Veröffentlicht am 25. März 2019 – 2 Minuten gelesen
Ein Risikomanagementplan ist ein schriftliches Dokument, das den Risikomanagementprozess der Organisation im Detail beschreibt. Dieser Prozess beginnt mit der Bildung eines Teams von Interessenvertretern in der gesamten Organisation, um potenzielle Risiken für die Organisation zu überprüfen. Zu diesem Team sollten die Geschäftsleitung, der Compliance-Beauftragte und alle Abteilungsleiter gehören. Wenn die Organisation Software entwickelt, sollte auch ein Projektleiter aus jedem Projektteam einbezogen werden, um das Projektmanagement zu überprüfen und auf Projektrisiken zu reagieren.
Nach der Gründung kann das Team mit der Arbeit am Risikomanagementprozess beginnen.
Ziele festlegen
Zunächst müssen die Teammitglieder die Geschäftsziele überprüfen, wie z. B. die Produktentwicklung oder Geschäftspartnerschaften mit Dritten. Indem man mit den Geschäftszielen beginnt, wird der Risikomanagementprozess sowohl auf die aktuellen als auch auf die zukünftigen Ziele ausgerichtet.
Risikoidentifizierung
Der zweite Schritt bei der Erstellung eines Risikomanagementplans besteht in der Überprüfung digitaler Vermögenswerte wie Systeme, Netzwerke, Software, Geräte, Anbieter und Daten. Die Katalogisierung dieser Werte ermöglicht es den Teammitgliedern dann, Risiken für die Werte zu identifizieren. Ein Risiko oder ein ungewisses Ereignis kann ein positiver oder negativer Zustand sein, der finanzielle, betriebliche oder rufschädigende Auswirkungen hat.
Risikobewertung
Nach der Identifizierung von Risiken muss das Risikomanagementteam das Risiko bewerten. Positive Risiken, wie z.B. die vorzeitige Lieferung eines Produkts, können auch zu negativen Risiken führen, wie z.B. die Unfähigkeit eines Kunden, einen Zahlungsplan einzuhalten. Die Organisation muss die Risiken vorhersehen, um einen Weg zu finden, ihre potenziellen Auswirkungen zu analysieren.
Risikoanalyse
Für jedes identifizierte und bewertete Risiko muss das Team die Wahrscheinlichkeit des Eintretens des Ereignisses untersuchen und dann die Auswirkungen auf das Unternehmen abschätzen, falls es eintritt. Die Multiplikation der Wahrscheinlichkeit mit der geschätzten Auswirkung kann Aufschluss über die Auswirkungen eines Risikos geben. Ein Risiko mit einer geringen Wahrscheinlichkeit führt zu verheerenden finanziellen Auswirkungen. Ein Risiko mit einer hohen Eintrittswahrscheinlichkeit hingegen hat möglicherweise keine Auswirkungen. Teil der quantitativen oder qualitativen Analyse ist die Erstellung einer Risikobewertungsmatrix. Diese ermöglicht es dem Risikomanagementteam, die Risikoanalyse zu nutzen und Bewertungen wie hoch, mittel oder niedrig zu vergeben.
Risikotoleranz
Nach der Zuweisung von Risikobewertungen entscheidet das Team, ob es ein Risiko akzeptiert, überträgt, abmildert oder ablehnt. Das Team kann beschließen, ein geringes Risiko zu akzeptieren, d.h. ein potenzielles Ereignis, dessen Eintreten unwahrscheinlich ist und das nur geringe Auswirkungen hätte, falls es doch eintritt. Es kann aber auch beschließen, ein hohes Risiko abzulehnen, d. h. ein potenzielles Ereignis, das mit hoher Wahrscheinlichkeit eintreten und große Auswirkungen haben würde.
Risikominderung
Für akzeptierte Risiken muss das Team eine Reihe von Strategien zur Risikominderung entwickeln. Für jedes Risiko, das eine Organisation akzeptiert oder überträgt, muss sie Reaktionen auf Probleme definieren, die auftreten können. Im Bereich der Informationssicherheit bedeutet dies die Festlegung von Kontrollen zum Schutz der Daten vor Cyberkriminellen. Die Risikominderungsstrategien dienen also als Notfallplan für den Fall, dass ein Ereignis eintritt, um die definierten Auswirkungen zu begrenzen.
Risikomanagementplan
Der Risikomanagementplan ist ein Dokument, das alle Überlegungen zur Risikobewertung, -analyse, -toleranz und -minderung enthält.