Identifikation - Analyse - Bewertung - Behandlung
Die Identifikation, Analyse sowie die Bewertung und Dokumentation der Unternehmens- oder der Behördenrisiken stellen die Basis für Entscheidungen der Geschäfts- oder Behördenleitung über die notwendigen risikomindernden Maßnahmen und Kontrollaktivitäten dar. Die Behandlung der Risiken wird im Rahmen eines unternehmensweiten Risikomanagements realisiert. Das Risikomanagement ist ein Managementprozess und liegt in der Verantwortung der Geschäfts- oder der Behördenleitung. Die Risikoanalyse ist ein Teil des Risikomanagements.
Risikoidentifikation
Während der Identifikation werden die Risiken aufgedeckt und geprüft. Sie können zur strukturierten Analyse, Bewertung und Zuordnung nach individuellen Kriterien in Risikogruppen zusammengefasst werden. Die Identifikation der Risiken hat eine besondere Bedeutung im gesamten Risikobewertungsprozess. Nicht aufgedeckte Risiken werden im weiteren Verlauf der Beurteilung nicht berücksichtigt und stellen somit eine besondere Gefahr dar. Durch eine regelmäßige Wiederholung der Risikobewertung (PDCA) kann die Gefahr von nicht aufgedeckten Risiken reduziert werden.
Risikoanalyse und Bewertung
Ergebnisse der Analyse und Bewertung sind qualitative und quantitative Aussagen zur Eintrittswahrscheinlichkeit, Auswirkung, Gewichtung und möglichen Höhe eines Schadens. Ein Risiko ist das Produkt der Eintrittswahrscheinlichkeit und der Auswirkung.
Risiko = Eintrittswahrscheinlichkeit * Auswirkung
Die Eintrittswahrscheinlichkeit ist die geschätzte Wahrscheinlichkeit, in der ein Ereignis in einem bestimmten Zeitraum in Zukunft auftreten kann. Sie kann mit Hilfe von statistischen Werten ermittelt werden. Voraussetzung dafür ist die Verfügbarkeit von entsprechenden Daten (quantitative Datengrundlage). Da genannte Daten nicht immer zur Verfügung stehen, kann eine qualitative Einschätzung der Eintrittswahrscheinlichkeit bestimmt werden. Sie kann prozentual oder in Form einer Bewertung (Notendarstellung) dargestellt werden (Scoring-System).
Risikobehandlung
Auf die identifizierten und bewerteten Risiken sollte ein Unternehmen oder eine Behörde angemessen mit Maßnahmen reagieren. Dabei spielen der sogenannte Risikoappetit und die Risikotoleranz eine entscheidende Rolle. Beide Begriffe beschreiben eine Grenze, ab der die festgestellten Risiken aus Sicht des Unternehmens oder der Behörde nicht mehr tolerierbar sind und auf jeden Fall behandelt werden müssen.
- Risikoakzeptanz - Das Risiko und seine Folgen werden ohne Einleitung von irgendwelchen vorbeugenden Maßnahmen vollständig akzeptiert. Die Risikoakzeptanz kann auch bei der Behandlung eines Restrisikos verwendet werden.
- Risikovermeidung - Durch eine gezielte Änderung der Rahmenbedingungen (Aktivitäten, Abläufe etc.) eines kritischen Prozesses oder einer Ressource kann das Risiko nicht mehr auftreten.
- Risikotransfer - Durch eine geplante Übertragung des Risikos auf externe Dienstleister oder Versicherer wird das Risiko bzw. die Risikofolgen minimiert.
- Risikoreduktion - Durch gezielte organisatorische und technische Maßnahmen wird die Eintrittswahrscheinlichkeit und Auswirkung eines Risikos weitgehend reduziert.