Reifegrad

topic - Kurzbeschreibung

Reifegradmodelle

Qualität des Informationssicherheitsprozesses

Bewertung mit Reifegraden

Hierzu muss das über Jahre hinweg analysiert und bewertet werden

Maßstab

Der Maßstab für die „Reife“ des gesamten oder aber auch von Teilen hiervon ist der Grad der Strukturierung und der systematischen Steuerung des Prozesses.

Ziel der Anwendung eines Reifegradmodells

• Qualität aller Teilbereiche des ISMS zu erhöhen
• Durch regelmäßige Analysen können Sie überprüfen, welche Prozesse noch unzureichend gesteuert sind.

Die folgende Grafik stellt beispielhaft die erreichten Reifegrade verschiedener Themenfelder in einer Institution dar.

• Wo der Reifegrad niedrig ist, besteht ein besonderer Handlungsbedarf

Reifegradmodelle können dabei unterstützen, Schwerpunkte für die Weiterentwicklung eines ISMS zu setzen.

Beispiel

Beispiel für die Definition von Reifegraden

Reifegrade und ihre Merkmale

Reifegrad	Kennzeichen
0	Es existiert kein Prozess, es gibt auch keine Planungen hierzu.
1	Es gibt Planungen zur Etablierung eines Prozesses, jedoch keine Umsetzungen.
2	Teile des Prozesses sind umgesetzt, es fehlt jedoch an systematischer Dokumentation.
3	Der Prozess ist vollständig umgesetzt und dokumentiert.
4	Der Prozess wird darüber hinaus auch regelmäßig auf Effektivität überprüft.
5	Zusätzlich sind Maßnahmen zur kontinuierlichen Verbesserung vorhanden.

Beschreibung

„Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells.“

• Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden sowie alle vorhergehenden Stufen erreicht sein.
• Reife wird nach Rosemann und De Bruin definiert als „a measure to evaluate the capabilities of an organisation“ – ein Maß, um die Fähigkeiten einer Organisation zu bewerten.

Reifegradmodelle des Risikomanagements

Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen (Benchmarking).

• Sie bestehen aus Reifegradstufen, Dimensionen und Bewertungsinstrumenten.
• Eine Entwicklung kann top-down oder bottom-up erfolgen.
• Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden.
• Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert.
• Dafür werden zum Beispiel Kreativitätstechniken, Delphi-Methode oder Fokusgruppenbefragung verwendet.

Risikomanagement ist ein Erfolgsfaktor für jedes Unternehmen

Es sollten möglichst viele Mitarbeiter integriert werden um der Unternehmensführung die Möglichkeit zu geben Risiken richtig zu erfassen, die Erträge und Risiken richtig bewerten und in die Praxis umzusetzen.

• Das wird allerdings erst in der 4. Stufe erreicht.
• Die Geschäftsführung muss „Oberster Risikomanager“ sein, weil sie maßgebliche Entscheidungen über den Risikoumfang trifft.
• Hierbei sollten Strategien und feste organisatorische Muster und Methoden angewandt werden, um sicherzustellen, dass mögliche „bestandsbedrohende Entwicklungen“ bereits früh erkannt werden.

Reifegradmodell nach Gleißner und Mott

Stufen	Titel	Beschreibung
1	Kein Risikomanagement	Unzureichendes Risikobewusstsein
2	Schadensmanagement	Existenz von Risiken ist bekannt
3	Regulatorisches Risikomanagement	„KonTraG-Risikomanagement“
4	Ökonomisches, entscheidungsorientiertes Risikomanagement	Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet.
5	Integriertes wertorientiertes Risikomanagement	Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft
6	Embedded Risikomanagement (holistisch)	Embedded Risikomanagement

Stufe 1

Kein Risikomanagement

• Leitungsebene hat ein unzureichendes Risikobewusstsein
• Kein systematisches Vorgehen im Umgang mit Risiken
• Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur sporadisch statt.

