bedingungen, die sie ermöglichten, und wie sich die Risiken auf die Organisationen auswirkten.

Risikokategorien

Bei der Betrachtung verschiedener Arten von Risiken kann es hilfreich sein, sie in Kategorien einzuteilen. Durch diese Kategorisierung kann jede Art von Risiko von Einzelpersonen oder Teams, die mit bestimmten Themen vertraut sind, berücksichtigt und verfolgt werden. Zum Beispiel hat der Ausschuss der Sponsoring-Organisationen der Treadway-Kommission, eine gemeinsame Initiative von Berufsverbänden, die Leitlinien für das Risikomanagement bietet, vorgeschlagen, dass Risiken in die folgenden vier Bereiche unterteilt werden können:

  • strategisches Risiko (z. B. Reputation, Kundenbeziehungen, technische Innovation);
  • Finanz- und Berichtsrisiko (z. B. Markt, Steuern, Kredit);
  • Compliance- und Governance-Risiko (z. B. Ethik, Regulierung, internationaler Handel, Datenschutz); und
  • operationelles Risiko (z., Informations- und Technologiesicherheit und Datenschutz, Lieferkette, Arbeitsfragen, Naturkatastrophen).

Risikokategorien tragen auch dazu bei, Informationen zu integrieren, wenn Manager über die Risikoreaktion kommunizieren, diese verfolgen und anpassen. Für jede Risikokategorie stellt ein absichtlicher Prozess zur Entwicklung der Szenarien sicher, dass die Liste ausreichend umfassend ist. Es stehen viele Tools zur Verfügung, um die Szenarien zu visualisieren und zu bewerten. Beispiele hierfür sind die folgenden:

  • Risikostrukturpläne für Projektrisiken (z., „Use a risk breakdown structure (RBS) to understand your risks“);
  • Bedrohungsbäume für Cybersicherheitsrisiken (z. B. OCTAVE Allegro-Methodik von Carnegie Mellon); und
  • Delphi-Übungen zur Berücksichtigung des Anlagerisikos.

Die letzte Komponente dieses ersten Schritts, die Risikoidentifikation, besteht darin, die Ergebnisse in einem Risikoregister aufzuzeichnen. Das Risikoregister bietet ein Mittel zur Kommunikation und Verfolgung der verschiedenen Risiken in den nachfolgenden Schritten. Der oben zitierte NISTIR 8286-Bericht enthält ein Beispiel für ein solches Register sowie eine beispielhafte Risikodetailvorlage, in der viele der Ergebnisse der Risikomanagementprozessschritte aufgezeichnet werden.

Risikowahrscheinlichkeit und Auswirkungen analysieren

Wie oben erwähnt, ist ein Risiko nur dann ein Risiko, wenn es Auswirkungen hat.

Es gibt eine ganze Wissenschaft zur Risikoanalyse, aber im Wesentlichen ist dieser Schritt eine Berechnung der Wahrscheinlichkeit eines Risikoereignisses und eine Schätzung der Auswirkungen der Konsequenzen, wenn das passiert ist. Während es oft eine unmittelbare Auswirkung gibt, kann es auch andere nachfolgende Konsequenzen geben, daher ist es wichtig, jeden dieser Faktoren in den Berechnungen zu berücksichtigen. Betrachten Sie den Verlust eines Laptops mit Patientenakten – es wird einen sofortigen Sachschaden geben, aber der Verlust dieser Patienteninformationen könnte zu Geldstrafen, Klagen und Reputationsschäden führen, die die Kosten des verlorenen Geräts bei weitem übersteigen.

Die Risikoanalyse sollte Zeitfaktoren als Teil der Berechnung einbeziehen. Finanzberichterstattungssysteme werden oft als kritisch angesehen, aber während der Steuervorbereitungszeit können ihre Integritäts- und Verfügbarkeitsanforderungen besonders wichtig sein. Die Häufigkeit von Risikoereignissen ist ein weiterer zu berücksichtigender zeitbasierter Faktor.

Viele Organisationen verwenden allgemeine oder qualitative Begriffe, um diese Werte auszudrücken. Beispielsweise verwenden wir häufig Begriffe wie „hohes Risiko“ oder „geringe Wahrscheinlichkeit“, um das Risiko zu kommunizieren, oder verwenden möglicherweise rot-gelb-grüne Farbschemata. Organisationen können von einem wissenschaftlicheren und spezifischeren quantitativen Ansatz zur Risikoanalyse profitieren. Beispielsweise kann der Ansatz der Faktorenanalyse des Informationsrisikos (FAIR), der im OpenFAIR-Standard der Open Group instanziiert ist, verwendet werden, um detaillierte Risikoberechnungen durchzuführen, die für die Schätzung hilfreicher als Farben sein können.

