Risikomanagement und Unternehmenskultur: Berücksichtigung der kulturellen Aspekte im Rahmen des Risikomanagements
Von Peter R. Bitterli, Beat Graf und Marcel Schühle
()
Über dieses E-Book
Alle gängigen Normen betonen die Wichtigkeit der Unternehmenskultur sowie der subjektiven Risikowahrnehmung. Somit kann die Unternehmenskultur als ein kritischer Erfolgsfaktor für das unternehmensweite Risikomanagement angesehen werden. Jedoch mangelt es aber in allen untersuchten Normen an konkreten Umsetzungshilfen, diese Einflüsse zu berücksichtigen und zielgerichtet zu steuern.
Betrachtet man die Unternehmenskultur als eine für den wirtschaftlichen Erfolg maßgebliche Variable, so bedingt dies die Erfassung, Visualisierung und Beurteilung derselben, damit allfällige Veränderung bzw. Auffälligkeiten rechtzeitig erkannt werden können. Die bewusste Pflege und Gestaltung dieses an sich heute unbestrittenen Erfolgsfaktors Unternehmenskultur setzt eben gerade auch deren Vergleichbarkeit voraus. Vor diesem Hintergrund wurde im vorliegenden Fachbuch versucht, die Unternehmenskultur auf eine übersichtliche und vergleichbare Weise sowie beschränkt auf die wichtigsten Kulturelemente (Dimensionen) darzustellen.
Sind die Rahmenbedingungen für das Risikomanagement definiert, formuliert sowie kommuniziert, gilt es, die wahrnehmungsbezogenen Faktoren im Laufe des Risikomanagement-Prozesses so zu steuern, dass eine möglichst transparente und wahrnehmungsneutrale Sicht über die Risiken einer Unternehmung resultiert. Wo zur Erreichung dieser objektiven Sicht keine quantitativen oder semi-quantitativen Risikoanalyse-Verfahren bestehen, wird gezeigt, wie mit verschiedenen Ansätzen, teilweise aus dem System Engineering, qualitative Methoden möglichst objektiviert werden können.
Peter R. Bitterli
Seit 1984 ist Peter R. Bitterli, dipl. Math. ETH, CISA, CISM, CGEIT, im breiten Gebiet der Revision, Kontrolle und Sicherheit der Informationstechnologie (IT) tätig - intern wie extern und sowohl in der (Informatik-) Revision als auch in der (Informatik-) Sicherheit. Als Gründungsmitglied des ISACA Switzerland Chapter und während 25 Jahren als Vorstandsmitglied hat er die Landschaft der IT-Revision in der Schweiz maßgeblich mitgeprägt, sei als Dozent und Modulleiter der Akademie für Wirtschaftsprüfung, als Lehrbeauftragter der Universität Zürich oder als Dozent in Kursen an verschiedenen Fachhochschulen. Als Mitglied des Fachstabs Informatik der EXPERTsuisse gestaltet er Prüfungsstandards, Prüfungsanleitungen oder Prüfungsempfehlungen im IT-Bereich mit; er hat in den letzten Jahren verschiedene Publikationen veröffentlicht und ist häufig eingeladener Referent an nationalen wie internationalen Fachtagungen.
