Risikomanagement

Unter Risiko versteht man die Wahrscheinlichkeit eines künftigen Ereignisses, das negativ bewertete Auswirkungen nach sich zieht. Risiko ist jedoch auch die Wahrscheinlichkeit, dass etwas Positives nicht eintritt bzw. nicht realisiert werden kann.

Mögliche Risikoformen sind dabei unter anderem Markt-, Umwelt-, Finanz- und IT-Risiken bzw. Risiken der Informationsverarbeitung als Teil der operationellen Risiken.

Risiken bedrohen die Unternehmenswerte. Auch Unternehmenswerte existieren in verschiedenen Formen. Dazu zählen neben Anlagen und Informationen, wie beispielsweise eine Kundendatenbank, auch andere Ressourcen, wie z. B. Mitarbeiter und Prozesse.

Das Erwirtschaften von risikolosen Gewinnen ist für Organisationen über einen längeren Zeitraum nicht möglich. Das bedeutet, dass Organisationen im Rahmen ihrer Geschäftstätigkeit Risiken eingehen müssen. Der kontrollierte Umgang mit ihnen durch das Risikomanagement ist Voraussetzung für den unternehmerischen Erfolg.

Risikomanagement wird als Prozess verstanden, der einen angemessenen und kontrollierten Umgang mit Risiken in einem kostenmäßig vertretbaren Rahmen gewährleistet. Risikomanagement wird auch als die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken der unternehmerischen Betätigung bezeichnet.

Die Maßnahmen beziehen sich dabei grundsätzlich auf Risikoreduzierung, -transfer, -vermeidung oder -akzeptanz. Es muss ein Risikoreportingsystem zur Entscheidungsunterstützung und ein Überwachungssystem, das die Einhaltung der getroffenen Maßnahmen sicherstellt, eingerichtet werden.

Anforderungen an ein Risikomanagement können aus Gesetzen (z. B. durch das KonTraG, Bundesdatenschutzgesetz etc.), aus dem allgemeinen Geschäftsverkehr (Verträge, Markterfordernisse), aus den Grundsätzen ordnungsgemäßer Buchführung oder den internationalen Eigenkapitalregelungen der Kreditinstitute (Basel II) resultieren und müssen im Einzelfall eruiert werden.

Bezüglich dem generischen Risikomanagement gibt es auf internationaler Ebene lediglich den ISO / IEC Guide 73:2002 Risk mangement vocabulary, der den Gebrauch von Begrifflichkeiten im Risikomanagement harmonisieren soll. Auf nationaler Ebene existiert der Standard AS / NZS 4360:1999, in dem eine generische Verfahrensweise zur Etablierung und Umsetzung eines Risikomanagement-Prozesses beschrieben wird.

Genereller Bestandteil eines Risikomanagements ist eine Risikoanalyse. Unter einer Risikoanalyse versteht man die Analyse von Rahmenbedingungen, Bedrohungen und Schwachstellen (Erkennung von Risiken), Auswirkungen von Risiken sowie die Wahrscheinlichkeit des Auftretens dieser Risiken.

Es gibt verschiedene, teils formale Methoden eine Risikoanalyse durchzuführen. Bei der Risikoerkennung wird zwischen  folgenden Verfahren unterschieden:

• ad-hoc-Verfahren,
• induktiv-empirischen Verfahren und
• deduktiv-analytisches Verfahren.

Im Rahmen der Risikobewertung (Auswirkungen und Eintrittswahrscheinlichkeit) wird zwischen kardinalen und ordinalen Methoden differenziert.

In Bezug auf die IT-Risiken bzw. Risiken der Informationsverarbeitung wird zwischen Verlust der Vertraulichkeit, Integrität, Verfügbarkeit, Verlässlichkeit sowie der Einhaltung der rechtlichen und sonstigen Anforderungen unterschieden. Insbesondere sicherheitsrelevante Informationen müssen dabei die Kriterien Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit entsprechen.

Hierfür sind internationale Standards (ISO / IEC 27001) und nationale Standards (IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI)) verfügbar. Im Fall des letztgenannten wurde für normale Rahmenbedingungen, dem sogenannten normalen Schutzbedarf bereits eine Risikoanalyse durch das BSI durchgeführt und entsprechende konkrete Maßnahmen zur Bewältigung der eruierten Risiken abgeleitet.