Inhaltsverzeichnis A  

Inhaltsverzeichnis

  Inhaltsverzeichnis A  

  Abbildungsverzeichnis C  

Tabellenverzeichnis  D  

  Abkürzungsverzeichnis E  

1  Einleitung - 1 -  

2  Ausgangslage - 2 -  

2.1  Problemstellung - 2 -  

2.2  Zielsetzung - 4 -  

3  Grundlagen des Risikomanagements - 5 -  

3.1  Risikodefinition - 6 -  

3.2  Erfassung und Verwaltung von Risiken - 8 -  

3.3  Aggregation von Risiken - 14 -  

3.4  Risikomanagement als Prozess - 16 -  

3.4.1  Einbindung der Risiko-Analyse in einen R-MProzess - 19 -  

3.4.2  Bewertung von Risiken - 20 -  

3.4.3  Steuerung und Kontrolle von Risiken - 20 -  

3.4.4  Risikoreporting und -kommunikation - 22 -  

4  Management-Ansätze - 23 -  

4.1  Generisches Managementsystem - 23 -  

4.2  St. Galler Management-Modell - 26 -  

4.2.1  Normatives Management - 27 -  

4.2.2  Strategisches Management - 28 -  

4.2.3  Operatives Management - 29 -  

4.3  Unternehmensführung und -steuerung - 30 -  

4.3.1  Balanced Scorecard - 30 -  

4.3.2  SWOT Analyse. - 35 -  

4.3.3  Strategy Map - 36 -  

4.4 IT-Frameworks für Prozesse und Ziele ........................................................ - 38 -

  Inhaltsverzeichnis B  

4.4.1  CobiT - Control Objectives for Information and related Technology - 40 -  

4.4.2  ITIL - Information Technology Infrastructure Library - 43 -  

5  Ansätze für die Integration des Risikomanagements in bestehende  

  Management-Ansätze - 45 -  

5.1  Organisatorischer Ansatz eines integrativen Risikomanagementkonzeptes - 46 -  

5.1.1  Konzernweite Ausrichtung - 47 -  

5.1.2  Risikoarten - 49 -  

5.1.3  Einheitliche Begrifflichkeiten - 51 -  

5.1.4  Methodische Umsetzung - 52 -  

5.2  Change Management für den Integrationsprozess - 52 -  

5.2.1  Ursprung des Change Management - 53 -  

5.2.2  Gegenstand der Änderung - 54 -  

5.2.2.1Strategie.  - 54 -  

5.2.2.  2Strukturen und Organisationen - 54 -  

5.2.2.  3Prozesse - 55 -  

5.2.3  Rahmenbedingungen - 55 -  

5.2.4  Relevanz des Change Management - 56 -  

5.2.5  Transformationsprozesse in Organisationen - 58 -  

5.3  Risikosteuerung mittels integrierter Balanced Scorecard - 61 -  

5.4  Ausgestaltung eines integrativen R-MProzesses - 68 -  

6 Fazit und Ausblick auf Möglichkeiten und Grenzen ............................... - 79 -

  Abbildungsverzeichnis C  

  Abbildungsverzeichnis  

  Abbildung 1: Risikomatrix - 8 -  

  Abbildung 2: Aktivitäten des Risikomanagements - 9 -  

  Abbildung 3: Klassische Risiko-Matrix - 10 -  

  Abbildung 4: Monetarisierte Risiko-Matrix - 11 -  

  Abbildung 5: Einstufung nach Schaden - 12 -  

  Abbildung 6: Risk-Mapping - 13 -  

  Abbildung 7:Aufbau eines Risiko-Katalogs - 13 -  

  Abbildung 8: Aufbau eines Risiko-Katalogs - 15 -  

  Abbildung 9: Allgemeiner Risiko-Management-Prozess - 17 -  

  Abbildung 10: Grob skizzierter Ablauf des Risikomanagements - 19 -  

  Abbildung 11: Kennzeichen eines Managementsystems - 24 -  

  Abbildung 12: Managementsysteme und Basisfähigkeiten - 25 -  

  Abbildung 13: St. Galler Management Modell (vereinfachte Darstellung) - 26 -  

  Abbildung 14: Ebenen des Strategischen Managements - 28 -  

