Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

2. Beschäftigung mit Risiken und Risikomanagement

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Ein grosser und in den Grundlagen des Risikomanagements anspruchsvoller Teil liegt in der methodischen Erkennung, Analyse, Verwaltung und der Kommunikation der Risiken. Auf der Basis einer qualitativen oder quantitativen Einstufung der Risiken sowie einiger weiterer Kriterien sollen möglichst optimale Massnahmen-Lösungen gefunden und umgesetzt werden; in einer prozessorientierten, nachvollziehbaren Abwicklung des Risikomanagements ist es auch wichtig, inwiefern die nach der Risiko-Behandlung verbleibenden Restrisiken in einem Risiko-Portfolio toleriert und ohne weitere Behandlung bewusst getragen werden können. In diesem Kapitel werden, ausgehend von Eigenschaften und den möglichen Darstellungsweisen eines Risikos, einige grundlegenden Vorgehensweisen und Instrumente für das Risikomanagement in einem Unternehmen behandelt.
Fußnoten
1
Der Begriff „Risikoobjekt“ wird in diesem Buch für diejenigen Objekte verwendet, auf die sich die Risiken beziehen. Der Begriff „Objekt“ wird dabei synonym zum Begriff „Gegenstand“ sowohl für greifbare als auch für abstrakte Güter, Objekte und Strukturen verstanden und schliesst den in der englischsprachigen Standardisierung oft verwendeten Begriff „Asset“ ein.
 
2
Unter „System“ wird in diesem Zusammenhang ein allgemeines System verstanden, das beispielsweise ein ökonomisches, ein gesellschaftliches oder ein technisches System mit zielorientierten Werten sein kann.
 
3
Die Risiko-Definition im „weiteren Sinne“ betrachtet zusätzlich zum „Downside-Risiko“ auch das „Upside-Risiko“, d. h. die erwünschten positiven Abweichungen von System-Zielen. An die Stelle von Bedrohungen treten dann die „Chancen“.
 
4
In diesem Buch werden fast ausschliesslich die Risiken mit negativen Folgen eines Ereignisses behandelt, die dann auch als „Schaden“, „Schadensausmass“ oder „Verlust“ bezeichnet werden. Die derzeitige Standardisierung ([Isor09], S. 5) definiert hingegen den Begriff „Konsequenz“ sowohl für negative als auch für positive Zielabweichungen.
 
5
Der Wert einer Wahrscheinlichkeit wird oft durch eine Häufigkeit angenähert oder durch Zählwerte der möglichen Ereignisse innerhalb einer Zeitperiode (z. B. 1 Jahr) bestimmt. Bei den Informations-Risiken sind auch solche Methoden beliebt, bei denen die Wahrscheinlichkeit (Häufigkeit) aus der Analyse der Bedrohungen und Schwachstellen, bezogen auf ein bestimmtes Risikoobjekt, hergeleitet wird.
 
6
Die unmittelbare Auswirkung eines Ereignisses wird manchmal auch als „Impact“ bezeichnet und ist oft technischer Natur (z. B. Verfügbarkeitsverlust durch Ausfall von Server-Systemen im Kontext der IT-Prozesse). Die für die Höhe des Risikos im Endeffekt massgeblichen mittelbaren „Konsequenzen“ (z. B. Kosten) resultieren sodann aus den Impacts und werden im Geschäftskontext meist in monetären Werten (z. B. als Kosten oder Reputationsverlust) zum Ausdruck gebracht (vgl. [Salv08], S. 36–38). Anstelle des Begriffs „Konsequenz“ ist häufig auch die Bezeichnung „Business Impact“ anzutreffen. Eine einheitliche Anwendung dieser Begriffe ist jedoch in der derzeitigen Standardisierung noch nicht gegeben.
 
7
Risikomodelle, bei denen nicht nach den „Bedrohungsquellen“ gesucht wird, fassen die Bedrohungsquellen und Bedrohungsereignisse zu einem einzigen Risikofaktor „Bedrohungen“ zusammen.
 
8
Die statistische Verteilung setzt sich aus einer statistischen Verteilung der Schadenseintritte und der Schadenshöhen zusammen.
 
9
Die Multiplikation der Erwartungswerte (Durchschnittswerte) der beiden Wahrscheinlichkeits-Verteilungen setzt voraus, dass das Auftreten der Ereignisse und die Schadenshöhen stochastisch voneinander unabhängig sind.
 
10
Risiko-Affinität (Risiko-Freude) bewirkt ein Entscheidungsverhalten, bei dem die jeweils riskantere Handlungsalternative im Hinblick auf mögliche Chancen bevorzugt wird, auch wenn die Erfolgsaussichten ungewiss sind oder ein Misslingen droht.
 
11
Risiko-Aversion bewirkt ein Entscheidungsverhalten, bei dem die jeweils weniger riskante Handlungsalternative bevorzugt wird.
 
