Grundlage für die Risikobewertung

Als Resultat aus der Bewertung der Risiken unter Berücksichtigung von Eintrittswahrscheinlichkeit und Schadensausmaß soll eine Reihung der Risiken hervorgehen, mit der im weiteren Risikomanagementprozess gearbeitet werden kann. Auf Grund dieser Reihung kann einen Priorisierung auf für das Unternehmen als besonders gefährlich eingestufte Risiken erfolgen [Knoll, 2014, S.137ff]. Folgende mathematische Formel kann dabei herangezogen werden:

Eintrittswahrscheinlichkeit X Schadensausmaß

=

Risikobewertung

Die fehlenden Einheiten erfordern aber eine Diskussion über das Ergebnis und eine Bewertung durch Experten. Das Ergebnis der oben genannten Formel kann somit nur als Diskussionsbasis dienen [Knoll, 2014, S.137ff].

IT_Risikobewertung // Risikomatrix mit Risikoakzeptanzlinie
Risikomatrix mit Risikoakzeptanzlinie © AR-ITcon

Folgende graphische Darstellungsmodelle können genutzt werden, um das Risikoportfolio anschaulicher zu präsentieren.

Risikomatrix

Folgendes graphisches Darstellungsmodell, wie in der Abbildung ersichtlich, kann genutzt werden, um das Risikoportfolio anschaulicher zu präsentieren. Die Risikomatrix ist ein Koordinatensystem, auf dessen Achsen Schadenshöhe und Eintrittswahrscheinlichkeit aufgetragen sind. Die Risiken werden in die Matrix eingetragen. Änderungen durch Maßnahmen können durch Pfeile sichtbar gemacht werden [Knoll, 2014, S.185]. Aus Gründen der Übersichtlichkeit empfiehlt es sich, nicht alle Risiken in einer Matrix abzubilden, sondern diese nach Gleichartigkeit, Abteilung oder Geschäftsprozess auf verschiedene Matrizen aufzuteilen. Eine Risikoakzeptanz-Linie kann festgelegt werden, um zu verdeutlichen, ab welchem Verhältnis von Schadenspotential und Eintrittswahrscheinlichkeit ein Risiko behandelt werden soll.

Risikokatalog

Um einen Überblick über alle Risiken zu erhalten, sollten diese zentral in einem Risikokatalog gesammelt werden. Dieser sollte sämtliche risikobezogenen Informationen, wie Schadenshöhen und Eintrittswahrscheinlichkeiten, so wie auch die Bewertungen der einzelnen Risikoprozessdurchläufe, enthalten. Werden die Risiken nach Priorität geordnet, wird diese Form des Katalogs als Risikoliste bezeichnet; um die zugehörigen Maßnahmen erweitert kann man auch von einem Risikoplan sprechen [Knoll, 2014, S.186f].

Risikonetzdiagramm

IT_Risikobewertung // Netzdiagramm_Softwarefehler
Netzdiagramm_Softwarefehler © AR-ITcon

Beim Risikonetzdiagramm wird die Bewertung des Risikos auf die einzelnen Strahlen eines Netzes aufgetragen. Somit sind alle Risiken rund um den Mittelpunkt angeordnet und können miteinander verbunden werden. Die Bewertung wird so aufgetragen, dass die höheren Werte außen liegen und der Mittelpunkt kein Risiko darstellt [Knoll, 2014, S.189f]. Die Abbildung zeigt welche Risiken rasche Behandlung erfordern. Die Fläche des Netzdiagramms hat allerdings wenig Aussagekraft [Knoll, 2014, S.189f].

Zusätzlich zur Bewertung des Gesamtrisikos können auch Eintrittswahrscheinlichkeit und Schadenspotential eingetragen werden. Es können auch die Risiken einzelner Geschäftsprozesse oder Abteilungen auf einzelne Netzdiagramme aufgetragen werden, wie Abbildung zeigt, und somit über die Fläche der jeweiligen Diagramme untereinander verglichen werden.