In Schritt 4 wurden alle Risiken in ein entsprechendes Inventar aufgenommen, so dass die zugehörigen Risiken anhand der relevanten Attribute kategorisiert werden können. Wie man mit der Vielzahl von Risiken im Rahmen umgeht, ist Thema dieses Blogbeitrags.
Analysieren Sie Ihre Risiken und setzen Sie Prioritäten
Risiken können zu Gefährdungen führen. Im Zusammenhang mit Risiken und deren Management spielen Eintrittswahrscheinlichkeiten und Schadenshöhen eine wesentliche Rolle bei der Klassifizierung und Priorisierung von Risiken. Die Risikobereitschaft oder Risikoappetit kann je nach Unternehmen und Risikoeigner unterschiedlich sein und muss daher in die Risikoanalyse einbezogen werden.
Definition Risiko
Sowohl in ISO 31000, dem ISO Standard für das Risikomanagement als auch in ISO/IEC 27001 – Managementsystem für Informationssicherheit, ist das Risiko folgendermaßen definiert:
Risiko = Schaden x Eintrittswahrscheinlichkeit
Kurz gesagt, das Risiko ist das Produkt aus dem potentiell möglichen Schaden und der damit verbunden Eintrittswahrscheinlichkeit. Dies ist intuitiv, denn Risikoszenarien mit (a) einen Schaden bei sehr niedriger Eintrittswahrscheinlichkeit oder (b) ein sehr wahrscheinlicher Vorfall mit niedrigem Schaden sind oftmals vernachlässigbar. Die Herausforderung bei der Ermittlung des Risikos besteht darin, Schaden und Eintrittswahrscheinlichkeit zu quantifizieren.
Reproduzierbarkeit der Risikoanalyse
Eine Risikoanalyse muss einem systematischen Aufbau folgen. Denn nur mit einer einheitlichen Systematik können Ergebnisse der Risikoanalyse von anderen Personen mit gleichem Know How reproduziert werden. Daher ist es extrem wichtig, diese objektiven Kriterien vorab zu definieren. Sie sind von Unternehmen zu Unternehmen verschieden. Selbst innerhalb eines Unternehmens können sich die Risikokriterien unterscheiden. Zum Aufbau zählen unter anderem die Definition der Schadensklassen als auch die der Eintrittswahrscheinlichkeit. Eine mögliche Definition der Schadensklassen umfasst die Kategorien (z.B. gering, mittel, hoch, sehr hoch), den finanziellen und- Reputationsschaden und die zugrundeliegenden Auswirkungen auf Personen (Mitarbeiter, Kunden, etc.). Hinsichtlich der Definition der Eintrittswahrscheinlichkeit kann ggf. für die Quantifizierung der Eintrittswahrscheinlichkeit für die Zukunft ein Blick in die Vergangenheit (wie oft ist der Vorfall in der Vergangenheit aufgetreten) hilfreich sein.
Durchführung Risikoanalyse
Die von SRC durchgeführte Risikoanalyse ermöglicht es Ihnen, Ihre verbleibenden Restrisiken und damit das Gefährdungspotenzial zu bewerten. Die Ansätze zur Risikobewertung und Risikobereitschaft sind in Finanzinstituten sehr individuell. Daher ist eine maßgeschneiderte Ansatz ein wichtiger Aspekt, den es zu berücksichtigen gilt. Abgestimmt auf die individuellen Bedürfnisse erfassen wir von SRC Consulting die Risiken vor den risikomindernden Maßnahmen und entwickeln in enger Zusammenarbeit mit Ihrem internen Risikomanagement individuelle Präventivmaßnahmen, die u.a. die Eintrittswahrscheinlichkeit eines Risikos oder die Schadenshöhe maßgeblich reduzieren. Unsere maßgeschneiderten Dashboards schaffen Transparenz über die Restrisiken nach Umsetzung der Risikominderungsmaßnahmen (Brutto- vs. Nettosicht).