12
Eine ordinale Einstufung liegt auch den sog. „Scoring“- und „Rating“-Verfahren zugrunde. Sollen die als „Scores“ erhobenen Risikodaten später auch quantitativ verwertet werden (z. B. im Rahmen der Eigenkapitalbestimmung), dann ist dies bei Risiken, die mit grossen Schäden und kleinen Wahrscheinlichkeiten eintreten und allenfalls auch aufgrund der Korrelationen verschiedener Risiken problematisch. Für entsprechend pragmatische Lösungen sei auf die entsprechende Spezialliteratur (z. B. [Alex03], S. 135–136) verwiesen.
 
13
Indirekte Schäden (z. B. Reputations-Schäden) wirken sich nicht unmittelbar auf das finanzielle Ergebnis aus.
 
14
Eine weitergehende Zusammenstellung von Risiko-Arten, wie sie beispielsweise in Unternehmen der industriellen Fertigung, der Chemie- oder der Nahrungsmittelbranche vorkommen können, ist im Anhang A.1 dieses Buches aufgeführt.
 
15
Der Korrelationskoeffizient setzt einen linearen Zusammenhang der beiden miteinander in Beziehung stehenden Zufallsvariablen voraus. Zudem müssen für seine Berechnung (Quotient aus Kovarianz und den Standardabweichungen beider Zufallsvariablen) beide Zufallsvariablen „normalverteilt“ sein; dies ist jedoch bei den operationellen Risiken meist nicht der Fall (s. Abschn. 2.9.1).
 
16
Aufgrund der mangelnden Subadditivität dürfen die Value-at-Risik-Werte der Einzelrisiken nicht einfach addiert werden, hingegen ist die Subadditivität beim Risikomass „Expected Shortfall“ gegeben.
 
17
Für einige Risikobetrachtungen (z. B. Hinterlegung von Eigenkapital oder Umsatzrisiken) ist oft auch die Definition eines DVaR (Deviation-Value-at-Risk) gebräuchlich, bei welcher der Erwartungswert E(X) nicht in das Risiko einbezogen wird und deshalb vom rechnerischen Value-at-Risk abgezogen wird: DVaR = VaR – E (X) ([Glei08], S. 128–129).
 
18
Sind die „Verlusthöhen“ und „Verlusthäufigkeiten“ voneinander stochastisch unabhängig, dann können ihre Verteilungen zu einer Gesamtverlustverteilung „gefaltet“ werden.
 
19
Vgl. ([Alex03], S. 143); ([Oenb05], S. 15) und ([Glei05], S. 133):
Erwartete Verluste werden als laufende Kosten in den Preis einkalkuliert; Unerwartete Verluste werden durch ökonomisches (Eigen-) Kapital unterlegt; Katastrophale Verluste werden durch Risikotransfer und Risikofinanzierung gedeckt.
 
20
Verwendung bei COBIT-Prozessen s. Abb. 5.​1.
 
21
Reputationsschäden bei Kunden und Geschäftspartnern entstehen vermehrt infolge unnötiger oder missbräuchlicher Offenlegung oder Kolportierung von das Unternehmen betreffenden Informationen, z. B. als „Shitstorms“ in sozialen Medien.
 