  Abbildung 15: Vier Felder einer SWOT-Analyse - 35 -  

  Abbildung 16: StrategyMap I - 37 -  

  Abbildung 17: StrategyMap II - 38 -  

  Abbildung 18: CobiT-Ansatz - 41 -  

  Abbildung 19: ITIL-Framework, gegliedert nach Leveln - 43 -  

  Abbildung 20: Verbindung zwischen IT-Service und Business Service - 44 -  

  Abbildung 21: Ebenen der Unternehmensführung nach dem St. Galler Ansatz - 46 -  

  Abbildung 22: Elemente eines Risikomanagementkonzeptes - 47 -  

  Abbildung 23: Virtuelle Organisation eines Risikonetzes - 48 -  

  Abbildung 24: Risikoarten. - 49 -  

  Abbildung 25 Phasen eines Change Management Prozesses - 58 -  

  Abbildung 26: IT-Strategie als Enabler - 62 -  

  Abbildung 27: Informationskriterien-Profil - 63 -  

  Abbildung 28: Key Goal und Key Performance Indicator in der BSC - 65 -  

  Abbildung 29: BSC mit integrierten IT-Indikatoren - 66 -  

Abbildung 30: Strategieumsetzung mittels BSC ..................................................... - 67 -

Tabellenverzeichnis D   

  Abbildung 31: Risikomanagement-Prozess im strategiefokussierten  

  Führungssystem - 68 -  

  Abbildung 32: Integrierter RM Prozess I - 70 -  

  Abbildung 33: Integrierter RM Prozess II - 71 -  

  Abbildung 34: Integrierter RM Prozess III - 72 -  

  Abbildung 35: Integrierter RM Prozess IV - 74 -  

  Abbildung 36: R-MOutput im Management-Ansatz - 76 -  

  Tabellenverzeichnis  

Tabelle 1 - Beschreibung der Veränderungsphasen ............................................... - 58 -

Abkürzungsverzeichnis E

Abkürzungsverzeichnis BSC Balanced Scorecard

bspw. Beispielsweise

CobiT Control Objectives for Information and related Technology

CSF Critical Success Factors

i.d.R. in der Regel

ICT Information & Communication Technology

ICT Informations- u. Kommunikationstechnologien

ISO International Standard Organization

IT Informationstechnologie

KGI Key Goal Indicator

KMU Kleine u. Mittelständische Unternehmen

KPI Key Performance Indicator

QM Qualitätsmanagement

RM Risikomanagement

SWOT Strength (Stärken), Weakness (Schwächen), Opportunities (Chancen) und Threats (Gefahren/Bedrohung)

u. A. unter Anderem

u.U. unter Umständen

z.B. zum Beispiel

1 Einleitung - 1 -

1 Einleitung

Zeiten des Wandels und des Umbruchs bringen immer neue Anforderungen mit sich - bereits Hegels‘ Dialektik lehrte schon, dass eine These und ihre korrespondierende Antithese zu einer revolutionären und lösungsorientierten Synthese verschmelzen. Ca. 250 Jahre später gelten diese Gesetze noch immer und revolutionieren in regelmäßigen Abständen die Gegebenheiten der Wirtschaftspolitik, sowie auch die strategische Unternehmensführung.

¹ auf den In den letzten Jahren haben mehrere Veränderungen und Umstände internationalen Märkten dazu beigetragen, dass sich in regelmäßigen Abständen die Rahmenbedingungen verändert haben. Aus möglichen auftretenden Risiken werden Chancen und umgekehrt. Ein Prozess, der komplexer nicht sein könnte - sowohl die Identifikation und das ständige Monitoring von Risiken als auch die Ableitung von Maßnahmen für eine adäquate Steuerung dieser - benötigt an dieser Stelle ebenfalls Unterstützung, in Form einer entsprechenden Verankerung in der Unternehmensführung.

