Phasen der Risikoanalyse
Phase 1: Abgrenzung des Untersuchungsgegenstandes
Ab hier beginnt die eigentliche Risikoanalyse. Zunächst muss klar sein, was genau betrachtet werden soll. Dabei kann man den Untersuchungsgegenstand sehr grob (zum Beispiel das gesamte Unternehmen) oder sehr granular wählen (zum Beispiel ein einzelnes IT-System). Speziell kleine und mittelständische Unternehmen sollten hier einen Kompromiss zwischen Genauigkeit und Aufwand finden.
Phase 2: Durchführung der Analysen
Für die Durchführung der Analysen ist kein Expertenwissen im Bereich der Risikoanalysemethodik mehr notwendig. Es reicht, jeweils die Fragen des Fragenkatalogs zu beantworten. Dies kann entweder in einem Interview oder als Self Assessment durch die fachlichen beziehungsweise technischen Ansprechpartner geschehen.
Tipp: Grundsätzlich empfiehlt es sich, die Fragen zur Abschätzung des Schadens von einem Vertreter aus dem Fachbereich beantworten zu lassen.
Die Antworten lassen sich gemäß dem im Fragenkatalog definierten Schema auswerten, woraus sich direkt das Risiko ergibt. Zur Verdeutlichung können die Ergebnisse in einer Risikomatrix (siehe Abbildung) grafisch aufbereitet werden.
Tipp: Die Methodik ist sehr standardisiert. Wird die Analyse jedoch ohne technische Unterstützung durchgeführt, ist dies trotzdem aufwendig. Das ist zum Beispiel der Fall, wenn Eintrittswahrscheinlichkeiten aus den hinterlegten Punktewerten ermittelt werden müssen. In den meisten Fällen hilft die Abbildung in einer gängigen Tabellenkalkulationssoftware. Wenn jedoch viele Analysen durchgeführt und ausgewertet werden müssen, bietet sich die Unterstützung durch eine datenbankgestützte Software an.
Phase 3: Definition von Maßnahmen
Um die identifizierten und bewerteten Risiken auf ein angemessenes Maß senken zu können, werden nun Maßnahmen definiert. Diese können ebenfalls im Rahmen der Methodik vordefiniert sein, es gibt aber immer die Möglichkeit, individuelle Maßnahmen zu definieren. Die Entscheidung, welche Maßnahmen tatsächlich umgesetzt werden sollen, muss jedoch das Management des Unternehmens treffen. Die Risikoanalyse und der vordefinierte Maßnahmenkatalog können hier lediglich als Entscheidungshilfe dienen.
Tipp: Damit die Umsetzung der Maßnahmen auch dauerhafte Wirkung zeigt, empfiehlt es sich, für jede Maßnahme einen Umsetzungsverantwortlichen und einen Umsetzungstermin festzulegen.