Risikobewertung (Risk Assesssment)

Schritte der Risikobewertung

Die Art und Weise, wie eine Risikobewertung durchgeführt wird, ist sehr unterschiedlich und hängt von den spezifischen Risiken des jeweiligen Unternehmens, der Branche und den für das jeweilige Unternehmen oder die Branche geltenden Compliance-Regeln ab. Es gibt jedoch fünf allgemeine Schritte, die Unternehmen unabhängig von ihrer Geschäftsart oder Branche befolgen können.

Schritt 1: Identifizieren Sie die Gefährdungen. Der erste Schritt einer Risikobewertung besteht darin, alle potenziellen Gefahren zu identifizieren, die im Falle ihres Auftretens die Fähigkeit des Unternehmens, seine Geschäfte zu führen, negativ beeinflussen würden. Zu den potenziellen Gefahren, die bei der Risikobewertung in Betracht gezogen oder identifiziert werden können, gehören Naturkatastrophen, Versorgungsausfälle, Cyberangriffe und Stromausfälle.

Schritt 2: Bestimmen Sie, was oder wer geschädigt werden könnte. Nachdem die Gefahren identifiziert wurden, ist der nächste Schritt, zu bestimmen, welche Geschäftswerte negativ beeinflusst werden könnten, wenn das Risiko eintritt. Zu den Geschäftswerten, die als gefährdet gelten, können kritische Infrastruktur, IT-Systeme, Geschäftsabläufe, der Ruf des Unternehmens und sogar die Sicherheit der Mitarbeiter gehören.

Schritt 3: Bewerten Sie die Risiken und entwickeln Sie Kontrollmaßnahmen. Eine Risikoanalyse kann dabei helfen, die Auswirkungen von Gefahren auf das Betriebsvermögen zu ermitteln und Maßnahmen zu ergreifen, um die Auswirkungen dieser Gefahren auf das Betriebsvermögen zu minimieren oder zu beseitigen. Zu den potenziellen Gefahren gehören Sachschäden, Betriebsunterbrechungen, finanzielle Verluste und rechtliche Sanktionen.

Schritt 4: Aufzeichnung der Ergebnisse. Die Ergebnisse der Risikobeurteilung sollten vom Unternehmen aufgezeichnet und als leicht zugängliche, offizielle Dokumente abgelegt werden. Die Aufzeichnungen sollten Details über potenzielle Gefahren, die damit verbundenen Risiken und Pläne zur Vermeidung der Gefahren enthalten.

Schritt 5: Überprüfen und aktualisieren Sie die Risikobeurteilung regelmäßig. Potenzielle Gefährdungen, Risiken und die daraus resultierenden Kontrollen können sich in einem modernen Geschäftsumfeld schnell ändern. Es ist wichtig, dass Unternehmen ihre Risikobeurteilungen regelmäßig aktualisieren, um sich an diese Veränderungen anzupassen.

Werkzeuge zur Risikobeurteilung, zum Beispiel Vorlagen zur Risikobeurteilung, sind für verschiedene Branchen erhältlich. Sie können sich für Unternehmen als nützlich erweisen, die ihre ersten Risikobewertungen entwickeln oder ältere Bewertungen aktualisieren.

So verwenden Sie eine Risikobewertungsmatrix

Eine Risikobewertungsmatrix wird als Raster gezeichnet, wobei eine Achse mit „Wahrscheinlichkeit“ und die andere Achse mit „Konsequenz“ beschriftet ist. Jede Achse verläuft von „niedrig“ bis „hoch“.  Jedes Ereignis wird auf einer Linie in Bezug auf seine geringe bis hohe Wahrscheinlichkeit eingetragen. Auf der anderen Linie wird das Ereignis auf einer Linie in Bezug auf seine geringe bis hohe Konsequenz aufgetragen. Der Punkt, an dem sich diese Linien treffen, bestimmt den Punkt in der Matrix.

Quantitativ vs. qualitativ

Risikobewertungen können quantitativ oder qualitativ sein. Bei einer quantitativen Risikobewertung weist der CRO oder CRM der Wahrscheinlichkeit, dass ein Ereignis eintritt, und den Auswirkungen, die es haben würde, numerische Werte zu. Diese numerischen Werte können dann zur Berechnung des Risikofaktors eines Ereignisses verwendet werden, der wiederum auf einen Euro-Betrag abgebildet werden kann.

Qualitative Risikobewertungen, die häufiger verwendet werden, enthalten keine numerischen Wahrscheinlichkeiten oder Vorhersagen von Verlusten. Das Ziel eines qualitativen Ansatzes ist es, einfach eine Rangfolge der Risiken aufzustellen, die die größte Gefahr darstellen.

Das Ziel von Risikobewertungen

Ähnlich wie bei den Schritten der Risikobewertung variieren die spezifischen Ziele von Risikobewertungen wahrscheinlich je nach Branche, Geschäftsart und relevanten Compliance-Regeln. Bei einer Risikobewertung für die Informationssicherheit sollten beispielsweise Lücken in der IT-Sicherheitsarchitektur des Unternehmens identifiziert und die Einhaltung spezifischer Gesetze, Mandate und Vorschriften überprüft werden.

Zu den gemeinsamen Zielen für die Durchführung von Risikobewertungen in verschiedenen Branchen und Unternehmenstypen gehören die folgenden:

• Entwicklung eines Risikoprofils, das eine quantitative Analyse der Arten von Bedrohungen liefert, denen die Organisation ausgesetzt ist.
• Entwicklung eines genauen Inventars von IT-Ressourcen und Datenbeständen.
• Rechtfertigung der Kosten für Sicherheitsmaßnahmen zur Minderung von Risiken und Schwachstellen.
• Identifizierung, Priorisierung und Dokumentation von Risiken, Bedrohungen und bekannten Schwachstellen für die Produktionsinfrastruktur und -anlagen des Unternehmens.
• Festlegen der Budgetierung zur Behebung oder Minderung der identifizierten Risiken, Bedrohungen und Schwachstellen.
• Den ROI richtig einschätzen, wenn Mittel in die Infrastruktur oder andere Unternehmensressourcen investiert werden, um potenzielle Risiken auszugleichen.

Das ultimative Ziel des Risikobewertungsprozesses ist es, Gefahren zu bewerten und das inhärente Risiko zu bestimmen, das durch diese Gefahren entsteht. Bei der Bewertung sollten nicht nur die Gefahren und ihre potenziellen Auswirkungen ermittelt werden, sondern auch potenzielle Kontrollmaßnahmen, um negative Auswirkungen auf die Geschäftsprozesse oder Vermögenswerte der Organisation auszugleichen.