Die Gesetze des Marktes zeigen auf, dass die Marktmechanismen in regel- ² undneue Entmäßigen Abständen durch eine Dynamik den Markt bereinigen repreneure und Akteure aufstellen. Hier ist an dieser Stelle ein gutes Risikomanagement gefragt, das diese auftretenden Risiken stets identifiziert, bewertet und zugleich geeignete Maßnahmen derivativ ableitet. Daraus ergibt eine Risikomatrix, die zugleich einen neuer Satz an Methoden und Tools entwickelt für die Sicherstellung der Reaktivität auf den Märkten. Somit stellt die Risikomatrix einen spezifischen Baukasten dar, mittels dessen ein Unternehmen auf einem freien Markt operieren kann.

¹ Verfasser unbekannt; Banken bauen Stellen ab - trotz Milliardengewinnen, http://www.handelsblatt.com/unternehmen/banken/banken-bauen-stellen-ab-trotzmilliardengewinnen/4159674.html, Zugriff 11.05.2011 ² Verfasser unbekannt; Die Krise als grosse Reinigung der Wirtschaft, http://www.business-wissen.de/unternehmensfuehrung/marktbereinigung-die-krise- als-grosse-reinigung-der-wirtschaft/, Zugriff 12.05.2011

2 Ausgangslage - 2 -

2 Ausgangslage ³ und be-Wie sieht soweit das aktuelle Geschehen aus? Risikomanagement sonders IT-Risikomanagement stellen Themen dar, die sehr häufig in der Fachpresse auffindbar sind - zu welchem Grad sie allerdings auch als sensitive Themen wahrgenommen werden, steht auf einem anderen Blatt geschrieben.

2.1 Problemstellung

Das momentane Bild der Unternehmensführung stützt sich auf unterschiedli- ⁴ .Eines der renommiertesten ist dabei beispielsweise das St. Galche Modelle ⁵ ler Management Modell . Allerdings zeigt die heutige betriebliche Organisation, dass das Management einer Unternehmung an sich, sich nicht mehr nur auf die Führung und Steuerung der Mitarbeiter oder des Tagesgeschäfts stützt, sondern auch die Fokussierung der Informationstechnologie oder Analyse und Steuerung von Risiken als entscheidende Faktoren berücksichtigen ⁶ des betrieblichen Alltags ist es heutzutamuss. Durch die stetige Vernetzung

ge kaum noch denkbar, Prozesse und Workflows ohne IT-Unterstützung abzuwickeln. Das passende Szenario an dieser Stelle: ein Beschaffungsprozess ⁷ bzw. EDI vonstatim Einkauf, der in Industriekonzernen nicht über EDIFACT tengeht, sondern telefonisch abgewickelt wird. Da es sich hierbei um einen Bruch in der Supply Chain handelt und sich diese Beschaffung außerhalb der üblichen Standardisierung abspielt, wäre dieser Prozess mit erheblichem

³ Verfasser unbekannt; Die Banken müssen noch viel mehr vorsorgen, http://www.handelsblatt.com/unternehmen/banken/die-banken-muessen-noch-vielmehr-vorsorgen/4144786.html, Zugriff 12.05.2011

⁴ Verfasser unbekannt; Zwei Modelle der Unternehmensführung, http://www.globalethic-now.de/gen-deu/0d_weltethos-und-wirtschaft/0d-02-drei-ebenen/0d-02-201zwei-modelle.php, Zugriff: 01.02.2011

⁵ Seibert, S.; St. Galler Managementmodell, http://www.siegfriedseibert.de/Wissensspeicher/SanktGallerManagementmodell, Zugriff 12.02.2011 ⁶ Mattern, F.; Ubiquitos Computing - der Trend zur Infomatisierung und Vernetzung aller Dinge,

http://www.4managers.de/fileadmin/4managers/folien/Internetkongress.pdf, Zugriff 12.03.2011

⁷ Peters, R.; EDI/EDIFACT, http://www.enzyklopaedie-der-wirtschaftsinformatik.de/wienzyklopaedie/lexikon/informationssysteme/crm-scm-und-electronicbusiness/Electronic-Business/Standards-im-Electronic-Business/EDI-EDIFACT, Zu- griff 01.02.2011

2 Ausgangslage - 3 -

Mehraufwandfungskosten aufschlagen würde (Risikomanagement-Perspektive: Wertschopfung bzw. Beschaffung ohne funktionsfaehige Supply Chain, bspw. Bedingt durch einen Systemausfall oder Ahnliches).

