| Wie aus Kennzahlen Aussagen werden | |
| 1. Risikoinventur schafft Klarheit | |
| 2. Kennzahlen erlauben objektives Messen | |
| 3. Frühe Warnung verhindert Probleme |
Der zweite Schritt auf dem Weg zum neuen Risiko-Management war die Definition von Kennzahlen mit Erwartungswerten. Bisher erfolgte die Risikovalidierung als Punktbewertung in einer Matrix, wobei Eintrittswahrscheinlichkeit und Auswirkungen protokolliert wurden.
Heute wird eine erweiterte Bewertung vorgenommen, die in Form einer "Risikoverlaufskurve" der tatsächlichen Gefahr entspricht. Voraussetzung ist die Definition von Kennzahlen für die einzelnen Bedrohungen sowie die Ermittlung eines Erwartungswerts. Hinzu kommt eine objektivierte Ist-Messung der Risiko-Kennzahlen, die es ermöglicht, den Erwartungswert mit dem Ist-Wert zu vergleichen. Um eine Aussage über die Bedeutung eines Risikos treffen zu können, ist ein einheitliches Bewertungsschema, der so genannte Maßstab, notwendig. "Dieses Bewertungsschema muss für alle Risikofelder anwendbar sein und eine Verdichtung der Ergebnisse erlauben", so Müller.
Ziele setzen, ob das System proaktiv oder reaktiv arbeiten soll.
Prioritäten setzen: Was soll bewertet werden?
Bei Bedarf externes neutrales Know-how hinzuziehen.
Kontrollmechanismen einbauen.
Risiko-Management auf der Leitungsebene etablieren.
Bestehende Management-Systeme als Daten- und Informationsbasis nutzen.
Kosten- und Zeitrahmen festlegen.
Um hier klare Strukturen zu schaffen, hat IZB Informatik-Zentrum Score-Cards eingeführt, die den besonderen Anforderungen im Finanzsektor gerecht werden. Ein Score ist eine abstrakte Messskala mit abgestuften Wertebereichen, die von der Untergrenze über die Zielwerte respektive die neutralen Werte bis hin zur oberen Grenze einer Kennzahl reichen und eine klare Einstufung ermöglichen. Dieses Vorgehen erlaubt eine quantitative Bewertung, unabhängig von der Ausprägung der Messgröße.
