A. Was ist ein Risiko?
Ein Risiko ist die Auswirkung von Ungewissheit auf die Ziele, Tätigkeiten und Anforderungen einer Organisation. Ein Risiko ist mit der Wahrscheinlichkeit assoziiert, dass eine Bedrohung menschliches Versagen, Prozessfehler, Systemschwachstellen ausnutzt und damit einer Organisation Schaden zufügt.
Der Begriff «Risiko» umfasst die folgenden Aspekte:
- Die Kombination aus der Wahrscheinlichkeit, dass dieses Risiko eintritt, und seinen (positiven oder negativen) Auswirkungen auf den Geschäftsgang.
- Die Ungewissheit wird mithilfe von Wahrscheinlichkeiten geschätzt oder bestimmt.
- Die Ziele der Organisation erstrecken sich auf die strategische Entwicklung (z. B. Kundenbedürfnisse, Innovation, Marktstellung). Die Aktivitäten umfassen die operativen Tätigkeiten (z. B. Beschaffung, Produktion, Dienstleistungen und Verkauf).
- Die Anforderungen beziehen sich insbesondere auf Gesetze, Normen und andere – interne oder externe – regulatorische Anforderungen, die auch die Sicherheit von Personen, Gütern und der Umwelt betreffen.
- Ein Risiko ist eine Folge von Ereignissen oder veränderten Umständen.
Ein Risiko ist ein Ereignis, eine Handlung oder ein Unterlassen, das bzw. die zu Folgendem führen kann:
- der Nichterreichung eines Ziels
- einer Leistungsverringerung
- dem Verpassen von Chancen
Der Begriff des Risikos ist untrennbar mit dem Begriff der Verwundbarkeit im Sinne des Vorhandenseins von Schwachstellen verbunden. Die Verwundbarkeit, d. h. das Fehlen von (ausreichenden) Massnahmen zur Bewältigung des Risikos, erhöht die Wahrscheinlichkeit und vor allem die Auswirkungen des Risikos. So stellt beispielsweise das Fehlen einer Sprinkleranlage, die bei Ausbruch eines Feuers in den IT-Räumen automatisch aktiviert wird, eine Verwundbarkeit dar. Ebenso wie das Fehlen einer Backup-Lösung, durch die sichergestellt wird, dass Teams, deren IT-Ausrüstung zerstört oder beschädigt wurde, im Notfall auf Ersatzgeräte zurückgreifen können.
Wenn Teams aus diesem Grund nicht mehr arbeiten können, verstärken sich die Auswirkungen, und die Folgen für die betroffene Organisation können massiv sein: Umsatzeinbussen, finanzielle Verluste, Reputationsschäden usw.
B. Wie lässt sich ein Risiko erkennen und messen?
Die Wahrnehmung eines Risikos ist oft subjektiv. Es ist von entscheidender Bedeutung, den verschiedenen Schritten zur Erkennung und Messung von Risiken einen kollektiven Ansatz zu Grunde zu legen. Nur so gelingt es, Herangehensweisen zu hinterfragen, andere Meinungen und Sichtweisen auf die Bedrohungen zu erhalten. Wenn sich mehrere kluge Köpfe, die möglichst aus verschiedenen Hierarchien und Fachbereichen der betreffenden Organisation kommen, gemeinsam an einen Tisch setzen, erleichtert dies das Verständnis, die Einordnung und die Bewertung des jeweiligen Risikos, der damit verbundenen Schwachstellen und der potenziellen Auswirkungen.
Ebenso hängt die Risikotoleranz (oder die Risikobereitschaft) von mehreren Faktoren ab: von der Person, die das Risiko analysiert, vom Kontext, in dem diese Bewertung vorgenommen wird, und vom Verständnis der damit verbundenen Herausforderungen. Um das Risiko und die damit verbundenen Herausforderungen besser abschätzen zu können, benötigt man möglichst umfassende Informationen.
C. Die verschiedenen Arten von Risiken
Risiken lassen sich in verschiedene Risikoarten kategorisieren. Einige Risiken können mehrere Kategorien gleichzeitig betreffen.
- Technologisches oder digitales Risiko: betrifft die Nutzung oder Störung des Informatiksystems durch interne oder externe Ursachen.
- Operationelles Risiko: betrifft sämtliche Störungen des Betriebs und der Geschäftstätigkeit des Unternehmens. Dieses Risiko birgt ein Verlustpotenzial, das von unangemessenen oder fehlerhaften internen Prozessen, von Personen und Systemen oder von externen Ereignissen ausgeht.
- Regulatorisches Risiko: betrifft die Nichteinhaltung von Vorschriften oder Gesetzen und die daraus resultierenden Sanktionen.
- Reputationsrisiko: betrifft das Markenimage und den Ruf der Organisation bei ihren Partnern (Subunternehmer, Lieferanten, Kundinnen und Kunden, Institutionen und Behörden) oder der breiten Öffentlichkeit.
- Finanzielles Risiko: betrifft Investitionen, die Rentabilität oder Liquidität des Unternehmens.
- Strategisches Risiko: betrifft die Gesamtstrategie des Unternehmens und seine Positionierung auf dem Markt.
D. Unterscheidung zwischen Makro- und Mikro-Risikoanalysen
Bei Risikoanalysen gibt es zwei unterschiedliche Ansätze: einmal eine eher strategische, makroorientierte und einmal eine eher operative, mikroorientierte Herangehensweise. Eine aussagekräftige Risikoanalyse setzt auf einen kritischen Dialog zwischen diesen beiden Ansätzen.
Eine Makro-Analyse stellt eine Risikobetrachtung aus Perspektive der Geschäftsleitung und der strategischen IT dar, die dann wiederum von den für die Prozesse und Aktivitäten Verantwortlichen auf ihre Plausibilität hin «abgeklopft» werden muss. Sie konzentriert sich auf die grossen «Risikofamilien», geht aber nicht zwingend im Detail auf Prozesse und Aktivitäten ein. Es handelt sich also um eine gross angelegte Vision, die weniger zeitaufwendig ist als eine Mikroanalyse, aber auch weniger präzise. Dies insbesondere in Bezug auf den Prozess der Identifizierung von Kontrollen und Massnahmen zur Minderung der prozess- oder aktivitätsspezifischen Risiken.
Die Mikroanalyse stellt eine Risikobetrachtung aus Sicht der für die Prozesse und Aktivitäten Verantwortlichen und der operativen IT dar, die ihrerseits von der Geschäftsleitung hinterfragt werden muss. Sie konzentriert sich auf Prozesse und Aktivitäten, gestaltet jedoch die Risikoaggregation komplexer aus, um der Geschäftsleitung einen Gesamtüberblick zu geben. Diese Analyse erfordert detaillierte Kenntnisse der Organisation sowie zahlreiche Gespräche mit für die Prozesse und Aktivitäten Verantwortlichen. Nur so lassen sich alle Herausforderungen, aber auch alle potenziellen Schwachstellen identifizieren und genau erfassen.