Stufe 2

Schadensmanagement

• Existenz bestimmter Risiken ist bekannt
• Es werden bewusst Maßnahmen eingeleitet, die Gefahren verhindern sollen.
• Regelungen, wie Umweltschutz und Arbeitsschutz, finden dabei auch Berücksichtigung.
• Bei selteneren und größeren Risiken werden Versicherungen abgeschlossen, um Schäden zu minimieren.
• Zur Gefahrenbeurteilung wird kein spezifisches Instrument eingesetzt und Risikomaßnahmenpläne werden in „Silos“ (abgeschotteten Teams) bearbeitet.

Stufe 3

Regulatorisches Risikomanagement

„KonTraG-Risikomanagement“

Unternehmen besitzt ein kontinuierliches Risikomanagementsystem

• Risiken werden ständig überwacht und bewertet
• Die Gesamtheit der Risiken bilden das sog. Risikoinventar

Informationen wie Umfang, Verantwortlichkeit und Turnus werden gemäß dem KonTraG schriftlich fixiert

• Für die wichtigen Risiken werden Risikobewältigungsstrategien entwickelt, dafür werden die Risiken hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit quantifiziert und bewertet
• Am Ende erfolgt eine einfache Risikoaggregation

Stufe 4

Ökonomisches, entscheidungsorientiertes Risikomanagement

Als Risiken werden sowohl Gefahren (negative Abweichungen) als auch Chancen (positive Abw.) betrachtet.

• Es existiert ein umfassendes, Software gestütztes Risikomanagementsystem im Unternehmen, basierend auf einem starken Risikobewusstsein der Unternehmensführung.
• Durch Aggregation der Einzelrisiken wird ein Gesamtrisikoumfang berechnet.
• Mittels der Monte-Carlo-Simulation können „bestandsbedrohende Entwicklungen“ nach Kombination von Einzelrisiken deutlich gemacht werden.
• Ziel ist es ein flexibles und bewegliches Risikomanagement zu schaffen, welches mit der Strategieentwicklung eng verknüpft ist.
• Im Idealfall soll es sich an unvorhergesehene Entwicklungen anpassen.
• Risiken sollten so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen liquide bleibt und sein Rating beibehalten kann.
• Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z. B. CAPM) erfolgen.
• Nicht nur in Hinsicht auf die Kostenreduzierung sollte das Unternehmen überlegen, ob es Unternehmensaktivitäten auslagert, sondern auch in Bezug auf die damit verbundene Risikosenkung.
• Diese Risikosenkung erfolgt auch bei einer breiten Diversifikation des Portfolios und einer Verlust- und Haftungsbeschränkung.

Stufe 5

Integriertes wertorientiertes Risikomanagement

Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft

• Alle Planungen können Risiken zugeordnet werden (stochastische Planung), sodass sich daraus eine Planungssicherheit ermitteln lässt.
• Daraus kann das Unternehmen den Wertbeitrag berechnen, „was eine am Unternehmenswert orientierte Optimierung der Risikobewältigung“ ermöglicht und womit strategische Züge in Bezug auf Risiken bewertet werden können.
• Die Hypothese eines vollkommenen Kapitalmarktes wird verworfen und durch die realitätsnahe Betrachtung eines unvollkommenen Kapitalmarktes ersetzt.
• Alle Risiken, die bewertungsrelevant sind, werden berücksichtigt („Risikodeckungssatz“).
• Zum Bewerten und zur Portfoliooptimierung werden Risikomaße, wie Eigenkapitalbedarf, Ausfallwahrscheinlichkeit und Value-at-Risk verwendet.

Stufe 6

Embedded Risikomanagement

Ganzheitlich

• Die Bewertung des risikogerechten Ertragswertes oder des Risikonutzens spiegelt die Risikopräferenz des Eigentümers wider
• Bildet die Grundlage für strategische und operative Entscheidungen

Risikoanalyse

Die Risikoanalyse beinhaltet die ex ante Integration unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und exogenen Risikofaktoren.

• Metarisiken, d. h. Unsicherheiten und Reaktionen von Wettbewerbern, sowie andere „Verhaltensrisiken“ und „Managementrisiken“ werden ebenfalls in die Bewertung mit einbezogen.
• Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird.

Anhang

Siehe auch

• Reifegrad

Links