⁸ einen Genau an dieser Stelle wird deutlich, dass die steigende Vernetzung immer größeren Stellenwert einnimmt und nicht mehr wegzudenken ist. In diesem Zusammenhang manifestiert sich allerdings auch der Aspekt, dass Wertschöpfung ohne IT-Unterstützung so gesehen (nahezu) nicht mehr möglich ist.

Bedingt dadurch nimmt auch das eigentliche Risikomanagement (beispielsweise mit Fokus auf die Informationstechnologie) einen hohen Stellenwert ein und muss so gesehen den Fortbestand und die Aktivität der Informationstechnologie und der Wertschöpfung gewährleisten. Das momentane Bild des betriebenen Risikomanagements ist deutlich geprägt von vereinzelten Aktivitäten, die beispielsweise einen laufenden Betrieb sicherstellen sollen, um eine Folge von Umsatzeinbußen oder sogar schlimmeren Effekten vermeiden zu können. Beispielsweise werden so einzelne Prozesskennzahlen gebildet, um ⁹ -Indizes treffen zu können. Die Aussagen über entsprechende Performance

Kritik an dieser Stelle ist allerdings, dass die Kontrolle anhand dieser Kennzahlen lediglich eine Fokussierung auf Einzelaspekte zur Folge hat - so werden zwar unterschiedliche Kennzahlen hinsichtlich Effektivität und Effizienz optimiert, allerdings steht, da eine Gesamtbetrachtung fehlt, eine Abstimmung mit anderen Unternehmenszielen aus. Negative Skaleneffekte könnten so beispielsweise eine zu starke oder zu schwache Fokussierung auf die Informationstechnologie sein, die eine Einhaltung der Unternehmensziele gefährden kann.

Ein dazu passendes Szenario wären beispielsweise übermäßige Sicherheitsmechanismen und Kontrollen, die die Durchlaufzeit von Prozessen erheblich beeinträchtigen und den Output daher mindern, sodass Quartals- oder Umsatzziele nicht mehr haltbar sind. Viele Szenarien sind in diesem Zusammenhang denkbar.

⁸ Kuhn, T.; Total vernetzt, http://www.handelsblatt.com/technologie/it-tk/itinternet/total-vernetzt/2721766.html, Zugriff 12.01.2011

⁹ Servatius, H.-G.: Performance Management der dritten Generation (Teil 1), in: IM Information Management & Consulting, Heft 3/2007, S. 63-70

2 Ausgangslage - 4 - 2.2 Zielsetzung

Die Zielsetzung der vorliegenden Masterthesis liegt somit darin begründet, das Risikomanagement am Beispiel eines geeigneten Risikomanagement-Ansatzes in die Unternehmensführung einzubinden, um so einen holistischen und abteilungsübergreifenden Ansatz realisieren zu können.

In dieser unternehmensweiten Offensive darf die verwendete Informationstechnologie nicht mehr als Notwendigkeit angesehen werden, die lediglich existent ist, sondern durch ihre ubiquitäre Verzahnung als strategischer Konkurrenzvorteil ausgespielt werden kann (und soll!).

Dieser Ansatz hat zum Ziel, einen systematischen Umgang mit Chancen und Risiken zu etablieren, anstatt lediglich einer Reaktion auf Veränderungen am Markt und zugleich eine einheitliche Sicht auf Chancen und Risiken (unter entsprechender Berücksichtigung von Abhängigkeiten und Zusammenhängen) als Entscheidungsgrundlage zu nutzen. So wird auch nachhaltig die Entscheidungsqualität optimiert, da zugleich mehrere Perspektiven erfasst werden und die Expertise der Fachabteilungen als Grundlage zur Analyse von aufkommenden Bedrohungen und Risiken genutzt wird.