Literatur
[Alex03]
Zurück zum Zitat Alexander, Carol: Operational Risk. Ed. Carol Alexander. London: Pearson Education Ltd., 2003. Alexander, Carol: Operational Risk. Ed. Carol Alexander. London: Pearson Education Ltd., 2003.
[Brin08]
Zurück zum Zitat Van den Brink, Gerrit Jan: „Risikoaggregation in Kreditinstituten“, in Risikoaggregation in der Praxis. Hrsg. Deutsche Gesellschaft für Risikomanagement e.V. Berlin Heidelberg: Springer-Verlag, 2008. Van den Brink, Gerrit Jan: „Risikoaggregation in Kreditinstituten“, in Risikoaggregation in der Praxis. Hrsg. Deutsche Gesellschaft für Risikomanagement e.V. Berlin Heidelberg: Springer-Verlag, 2008.
[Brüh01]
Zurück zum Zitat Brühwiler, Bruno: Unternehmensweites Risk Management als Frühwarnsystem. Bern: Haupt, 2001. Brühwiler, Bruno: Unternehmensweites Risk Management als Frühwarnsystem. Bern: Haupt, 2001.
[Brüh03]
Zurück zum Zitat Brühwiler, Bruno: Risk Management als Führungsaufgabe. Bern: Haupt, 2003. Brühwiler, Bruno: Risk Management als Führungsaufgabe. Bern: Haupt, 2003.
[Dölk06]
Zurück zum Zitat Dölker, Annette: Das operationelle Risiko in Versicherungsunternehmen. Karlsruhe: Verlag Versicherungswirtschaft GmbH, 2006. Dölker, Annette: Das operationelle Risiko in Versicherungsunternehmen. Karlsruhe: Verlag Versicherungswirtschaft GmbH, 2006.
[Glei05]
Zurück zum Zitat Gleissner, Werner und Frank Romeike: Risikomanagement. München: Haufe, 2005. Gleissner, Werner und Frank Romeike: Risikomanagement. München: Haufe, 2005.
[Glei08]
Zurück zum Zitat Gleissner, Werner: Grundlagen des Risikomanagements im Unternehmen. München: Verlag Franz Vahlen, 2008. Gleissner, Werner: Grundlagen des Risikomanagements im Unternehmen. München: Verlag Franz Vahlen, 2008.
[Isor09]
Zurück zum Zitat ISO 31000:2009: Risk management – Principles and guidelines. International Organization for Standardization, 2009. ISO 31000:2009: Risk management – Principles and guidelines. International Organization for Standardization, 2009.
[Isov09]
Zurück zum Zitat ISO/IEC Guide 73:2009: Risk management – Vocabulary. International Organization for Standardization, 2009. ISO/IEC Guide 73:2009: Risk management – Vocabulary. International Organization for Standardization, 2009.
[Jori07]
Zurück zum Zitat Jorion, Philippe: VALUE AT RISK, 3rd Edition. New York: McGraw-Hill, 2007. Jorion, Philippe: VALUE AT RISK, 3rd Edition. New York: McGraw-Hill, 2007.
[Meye08]
Zurück zum Zitat Meyer, Ralf: „Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements.“ In Risikomanagement in der Unterneh-mensführung. Hrsg. Rainer Kalwait et al. Weinheim: WILEY-VCH Verlag GmbH &Co. KGaA, 2008. Meyer, Ralf: „Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements.“ In Risikomanagement in der Unterneh-mensführung. Hrsg. Rainer Kalwait et al. Weinheim: WILEY-VCH Verlag GmbH &Co. KGaA, 2008.
[Nias12]
Zurück zum Zitat NIST: Guide for Conducting Risk Assessment, NIST Special Publication 800–30, Revision 1. Washington DC: U.S. Department of Commerce, 2012. NIST: Guide for Conducting Risk Assessment, NIST Special Publication 800–30, Revision 1. Washington DC: U.S. Department of Commerce, 2012.
[Niir11]
Zurück zum Zitat NIST: Managing Information Security, SP 800–39. Washington DC: U.S. Department of Commerce, 2011. NIST: Managing Information Security, SP 800–39. Washington DC: U.S. Department of Commerce, 2011.
[Oenb05]
Zurück zum Zitat Oesterreichische Nationalbank: Management des operationellen Risikos. Wien: QeNB, 2005. Oesterreichische Nationalbank: Management des operationellen Risikos. Wien: QeNB, 2005.
[Piaz02]
Zurück zum Zitat Piaz, Jean-Marc: Operational Risk Management bei Banken. Zürich: Versus Verlags AG, 2002. Piaz, Jean-Marc: Operational Risk Management bei Banken. Zürich: Versus Verlags AG, 2002.
[Prok08]
Zurück zum Zitat Prokein, Oliver: IT-Risikomanagement. Wiesbaden: Gabler, 2008. Prokein, Oliver: IT-Risikomanagement. Wiesbaden: Gabler, 2008.
[Romi03]
Zurück zum Zitat Romeike, Frank: „Risikoidentifikation und Risikokategorien.“ In Erfolgsfaktor Risikomanagement. Hrsg. Frank Romeike und Robert B. Finke. Wiesbaden: Gabler, 2003, S. 165 ff. Romeike, Frank: „Risikoidentifikation und Risikokategorien.“ In Erfolgsfaktor Risikomanagement. Hrsg. Frank Romeike und Robert B. Finke. Wiesbaden: Gabler, 2003, S. 165 ff.
[Salv08]
Zurück zum Zitat Salvati, Domenico: Management of Information Security Risks. Zürich: Dissertation ETH 18132, 2008, Berlin: Dissertation.de Verlag im Internet GmbH, 2009. Salvati, Domenico: Management of Information Security Risks. Zürich: Dissertation ETH 18132, 2008, Berlin: Dissertation.de Verlag im Internet GmbH, 2009.
[Witt99]
Zurück zum Zitat Wittmann, Edgar: „Organisation des Risikomanagements im Siemens Konzern“, in Risk Controlling in der Praxis. Hrsg. Henner Schierenbeck. Zürich: Verlag Neue Zürcher Zeitung, 1999. Wittmann, Edgar: „Organisation des Risikomanagements im Siemens Konzern“, in Risk Controlling in der Praxis. Hrsg. Henner Schierenbeck. Zürich: Verlag Neue Zürcher Zeitung, 1999.
[Wolk07]
Zurück zum Zitat Wolke, Thomas: Risikomanagement. München: Oldenburg Wissenschaftsverlag, 2007. Wolke, Thomas: Risikomanagement. München: Oldenburg Wissenschaftsverlag, 2007.
Metadaten
Titel
Beschäftigung mit Risiken und Risikomanagement
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_2

Premium Partner