Zum Hauptinhalt springen

Objekttyp Risiko

Risiken – Erkennen, bevor es zum Ernstfall kommt - der Schutzschild

image-20260407111920813

In der Prozessmodellierung beschreibt der Objekttyp Risiko, welches potenzielle Ereignis oder welche Entwicklung die Erreichung eines Prozessziels oder die ordnungsgemäße Durchführung eines Prozesses negativ beeinflussen könnte. Man kann sich das Risiko als einen Störfaktor oder eine Unsicherheit vorstellen, die den Erfolg gefährdet. Ein Risiko ist kein bereits eingetretener Schaden (Problem) und auch keine Schwachstelle (Vulnerability), sondern die Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß. Die Herkunft der Risiken liegt in der Identifikation interner oder externer Gefahrenquellen, die gegen die Unternehmensziele wirken.

Definition und Zweck

Der Objekttyp Risiko beschreibt die Gefahr einer negativen Abweichung vom erwarteten Prozessergebnis. Er fungiert als Warnsystem und Entscheidungsgrundlage, um proaktiv Schutzmaßnahmen zu ergreifen. Sein Zweck ist es, Transparenz über die Bedrohungslage zu schaffen und sicherzustellen, dass das Unternehmen nur kalkulierbare Gefahren eingeht, um seine Existenz langfristig zu sichern.

Kernmerkmale und Anforderungen

  • Zukunftsorientierung: Risiken beziehen sich auf Ereignisse, die eintreten könnten. Sie beschreiben potenzielle Szenarien (z. B. „Ausfall der IT-Infrastruktur“).
  • Bewertbarkeit: Jedes Risikoobjekt muss qualitativen oder quantitativen Kriterien unterliegen. In der Regel wird es durch die Dimensionen Eintrittswahrscheinlichkeit und Auswirkung (Schadenshöhe) definiert.
  • Risikoprofil: Zur detaillierten Beschreibung hinterlegt man jedem Risiko ein Profil. Dieser Steckbrief enthält Informationen zur Risikoart (z. B. operationell, finanziell, rechtlich) und zur Ursache-Wirkungs-Beziehung.
  • Hierarchie und Aggregation: Risiken können von der operativen Ebene (z. B. „Eingabefehler“) bis zur strategischen Ebene (z. B. „Reputationsverlust“) verknüpft werden, um das Gesamtrisiko für das Unternehmen zu bewerten.

image-20260407112026350

Abgrenzung zu anderen Objekttypen

Um den Objekttyp Risiko besser zu verstehen, hilft der Vergleich mit den kompensierenden Elementen:

ObjekttypErklärungBeispiel
RisikoDas störende EreignisUnbefugter Datenzugriff
Control ObjectiveDer angestrebte SicherheitszustandVertraulichkeit der Kundendaten
Control (Maßnahme)Die Tätigkeit zur RisikominimierungEinführung einer Verschlüsselung
Goal (Ziel)Der positive angestrebte ZustandDigitale Transformation des Vertriebs

Verbindung zur RACI-Matrix

Im Risikomanagement sind klare Verantwortlichkeiten essenziell, um nicht von Ereignissen überrascht zu werden:

  • Risk Owner: Rechenschaftspflichtig für die Überwachung des Risikos und die Entscheidung über die Risikostrategie (Akzeptieren, Vermeiden, Transferieren, Mitigieren) (Accountable).
  • Control Performer: Verantwortlich für die Umsetzung der Maßnahmen, die das Risiko mindern (Responsible).
  • Risk Manager: Verantwortlich für die methodische Unterstützung und das Reporting (Responsible/Consulted).

Attribute des Objekttyps

General Information

In GRC-Tools (Governance, Risk & Compliance) wie ADONIS wird das Risiko durch Attribute präzisiert, um es steuerbar zu machen:

  • Identifikationsmerkmale: Risikobezeichnung, eindeutige ID und Szenariobeschreibung.
  • Bewertungsdaten: Brutto-Risiko (ohne Kontrollen) und Netto-Risiko (nach Umsetzung von Kontrollen) hinsichtlich Wahrscheinlichkeit und Impact.
  • Risikokategorie: Klassifizierung (z. B. Marktrisiko, Kreditrisiko, Operationelles Risiko).
  • Risikostrategie: Festlegung des Umgangs (z. B. Reduktion durch Versicherung oder technische Maßnahme).

Insights - Strukturanalyse (Impact Analyse)

Insights für Risiken fungieren in ADONIS als Frühwarnsystem für die Prozesswelt:

  • Risiko-Heatmap (Impact-Analyse): Visualisierung der Risikolandschaft. Welche Prozesse sind durch „rote“ (kritische) Risiken gefährdet? Wo besteht sofortiger Handlungsbedarf?
  • Kontrolllücken-Analyse: Ein Insight zeigt auf, für welche identifizierten Risiken noch keine wirksamen Kontrollziele oder Maßnahmen hinterlegt sind.
  • Kumulationsrisiko: Analyse, ob viele kleine Einzelrisiken in verschiedenen Prozessen gemeinsam ein kritisches Gesamtrisiko für ein strategisches Ziel darstellen.
  • Compliance-Radar: Verknüpfung von Risiken mit gesetzlichen Anforderungen. Ein Insight warnt, wenn durch ein erhöhtes Risiko die Einhaltung von Vorgaben (z. B. Compliance-Verstoß) droht.