3 Grundlagen des Risikomanagements - 5 -

3 Grundlagen des Risikomanagements

In der fernöstlichen Kultur gibt es dasselbe Schriftzeichen für Krise, sowie für Gelegenheit. Diese Philosophie, die in der asiatischen Kultur seit mehreren Tausend Jahren vermittelt und gelehrt wird, ist ebenfalls ein Ansatz, der das Risikomanagement, wie es gekannt und praktiziert wird, in ein anderes Licht rückt.

Das klassische Risikomanagement, wie es sich in den letzten Jahren zur ge- ¹⁰ entwickelthat, basiert auf mehreren Stufen bzw. Abfolsetzlichen Vorgabe ¹¹ . gen innerhalb eines Managementprozesses

Eine sauber ausgearbeitete Identifikation und eine Steuerung von Risiken erfordern selektierte Vorbedingungen. Die Etablierung des Risikomanagements ist zunächst initial, muss allerdings im laufenden Betrieb einer geschäftigen Tätigkeit stets wiederholt werden, um erneut auftretende Risiken bewerten und steuern zu können. Doch näher beleuchtet stellt sich die Frage, aus welchen Komponenten genau sich das Risikomanagement zusammensetzt, denn vereinfacht gesprochen, lässt sich der Prozess hinter der Steuerung von Risiken in die Bewertung und die Maßnahme von Risiken unterteilen.

Bedingt durch den Hintergrund, dass das Risikomanagement in den letzten Jahren massiv an Bedeutung gewonnen hat, hat der Gesetzgeber an dieser ¹² erstellt, die dazu beitragen sol-Stelle auch rechtliche Rahmenbedingungen

len, definierte Maßnahmen aufzustellen, wie mit Risiken umgegangen werden soll, allerdings auch, wie Risiken identifiziert und evaluiert werden sollen.

Mit zunehmenden wirtschaftlichen Auswirkungen haben sich so auch The- ¹³ wieBasel II ^{14 15 16} etc. manifestiert und sind teilweise , das KonTraG , SOX men ¹⁷ geworden. internationale Standards

¹⁰ Passenheim, O.: Risikomanagement: MaRisk: An der praktischen Umsetzung harpert es, in: Versicherungswirtschaft, Heft 08/2010, S. 55-60 ¹¹ Burmester L., Adaptive Business-Intelligence-Systeme - Theorie Modellierung und Implementierung, 1. Auflage, Wiesbaden, 2011 S. 75

¹² Perrot R., Reif M., Heinrich M., Ellter R., Kompaktwissen Risikomanagement, 1. Auflage, Wiesbaden, 2010 S. 17

¹³ Pastors P., Risiken des Unternehmens - vorbeugen und meistern -, 1. Auflage, München, 2002 S. 213

¹⁴ Basel II fasst die Gesamtheit aller Eigenkapitalvorschriften des Basler Ausschusses für Bankenaufsicht hinsichtlich Eigenkapitalvorschriften.

3 Grundlagen des Risikomanagements - 6 - ¹⁸ denUmgang mit Risikomanagement bezeichnet in diesem Zusammenhang ¹⁹ in der Informa-Risiken und Maßnahmen, allerdings kann Risikomanagement ²⁰ , im Bankenwesen, im Versicherungswesen, in der Kredittionstechnologie

wirtschaft etc. praktiziert werden. Die Folgen (womöglich sogar im weiteren Sinne) sind dabei nur schwer abzuschätzen. Bedingt dadurch spielen sehr ²¹ auch eine sehr große Rolle (sehr weitläufiges umfassende Risiko-Szenarien

und drastisches Szenario: Kündigung mehrerer Vertriebler führt zum Verlust ²² mehrerer A -Klienten, es entsteht ein negatives Bild in den Medien, Aktienkurs fällt als Folge negativer Publicity, Unternehmen muss restrukturiert werden und Mitarbeiter entlassen etc.).

3.1 Risikodefinition

²³ allerdings moderiert und kontrolliert werden Bevor ein entsprechendes Risiko

kann, muss analog dazu definiert werden, was genau ein Risiko darstellt bzw. wie es zu definieren ist.