Ähnlich wie Risikomanagement und Unternehmenskultur
Ähnliche E-Books
Praxis der strategischen Unternehmensanalyse: Strategisches Management konkret Bewertung: 0 von 5 Sternen0 BewertungenPersonal und Organisation: Die wichtigsten Methoden Bewertung: 0 von 5 Sternen0 BewertungenRisikomanagement für KMUs – Grundlagen: Von der Risikoanalyse bis zum perfekten Risikocontrolling - Risiken erkennen, kontrollieren und vermeiden Bewertung: 0 von 5 Sternen0 BewertungenSchnittstellenmanagement des Einkaufs: Innovations- und Wertbeitrag aus dem Einkauf Bewertung: 0 von 5 Sternen0 BewertungenPraxis der strategischen Zielbildung: Strategisches Management konkret Bewertung: 0 von 5 Sternen0 BewertungenStrategie: Die wichtigsten Methoden Bewertung: 0 von 5 Sternen0 BewertungenUnternehmensberater werden? – Consulting und wie man erfolgreich wird Bewertung: 0 von 5 Sternen0 BewertungenMusterkonzept zur Personalentwicklung: Von A-Z ausformuliertes und professionell strukturietes Musterkonzept für eine professionelle Personalentwicklung Bewertung: 0 von 5 Sternen0 BewertungenGeschäftsprozesse im Projektmanagement: Best Practices der Implementierung Bewertung: 0 von 5 Sternen0 BewertungenGanzheitliches Projektmanagement Bewertung: 0 von 5 Sternen0 BewertungenFinanzmarkt: 360 Grundbegriffe kurz erklärt Bewertung: 0 von 5 Sternen0 BewertungenWiderstände gegen Kulturwandel in Unternehmen: Ursachen und Lösungsansätze im Change Management Bewertung: 0 von 5 Sternen0 BewertungenScribble: Das Arbeitsbuch für agiles Prozessmanagement Bewertung: 0 von 5 Sternen0 BewertungenGeschäftsprozesse richtig abbilden: Prozessmanagement konkret Bewertung: 0 von 5 Sternen0 BewertungenProjektmanagement: Grundlagen, Methoden und Techniken Bewertung: 0 von 5 Sternen0 BewertungenKönigsdisziplin: Strategische Verhandlungsführung: Der komprimierte Best Practice Ratgeber für versierte Einkäufer und kundenorientierte Lieferantenpartner Bewertung: 0 von 5 Sternen0 BewertungenSicherheit in vernetzten Systemen: 24. DFN-Konferenz Bewertung: 0 von 5 Sternen0 BewertungenBessere Softwareentwicklung mit DevOps Bewertung: 0 von 5 Sternen0 BewertungenWissensmanagement Bewertung: 5 von 5 Sternen5/5Rollen & Verantwortlichkeiten in der Produktion: Produktionsmanagement für Führungskräfte Bewertung: 0 von 5 Sternen0 BewertungenKVP + BVW = wirtschaftlicher Erfolg: Projekt- und Personalmanagement Bewertung: 0 von 5 Sternen0 BewertungenWissenschaftliches Arbeiten Bewertung: 0 von 5 Sternen0 BewertungenPräsentieren und moderieren für die Projektleitung Bewertung: 0 von 5 Sternen0 BewertungenOptimierung der Anzahl Lieferanten: Eine Methode zur Vereinfachung im Lieferantenmanagement Bewertung: 0 von 5 Sternen0 BewertungenKunst im Unternehmen: Ein Mehrwert in Zeiten des Wandels Bewertung: 0 von 5 Sternen0 BewertungenDer Mitarbeiterlebenszyklus: Im Kampf gegen innere Kündigung und Fachkräftemangel Bewertung: 0 von 5 Sternen0 BewertungenAgil im ganzen Unternehmen: Wie Sie eine dynamische, flexible und kundenorientierte Organisation gestalten Bewertung: 0 von 5 Sternen0 BewertungenBasiswissen Aufbauorganisation Bewertung: 0 von 5 Sternen0 BewertungenAgiliät und Continuous Delivery Bewertung: 0 von 5 Sternen0 Bewertungen
Business für Sie