Es gibt Dutzende von Methoden, um sowohl qualitative als auch quantitative Risikoanalysen durchzuführen, von denen viele in der Norm ISO / IEC (International Electrotechnical Commission) 31010 „Risk management — Risk assessment techniques“ beschrieben sind.“ Diese Veröffentlichung weist darauf hin, dass die Techniken „im Rahmen der Risikobewertungsschritte zur Identifizierung, Analyse und Bewertung von Risiken gemäß ISO 31000 und allgemeiner verwendet werden, wenn Unsicherheit und ihre Auswirkungen verstanden werden müssen.“

Priorisierung nach Unternehmenszielen

Die Ergebnisse der Risikoanalyse ermöglichen es, die Risiken nach ihrer Wichtigkeit zu sortieren und zu ordnen. Da die Ressourcen wahrscheinlich begrenzt sind, hilft die Priorisierung, die Risiken hervorzuheben, die am wahrscheinlichsten und wirkungsvollsten sind. Die Darstellung dieser Ergebnisse in einer Risikokarte hilft, die relative Bedeutung jedes Risikos zu visualisieren, und kann auch hilfreich sein, um Risikobeobachtungen mit anderen Stakeholdern zu teilen – insbesondere mit denjenigen, die Ressourcen bereitstellen (oder autorisieren), um auf diese Risiken zu reagieren.

Während die anfängliche Priorisierung von Risiken auf der Kombination von Wahrscheinlichkeit und Auswirkung basieren kann, kann das endgültige Ranking von Faktoren beeinflusst werden, die für diese Stakeholder wichtig sind. Wenn beispielsweise die Führung zum Ausdruck gebracht hat, dass das Vertrauen der Kunden ein Schlüsselwert für das Unternehmen ist, könnten Risiken, die sich auf die Kunden auswirken könnten, hervorgehoben werden.

Risiken kostengünstig behandeln

Mit einer priorisierten Liste von Risiken besteht der nächste Schritt darin, die verfügbaren Optionen zur Behandlung dieser Risiken zu bewerten und verschiedene Methoden und Kontrollen anzuwenden, um ein akzeptables Risikoniveau zu erreichen. Dazu stehen verschiedene Optionen zur Verfügung, darunter die folgenden:

  • Wenn das Risiko, basierend auf dem Risikoappetit der Führung, bereits auf einem akzeptablen Niveau liegt, ist keine weitere Behandlung erforderlich.
  • Wenn es möglich ist, einen Teil der Auswirkungen mit einer anderen Entität zu teilen (z. B. ein Versicherungsunternehmen, ein externer Dienstleister), so kann ein Teil des Risikos auf diese Weise übertragen werden.
  • Wo praktisch möglich, können verschiedene Management-, technische und administrative Risikokontrollen angewendet werden, die dazu beitragen, die Wahrscheinlichkeit oder die Auswirkungen jedes Risikos auf ein akzeptables Maß zu reduzieren.
  • Wenn keine dieser Risikomanagementmethoden angewendet werden kann, müssen Risikomanager das Risiko vermeiden, indem sie die Aktivitäten oder Exposures eliminieren, die das betrachtete Szenario ermöglichen würden.

Es ist wichtig sicherzustellen, dass die angewandten Methoden sowohl effektiv als auch kostengünstig sind. Dieser Ansatz erklärt, warum eine Bank eine 20-Cent-Kette zum Schutz eines Tintenstifts und einen Millionen-Dollar-Tresor zum Schutz ihrer Barreserven verwenden könnte. Die zur Behandlung des Risikos erforderlichen Ressourcen sollten den zu schützenden Vermögenswerten entsprechen.

Überwachung der Ergebnisse des Risikomanagements

Auch nach jedem der oben genannten Schritte ist es wichtig, dass die Ergebnisse verfolgt und überwacht werden, um sicherzustellen, dass die Risiken innerhalb der von den Führungskräften der Organisation festgelegten Grenzen bleiben. Die Risikobedingungen können sich schnell ändern, die Werte der Vermögenswerte können schwanken und die Präferenzen der Stakeholder können sich ändern. Ein kritischer Teil der Überwachung besteht darin, sicherzustellen, dass Manager und leitende Angestellte über Fortschritte bei der Erreichung der Risikoziele und Änderungen, die Auswirkungen auf die Organisation haben könnten, informiert sind. Der Zyklus ähnelt dem von Dr. W. Edwards Deming populär gemachten PDSA-Zyklus (Plan-Do-Study-Act), der eine kontinuierliche Verbesserung des Risikomanagementprozesses ermöglicht. Da verschiedene Teams im gesamten Unternehmen Maßnahmen ergreifen, um Risiken zu identifizieren, zu analysieren und darauf zu reagieren, informieren und verfeinern die Ergebnisse die nächste Iteration.

Fazit

Durch die Anwendung dieser Schritte können Unternehmen im Kontext eines breiteren Governance- und Managementrahmens die Risiken, die sich wahrscheinlich nachteilig auswirken, konsistent identifizieren, dann eine kostengünstige Behandlung priorisieren und die Ergebnisse überwachen, um eine kontinuierliche Verbesserung aufrechtzuerhalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.