²⁴ - International Organization for Standardization- ist ein Risi-Laut der ISO ²⁵ ko :

¹⁵ Gesetz zur Kontrolle und Transparenz im Unternehmensbereich mit dem Ziel, die Corporate Governance in deutschen Unternehmen zu verbessern. ¹⁶ Sarbanes-OxleyAct, US-Bundesgesetz, das in Folge des Enron-Bilanzierungsskandals die Verlässlichkeit des Berichtswesens von amerikanischen Börsenfirmen konkretisiert.

¹⁷ Klotz, M.: Basel II als Treiber des IT-Sicherheitsmanagements - eine Klarstellung, in: HMD - Praxis der Wirtschaftsinformatik, Heft 256/2007, S. 93-104 ¹⁸ Pastors P., Risiken des Unternehmens - vorbeugen und meistern -, 1. Auflage, München, 2002 S. 135

¹⁹ Wheeler E., Security Risk Management - Building an Information Security Risk Management Program from the Ground Up, New York, 1. Auflage, 2011 S. 9 ²⁰ Burmester L., Adaptive Business-Intelligence-Systeme - Theorie Modellierung und Implementierung, 1. Auflage, Wiesbaden, 2011 S. 121

²¹ Wheeler E., Security Risk Management - Building an Information Security Risk Management Program from the Ground Up, New York, 1. Auflage, 2011 S. 14 ²² A-Klienten: Kunden, mit denen anteilig der meiste Umsatz erzielt wird. ²³ Perrot R., Reif M., Heinrich M., Ellter R., Kompaktwissen Risikomanagement, 1. Auflage, Wiesbaden, 2010 S. 147

²⁴ Beims M., IT-Service Management in der Praxis mit ITIL 3, 1. Auflage, München, 2010 S. 5

²⁵ Verfasser unbekannt; Risk management -- Principles and guidelines, http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170; Zugriff 17.02.2011

3 Grundlagen des Risikomanagements - 7 -

ins

Somit fällt auf, dass die Definition eines Risikos an dieser Stelle wertfrei ist. Dabei kann es sich somit um positive, als auch um negative Auswirkungen eines Ereignisses handeln.

Im Rahmen einer mathematischen Betrachtung werden so in einer Matrix Eintrittswahrscheinlichkeit und Tragweite einander gegenübergestellt (vergleiche Abbildung 1: Risikomatrix) - so ist es ohne weiteres möglich, visuell Risiken zu „platzieren“, um sie besser im Auge zu behalten.

Durch diese näheren Umstände wird ein Risiko also stilisiert. Die Faktoren „Eintrittswahrscheinlichkeit“ und „Schadenshöhe“ tragen auch letztlich dazu bei, zu entscheiden, mit welchem Augenmerk ein Risiko behandelt werden kann und muss.

Im vorliegenden Beispiel wurden die entsprechenden Kategorien eingefärbt, ²⁶ zu bieten, welche Risiken kontrolliert werden müsum eine Übersichtlichkeit

sen und welche eher vernachlässigt bzw. hingenommen werden können.

²⁶ Wheeler E., Security Risk Management - Building an Information Security Risk Man- agement Program from the Ground Up, New York, 1. Auflage, 2011 S. 38

3 Grundlagen des Risikomanagements - 8 -

²⁷ Abbildung 1: Risikomatrix

So könnte beispielsweise, vereinfacht gesprochen, das Fehlen einer effektiven Zugangskontrolle in einem Rechenzentrum ein Risiko sein, das durch eine hohe Eintrittswahrscheinlichkeit (z.B. durch Einbruch oder durch das Betreten durch Unbefugte) und eine sehr hohe Tragweite (evtl. Totalausfall durch Beschädigung des Rechenzentrums) gekennzeichnet ist.

Auf der anderen Seite gibt es auch Risiken, die durch geringe Tragweiten, sowie auch durch geringe Eintrittswahrscheinlichkeiten gekennzeichnet werden. Auch hierbei muss entschieden werden, ob die Auswirkung kontrolliert oder hingenommen werden kann.

3.2 Erfassung und Verwaltung von Risiken

Bei Risikomanagement handelt es sich um einen iterativen Prozess, bestehend aus unterschiedlichen Aktivitäten (vergleiche Abbildung 2: Aktivitäten des Risikomanagements), der kontinuierlich ausgeführt werden muss, um stets neue aufkommende Risiken zu identifizieren. So können letztlich Szenarien durchgespielt werden, wie mit diesen Risiken umzugehen ist.