Fremdbestimmt: 120 Jahre Lügen und Täuschung Bewertung: 4 von 5 Sternen4/5Verkauf Direkt Ins Gehirn: Emotional, Mental und Manipulativ Bewertung: 0 von 5 Sternen0 BewertungenErklärs mir, als wäre ich 5: Wirtschaft. Finanzen. Geld. Bitcoin. Krise. Krieg. Die Welt der Wirtschaft leicht erklärt. Allgemeinwissen to go Bewertung: 0 von 5 Sternen0 BewertungenDie große Täuschung: John F. Kennedys Warnung & die Bedrohung unserer Freiheit Bewertung: 0 von 5 Sternen0 BewertungenLeben in der DDR: Vergessenes aus der Geschichte in 111 Fragen Bewertung: 0 von 5 Sternen0 BewertungenMotivation: Prokrastination überwinden, Träume verwirklichen, Work-Life-Balance verbessern Bewertung: 0 von 5 Sternen0 BewertungenDas 7-S-Modell: Schlüssel zum Erfolg eines Unternehmens Bewertung: 0 von 5 Sternen0 BewertungenDiversität in Organisationen Bewertung: 0 von 5 Sternen0 BewertungenDie bedeutendsten Mathematiker Bewertung: 0 von 5 Sternen0 BewertungenRapid Problem Solver: Chancen in Prozessen schnell erkennen und kompetent nutzen Bewertung: 0 von 5 Sternen0 BewertungenDas Pareto Prinzip Bewertung: 0 von 5 Sternen0 BewertungenDie Wertkette nach Porter: Wettbewerbsvorteile erkennen und ausbauen Bewertung: 0 von 5 Sternen0 BewertungenDeutschlands Kranke Kinder: Wie auf Anweisung der Regierung Kitas und Schulen die Gesundheit unserer Kinder schädigen Bewertung: 0 von 5 Sternen0 Bewertungen30 Minuten Scrum Bewertung: 0 von 5 Sternen0 BewertungenWissensmanagement wird digital Bewertung: 0 von 5 Sternen0 BewertungenQuantumMarketing-Quantumnetworking Bewertung: 0 von 5 Sternen0 BewertungenWer regiert das Geld?: Banken, Demokratie und Täuschung Bewertung: 0 von 5 Sternen0 BewertungenFeierabend hab ich, wenn ich tot bin: Warum wir im Burnout versinken Bewertung: 0 von 5 Sternen0 BewertungenLean Management für Einsteiger: Grundlagen des Lean Managements für Kleine und Mittelständische Unternehmen – mit Vielen Praxisbeispielen Bewertung: 0 von 5 Sternen0 BewertungenDie Kunst des Krieges: Wahrhaft siegt, wer nicht kämpft Bewertung: 4 von 5 Sternen4/5Das Tao des Warren Buffett: Lassen Sie sich von den Weisheiten der Börsenlegende leiten Bewertung: 4 von 5 Sternen4/5Wenn die anderen das Problem sind: Konfliktmanagement, Konfliktcoaching, Konfliktmediation Bewertung: 0 von 5 Sternen0 BewertungenDer Krieg im Dunkeln: Die wahre Macht der Geheimdienste. Wie CIA, Mossad, MI6, BND und andere Nachrichtendienste die Welt regieren. Bewertung: 0 von 5 Sternen0 BewertungenZusammenfassung: Wie man Freunde gewinnt: Kernaussagen und Analyse des Buchs von Dale Carnegie: Zusammenfassung Bewertung: 5 von 5 Sternen5/5Die Wirtschaftsethik der Weltreligionen: Konfuzianismus und Taoismus + Hinduismus und Buddhismus + Das antike Judentum + Die Pharisäer Bewertung: 0 von 5 Sternen0 BewertungenEinführung in die Betriebswirtschaftslehre: Für Geprüfte Betriebswirte (IHK) und Fachwirte Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Risikomanagement und Unternehmenskultur
0 Bewertungen0 Rezensionen
Buchvorschau
Risikomanagement und Unternehmenskultur - Peter R. Bitterli
Die Autoren
Peter R. Bitterli
Seit 1984 ist Peter R. Bitterli, dipl. Math. ETH, CISA, CISM, CGEIT, im breiten Gebiet der Revision, Kontrolle und Sicherheit der Informationstechnologie (IT) tätig - intern wie extern und sowohl in der (Informatik-) Revision als auch in der (Informatik-) Sicherheit. Als Gründungsmitglied des ISACA Switzerland Chapter und während 25 Jahren als Vorstandsmitglied hat er die Landschaft der IT-Revision in der Schweiz massgeblich mitgeprägt, sei als als Dozent und Modulleiter der Akademie für Wirtschaftsprüfung, als Lehrbeauftragter der Universität Zürich oder als Dozent in Kursen an verschiedenen Fachhochschulen. Als Mitglied des Fachstabs Informatik der EXPERTsuisse gestaltet er Prüfungsstandards, Prüfungsanleitungen oder Prüfungsempfehlungen im IT-Bereich mit; er hat in den letzten Jahren verschiedene Publikationen veröffentlicht und ist häufig eingeladener Referent an internationalen Fachtagungen.
