IT Risikomanagement - Risikoanalyse, Risikobewertung, Setzen von Maßnahmen und Behandeln der Risiken.

Begriffserklärung Risiko

Risiko: Der Begriff Risiko leitet sich aus dem griechischen Ausdruck für Klippe beziehungsweise Gefahr ab. Als Risiko wird ein ungewisses Ereignis mit möglicher negativer Gefahr bezeichnet, dies bedeutet, dass das Eintreffen eines derartigen Ereignisses einen negativen Einfluss auf die Zielerreichung ausüben würde. Erst, wenn eine Bedrohung mit einer Eintrittswahrscheinlichkeit und einen Schadpotential erweitert wird, entsteht ein kalkulierbares Risiko.

„Es gibt Risiken, die einzugehen du dir nicht leisten kannst und es gibt Risiken, die nicht einzugehen du dir nicht leisten kannst.“

Peter Ferdinand Drucker (19. November 1909 in Wien; † 11. November 2005 in Claremont)
risiko
Risiko oder neue Chancen? © Photocreo Bednarek / Fotolia.com.

Risikomanagement beschäftigt sich mit unternehmensweiten Chancen und Risiken, wobei die Identifikation und Analyse von Chancen und Risiken sowie der für das einzelne Unternehmen optimale Umgang mit diesen die Kernthemen des Risikomanagements darstellen. Nur, wenn die Risiken bekannt sind, können entsprechende Maßnahmen getroffen werden, um diese im Ernstfall abzufangen. Aber auch Chancen können nur dann erfolgreich ergriffen werden, wenn die Unternehmensführung die damit einhergehenden Risiken kennt, und diese kalkulierbar sind. Somit liefert ein ordentlich ausgeführtes Risikomanagement die notwendigen Entscheidungsgrundlagen, um ein Unternehmen erfolgreich zu führen, aber auch um getroffene Entscheidungen zu rechtfertigen.

Ein strukturiertes Vorgehen ist die Grundvoraussetzung für ein erfolgreiches Risikomanagement. Dies setzt umfangreiche Fachkenntnis und den Zugriff auf geeignete Methoden voraus. Eine neutrale Sicht von außerhalb des Unternehmens kann helfen, Risikoquellen zu identifizieren, aber auch bisher unentdeckte Chancen zu lokalisieren. Ein gutes Risikomanagement integriert sich in das Unternehmen und soll als Unterstützung wahrgenommen werden, nicht aber eine zusätzliche Last darstellen. Das Risikomanagement sollte vom Unternehmen gelebt werden – externen Beratern sollte hierbei nur die Rolle der Begleitung und Moderation des Risikomanagementprozesses zukommen.

Zyklus_des_IT_Risikomanagements

risiko
Zyklus des IT-Risikomanagements ©AR-ITcon

Ein Kernelement des Risikomanagements (RM) , der Risikomanagementzyklus (RM-Zyklus), teilweise auch als Risikomanagementprozess (RM-Prozess) bezeichnet, findet in fast jeder Literaturquelle, die sich näher mit Risikomanagement beschäftigt, Erwähnung, bildet er doch den aktiven Teil und somit Kern des Risikomanagements. Je nach Auslegung variiert die Anzahl der Schritte dieses Prozesses, wobei sich diese Variation nur durch das Einfügen von Zwischen- oder Teilschritten bzw. das Zusammenfassen einzelner Schritte ergibt. Die Reihenfolge der Schritte bleibt jedoch quellenübergreifend konsistent, und auch hinsichtlich der zyklischen Darstellung stimmen sämtliche Quellen überein.

Der Risikomanagementzyklus sollte regelmäßig durchlaufen werden. Intervalle von einem Jahr bieten sich an und haben sich in der Praxis bewährt. Ein Verkürzen dieser Intervalle kann jedoch auch bis herab zu monatlichen Wiederholungen Sinn haben. Auch außerplanmäßige Durchführungen auf Grund unvorhergesehener Ereignisse sollten möglich sein [Knoll, 2014, S.114]. Der erste Durchlauf des Risikomanagementzyklus ist am zeitaufwändigsten, alle folgenden Wiederholungen sind auf Grund der geschaffenen Struktur weniger arbeitsintensiv, sollten aber mit derselben Detailliertheit wie der erste Durchlauf durchgeführt werden. Die Dauer des Durchlaufs kann je nach Unternehmensstruktur und Größe einige wenige Tage bis hin zu mehreren Monaten betragen [Knoll, 2014, S.115].