²⁷ Entnommen aus: http://blog.setzwein.com/wp-content/uploads/2008/10/bild-3.png; Zugriff: 12.12.2010

3 Grundlagen des Risikomanagements - 9 -

²⁸ Abbildung 2: Aktivitäten des Risikomanagements

So ist deutlich zu erkennen, dass eine explizite Kontext-Definition und Formalisierung von Risiken am Anfang eines gut ausformulierten Risiko-Managements steht - auf Basis dessen sind auch weitere Maßnahmen und ²⁹ ableitbar. Strategien

Das Monitoring von Risiken an sich geht im betrieblichen Umfeld über eine Vielzahl von Tools und Methoden vonstatten - nicht zuletzt, weil die Anzahl an Risiken sehr schnell sehr hoch anwachsen kann und dabei hochgradig unübersichtlich wird.

Sofern das Risikomanagement dann als unternehmensweise Initiative gefahren wird, sind professionelle Methoden und Tools, evtl. sogar ein Informationssystem erforderlich, um dieses adäquat umsetzen zu können.

²⁸ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 7

²⁹ Hofmann J., Schmidt W., Masterkurs IT-Management, 1. Auflage, Wiesbaden, 2007 S. 11

3 Grundlagen des Risikomanagements - 10 -

Die Ebene der Unternehmensführung sehr schnell unübersichtlich werden: unterschiedliche Märkte auf denen eine Organisation aktiv ist, Kunden aus verschiedenen Branchen, die stets beobachtet werden müssen, sowie natürlich Veränderungen und Bewegungen auf den Käufermärkten, die sich schnell zu großen Risiken aufschaukeln und die letzten Endes sogar existenzbedrohend sein können.

In solchen Fällen werden Risiken geclustert und tabellarisch dargestellt, um sie besser zu überblicken (siehe Abbildung 3: Klassische Risiko-Matrix).

³⁰ Abbildung 3: Klassische Risiko-Matrix

Mittels einer Risiko-Matrix werden die Auswirkungen gruppiert und ergeben eine Risikozahl (üblicherweise angegeben in €) - anhand dieser werden Risiken unterschieden und gesteuert (siehe Abbildung 4: Monetarisierte Risiko-Matrix).

³⁰ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 14

3 Grundlagen des Risikomanagements - 11 -

³¹ Abbildung 4: Monetarisierte Risiko-Matrix

Anschließend kommt es dann zur Bewertung des Nutzwertes, das entsprechende Risiko (bei einer kleinen Risikozahl) einfach zu akzeptieren und mit den geringen Auswirkungen umgehen zu können, oder stattdessen Maßnahmen zu definieren, um das Risiko kontrolliert zu vermeiden oder dem vorbeugen zu können.

Letztendlich bestimmen die Entscheidungskriterien, welche Auswirkungen nachhaltig auf den Unternehmenserfolg Einfluss nehmen.

³¹ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 16

3 Grundlagen des Risikomanagements - 12 -

³² Abbildung 5: Einstufung nach Schaden

Mittels der Risk-Mapping-Technik ist es möglich, diese Schadenseinstufung (vgl. Abbildung 5: Einstufung nach Schaden) noch weiter zu verfeinern, beispielsweise weiter in Abteilungen, Funktionen, Bereichen, Klienten etc. zu untergliedern.

³² Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 16

3 Grundlagen des Risikomanagements - 13 -

³³ Abbildung 6: Risk-Mapping

Eine sogenannte „Risiko-Akzeptanz-Linie“ (siehe Abbildung 6: Risk-Mapping) legt fest, auf welche Risiken man sich zur Steuerung konzentrieren kann und welche anderen Risiken wiederum (in relation zur Risikophilosophie der Unternehmung) außer Acht gelassen werden können.

³⁴ Abbildung 7:Aufbau eines Risiko-Katalogs

³³ Entnommen aus: Königs, H.-P., IT-Risiko-Management mit System, 3. Auflage, Wiesbaden, 2009 S. 17