Beat Graf
Der seit 1996 promovierte Jurist (Universität Fribourg) Beat Graf arbeitete während knapp 10 Jahren zuerst im Firmenkundengeschäft und anschliessend rund 7 Jahre im Konzernrechtsdienst einer Schweizer Grossbank. Danach war er Gründungspartner und Geschäftsführer einer Beratungsfirma in St.Gallen, welche unter anderem in der rechtlichen Beratung diversen Banken im Workout-Bereich, im Restrukturierungs-und Sanierungsgeschäft sowie der Beratung und Gründung von Unternehmen tätig war. Seit über 10 Jahren arbeitet er im Fürstentum Liechtenstein, heute in der Funktion des Präsidenten des Treuhänderrates einer der grössten Treuhandgesellschaften. Gleichzeitig ist er im Verwaltungsrat einer börsenkotierten Liechtensteinischen Privatbank sowie verschiedenen Treuhand- und Finanzdienstleistungsgesellschaften im In- und Ausland. 2007 schloss er die Ausbildung zum Master of Advanced Studies in Risk Management an der Hochschule Luzern ab. An der Universität Liechtenstein hat er zwei Lehraufträge im Bereich Risikomanagement und Compliance.
Marcel Schühle
Marcel Schühle, MAS Risk Management Hochschule Luzern, CISA, CISM, Risiko Manager SAQ und EOQ, ist seit 1998 in der Finanzbranche in hoch regulierten und Finanzplatz kritischen Umgebungen als Chief Information Security Officer (CISO), IT-Risiko-Manager und IT Compliance-Verantwortlicher tätig. Von 2001 bis 2015 war er Mitglied der Arbeitsgruppe Informationssicherheit der schweizerischen Bankiervereinigung AGIS, die er in den Jahren 2002 sowie 2010 bis 2014 präsidiert hat. Zudem partizipiert er seit 2001 in diversen Arbeitsgruppen der schweiz. Kommission für Standardisierung im Finanzbereich SKSF. Seit 2008 unterrichtet er nebenamtlich als Privat-Dozent an der Hochschule Luzern im Institut für Betriebs- und Regionalökonomie IBR im Rahmen des Master of Advanced Studies in Risk Management die Themen IT Risiko Management, Einfluss psychologischer und soziologischer Aspekte auf die Ausgestaltung des unternehmensweiten Risiko-Managements sowie Risiko-Management-Methoden und Instrumente.
Umschlagseite
Das Bild der Umschlagsseite stammt von Alain Desarzens, der neben seinem Beruf als Dozent der Passion des künstlerischen Ausdrucks nachgeht. Es wurde von Peter R. Bitterli fotographiert und graphisch umgestaltet.
Inhaltsverzeichnis
Vorwort
Risikoanalyse und Risikomanagement - begriffliche Grundlagen
Die unterschiedlichen Interpretationen der wichtigsten Begriffe
Rahmenwerke für Risikomanagement
Die wichtigsten Frameworks im Überblick
Kultur als kritischer Erfolgsfaktor für das Risikomanagement
Unternehmenskultur als entscheidender Einflussfaktor
Risikowahrnehmung
Die psychologische Ebene des Risikomanagements
Wahrnehmungs- und kulturneutrales Risikomanagement
Ansatz zur Verminderung der subjektiven Risikobewertung
Anwendungsbeispiele Risikoanalyse
Beispiele verschiedener Methoden und Darstellungen
Literaturnachweis und -hinweise
Vorwort
Die Auseinandersetzung mit Unternehmenskultur und unternehmensweitem Risikomanagement liegt zweifelsohne im Trend; sie gewann unter anderem durch grössere Firmenzusammenbrüche und Wirtschaftsskandale zunehmend an Bedeutung. Während die Unternehmenskultur vorwiegend auf die Rahmenbedingungen eines Risikomanagements beeinflussend wirkt, werden Risiken durch Personen identifiziert, beurteilt und behandelt und unterliegen naturgemäss der individuellen und damit subjektiv geprägten Wahrnehmung. Nachfolgend ist indessen nicht allein die je gesonderte Betrachtung von Interesse, sondern vielmehr das Zusammenspiel zwischen der Unternehmenskultur, der subjektiven und individuellen (Risiko-)Wahrnehmung und dem unternehmensweiten Risikomanagement. Im Fokus stehen dabei kulturell bedingte Gefahren, die für ein Risikomanagement erfolgskritischen Kulturelemente sowie auch mögliche Instrumente und Methoden mit dem Ziel einer kultur- und wahrnehmungsneutralen Risiko-Betrachtung.
Im Vergleich der bekanntesten Risikomanagement-Normen wird manifest, dass sich diese bezüglich Prozesse inhaltlich nur geringfügig unterscheiden, weshalb der Erfolg, ein Risikomanagement einzuführen, nicht von der Wahl der Norm abhängig sein dürfte. Alle gängigen Normen betonen indes die Wichtigkeit der Unternehmenskultur sowie der subjektiven Risikowahrnehmung. Somit kann die Unternehmenskultur als ein kritischer Erfolgsfaktor für das unternehmensweite Risikomanagement angesehen werden. Grösstenteils mangelt es aber in allen untersuchten Normen an konkreten Umsetzungshilfen, diese Einflüsse zu berücksichtigen und zielgerichtet zu steuern.
Betrachtet man die Unternehmenskultur als eine für den wirtschaftlichen Erfolg massgebliche Variable, so bedingt dies die Erfassung, Visualisierung und Beurteilung derselben, damit allfällige Veränderung bzw. Auffälligkeiten rechtzeitig erkannt werden können. Die bewusste Pflege und Gestaltung dieses an sich heute unbestrittenen Erfolgsfaktors Unternehmenskultur
setzt eben gerade auch deren Vergleichbarkeit voraus. Vor diesem Hintergrund wurde versucht, die Unternehmenskultur auf eine übersichtliche und vergleichbare Weise sowie beschränkt auf die wichtigsten Kulturelemente (Dimensionen) darzustellen.
Sind die Rahmenbedingungen für das Risikomanagement definiert, formuliert sowie kommuniziert, gilt es, die wahrnehmungsbezogenen Faktoren im Laufe des Risikomanagement-Prozesses so zu steuern, dass eine möglichst transparente und wahrnehmungsneutrale Sicht über die Risiken einer Unternehmung resultiert. Zur Erreichung dieser objektiven Sicht sind für die Analyse der Risiken quantitative den semi-quantitativen und qualitativen Verfahren vorzuziehen. Wo solche Verfahren keine oder nur sehr beschränkte Anwendung finden können, wird gezeigt, wie mit verschiedenen Ansätzen, teilweise aus dem System Engineering, qualitative Methoden möglichst objektiviert
werden können.
Risikoanalyse & Risikomanagement – begriffliche Grundlagen
Die in der Risikoanalyse resp. im Risikomanagement geläufigen Begriffe sind nicht immer eindeutig: einerseits sind Begriffe mehrfach belegt und andererseits verwenden wir oft verschiedene Begriffe für ein- und dasselbe.
Gefahr (Definition)
Eine Gefahr (danger) ist ein Zustand, Umstand oder Vorgang, aus dem ein Schaden für Mensch, Umwelt oder Sachgüter entstehen kann.
Unter einer Gefahr (danger verstehen wir
einen Zustand, aus dem ein Schaden entstehen kann;
die mögliche Ursache für ein Schadensereignis;
die in einem betrachteten Zustand schlummernde Möglichkeit des Auftretens eines schädigenden Ereignisses.
Die Gefahr besitzt keine Masseinheit. Beispiele von Gefahren sind: Überschwemmung, Erdbeben, Lawinen, Brand, Stromausfall, Viren, ...
Gefährdung (Definition)
Eine Gefährdung (exposure) ist eine auf ein bestimmtes Objekt bezogene Gefahr.
Unter einer Gefährdung (exposure) verstehen wir den möglichen, auf ein bestimmtes Objekt bezogenen Verlust aufgrund des Auftretens eines negativen Ereignisses. Wir interessieren uns also dafür, wie eine Gefahr sich in einem bestimmten Umfeld konkretisieren könnte. Beispiele von Gefährdungen sind: die Brücke wird durch eine Lawine zerstört, das Rechenzentrum wird durch einen Brand beschädigt, usw. – wir betrachten also die Situation aus der Sicht des Objektes.
objektbezogene Betrachtung
Bedrohung (Definition)
Eine Bedrohung (threat) ist eine Aktion oder ein Ereignis, das die Auftragserfüllung
eines Systems verunmöglicht oder behindert.
Unter einer Bedrohung (threat) verstehen wir eine Aktion oder ein Ereignis, welches der Sicherheit schaden kann – also ein Faktor oder Umstand, der die Einhaltung der (Sicherheits-) Anforderungen eines Systems gefährden oder verhindern kann. Hier betrachten wir die Situation von aussen.
angriffsbezogene Betrachtung
Es ist in der Praxis schwierig, die Begriffe Gefährdung (eher aus Optik der Verwundbarkeit) und Bedrohung (eher aus Optik des Angreifers
) sauber auseinander zu halten – wir verwenden sie aus diesem Grund in den meisten Fällen als Synonyme.
Verwundbarkeit (Definition)
Eine Verwundbarkeit oder Verletzbarkeit (vulnerability) ist eine Schwäche resp. Schwachstelle in Design, Implementation oder Betrieb von Systemen, Sicherheitsverfahren oder (generell) internen Kontrollen, welche für den unberechtigten Zugang zu Informationen, die Störung von kritischen Prozessen oder andere Bedrohungen ausgenützt werden könnte.
In manchen Risikoanalysemethoden wird Bezug genommen auf allenfalls mangelhafte passive Sicherheit, also konkrete Schwächen in einem System, Prozess usw. Solche Verwundbarkeiten (vulnerabilities) bestehen unabhängig von konkreten Gefährdungen resp. Bedrohungen und sind einer Sache eigen – sie können dann aber durch konkrete Bedrohungen ausgenützt
werden und führen so zu einem möglichen Schaden. Verwundbarkeiten machen demnach ein System anfälliger für einen Angriff oder erhöhen die Wahrscheinlichkeit dafür, dass ein Angriff erfolgreich ist. Beispiele von Verwundbarkeiten sind brennbares Material (z.B. Papier) im Rechenzentrum, eine Verglasung im Erdgeschoss mit normalen Fenstergläsern statt Sicherheitsglas oder ein schlecht konfigurierter Firewall.
statische
Betrachtung
Risiko (Definition)
Ein Risiko (risk) ist eine auf ein spezifisches Objekt bezogene Gefahr, die hinsichtlich Eintretenswahrscheinlichkeit und Schadensausmass bewertet worden ist.
Ein Risiko (risk) ist die Möglichkeit eines Ereignisses mit einem negativen Effekt auf z.B. die Organisation und ihre Systeme (generell also die Möglichkeit, einen Schaden zu erleiden
). In den gängigen Definitionen wird heute jegliche – positive wie negative – Abweichung von den Zielsetzungen Risiko als bezeichnet, auch wenn der Begriff in der Umgangssprache wie teilweise immer noch in der Fachliteratur vorwiegend negativ geprägt ist. In der Umgangssprache ist es zudem üblich, Gefahren und Gefährdungen mit dem Begriff Risiko
zu bezeichnen, was eigentlich nicht ganz korrekt ist.
Das Risiko ist ein Mass für die Grösse der Gefährdung eines bestimmten Objektes und wird berechnet als Produkt der Eintretenswahrscheinlichkeit w eines Schadensereignisses und des potentiellen Schadensausmasses A. Das Risiko entspricht demnach geometrisch einer Fläche.
Risiko = Mass für Gefährdung
Risiko = Eintretenswahrscheinlichkeit * Schadensausmass
R = w * A
In der Regel hat man keine Einzelrisiken, sondern eine ganze Sammlung von Risiken.
Ri = wi * Ai (für ein bestimmtes Element i)
Das zu ermittelnde Gesamtrisiko setzt sich aus einer unermesslichen Zahl von Einzelrisiken zusammen:
Gesamtrisiko = Summe aller Teilrisiken
Obwohl die obige mathematische Formel für das Gesamtrisiko bestechend einfach aussieht, ist diese Art der quantitativen Risikoanalyse nur in Ausnahmefällen praktikabel: Oft fehlen verlässliche Erfahrungswerte für die Eintretenswahrscheinlichkeit und das Schadensausmass – vor allem bei seltenen Ereignissen.
aufwändige Risikoanalysen nur in Ausnahmefällen praktikabel
Und wenn man mit Hilfe dieser Formel das Gesamtrisiko für alle Bereiche einer Unternehmung bestimmen wollte, wäre der Aufwand für die Durchführung einer solchen umfassenden Analyse riesig (z.B. müsste in der Berechnung auch berücksichtigt werden, dass sich ein bestimmtes Risiko wiederum aus ähnlichen Teilrisiken zusammensetzt mit individuellen Eintretenswahrscheinlichkeiten und Schadensausmassen). Es ist deshalb wenig erstaunlich, dass sich dieser aufwändige Ansatz in der Praxis nur in wenigen Fällen bewährt hat. Man behilft sich stattdessen mit einer Sammlung und Bewertung typischer Risiko-Szenarien und spricht in diesem Zusammenhang auch von einer Risikolandschaft (risk landscape), welche die Einzelrisiken qualitativ zueinander in Beziehung setzt (siehe nachfolgende Abbildung).
Abb. Risikolandschaft bestehend aus 21 Szenarien
Da die Eintretenswahrscheinlichkeiten und Schadenshöhen von Risiken oft nur sehr grob geschätzt werden können, werden in der Regel die beiden Beurteilungsmassstäbe (also die Eintretenswahrscheinlichkeit und das Schadensausmass) in 4–6 Stufen unterteilt und in einigen Darstellungen die dadurch entstandenen Flächen auch farblich als mehr oder weniger gefährlich
gekennzeichnet. Risiken werden dann aufgrund dieser Grobeinteilung in eines der Felder eingeteilt. Da (anscheinend) die Zürich Versicherung innerhalb der Schweiz die Methode als erstes propagiert haben soll, ist sie in der Schweiz auch unter dem Namen Zürich-Methode bekannt.
Geschäftsrisiko (Definition)
Ein Geschäftsrisiko (business risk) ist ein durch die spezifische Geschäftstätigkeit verursachtes Risiko, welches die Zielerreichung gefährdet.
Ein Geschäftsrisiko (business risk) ist das Risiko, das auf Grund einer spezifischen Geschäftstätigkeit besteht und die Zielerreichung gefährdet. Geschäftsrisiken entstehen also durch signifikante Einflüsse, Ereignisse, Umstände, Handlungen (oder das Fehlen von Handlungen!), welche die Fähigkeit des Unternehmens beeinträchtigen, seine Geschäftsziele zu erreichen [ISA 315]. Typische Einflussfaktoren auf das Geschäftsrisiko sind:
Art der Produkte oder Dienstleistungen und ihre Erstellung
Konkurrenzsituation (national/international) und Marktentwicklung
Branchenzugehörigkeit und (gute) Vergleichbarkeit mit anderen in dieser Branche
Unternehmensgrösse, finanzielle Basis, Liquidität
generelle technologische Entwicklungen (auch innerhalb der Informatik)
der Grad der Beeinflussung der Geschäftstätigkeit durch Dritte (Outsourcing)
Geschäftsrisiko wird durch Geschäftstätigkeit verursacht
Inhärentes Risiko (Definition)
Ein inhärentes Risiko (inherent risk) ist ein mit einer bestimmten Tätigkeit oder einem bestimmten Zustand unabdingbar verknüpftes Risiko.
Im Zusammenhang mit dem Geschäftsrisiko spricht man auch vom inhärenten Risiko (inherent risk), das mit einer bestimmten (Geschäfts-) Tätigkeit unabdingbar verknüpft ist. Beispiele für inhärente Risiken sind: Wechselkursrisiko bei Fremdwährungsgeschäften, Kreditrisiko bei der Kreditvergabe, Debitorenrisiko bei Versand gegen Rechnung. Das inhärente Risiko der meisten Bereiche im Informatikumfeld ist üblicherweise gross, da die potentiellen Effekte von Fehlern in der Regel mehrere Anwendungen gleichzeitig betreffen.
inhärentes Risiko = mit Tätigkeit verknüpftes Risiko
Das inhärente Risiko